Mozilla：雲端 DOH 比傳統 DNS 更安全 效能差別不大

Mozilla 今年3月時，在 Firefox Nightly 版本進行了 DOH(DNS Over HTTPS)與傳統 DNS 的比較實驗，探討後者是否能被前者取代，結果顯示雖然 DOH 服務平均比傳統 DNS 慢6毫秒，但是相比之下，DOH 不止服務更安全，而且在極端情況下，甚至能比傳統 DNS 的回應還快幾百毫秒。

現在的瀏覽器使用者依賴不夠安全的傳統 DNS 協議來訪問目標網站，可能面臨被追蹤(Tracking)或是欺騙(Spoofing)等風險。Mozilla 引用了2018年 Usenix 安全研討會的論文，研究顯示 DNS 服務現在正受到嚴重的干擾，而且面臨各種資料收集的隱私威脅。Firefox 開發了 DOH 技術，讓瀏覽器從一個或多個可信任的服務中獲取 DNS 資訊，以提供高安全與高隱私的 DNS 服務。

由於以可信任的 DOH 雲端服務取代傳統 DNS 是一個劇烈的改變，在選擇 DOH 伺服器時需要考慮很多因素，因此 Mozilla 對此展開了測試，主要想了解兩個問題，第一個，使用 DOH 是否能取代傳統 DNS？第二個，使用 DOH 是否會出現額外的連線錯誤？在7月的時候有約 25000 名 Firefox Nightly 63 使用者參與了 Cloudflare 與 Mozilla 共同舉行的測試，測試總共收集到了超過十億條的 DOH 資料，目前測試已結束。

結果顯示，與傳統 DNS 相比，和雲端服務供應商合作使用 HTTPS 發出 DNS 請求，在無快取的 DNS 查詢上，效能影響很小，大多數的查詢只慢了約6毫秒，但從權衡安全性和保護隱私資料的角度出發，這是可以被接受的成本。而且在某些情況下，甚至能比傳統 DNS 還快幾百毫秒。

另外，這個測試除了解效能方面的影響，還考慮了連線錯誤率，在軟故障(Soft-fail)模式下使用 DOH 雲端服務的使用者，和傳統 DNS 使用者相比，錯誤連線率並沒有明顯差異。軟故障模式主要使用 DOH，當域名無法正確解析或是 DOH 提供的地址連線失敗時，便退回使用傳統 DNS。

Mozilla 提到，他們正努力於創造一個可信任的 DOH 供應商生態，以滿足較高標準的資料處理需求，後續會在一組供應商中或是依照地理位置劃分 DNS 傳輸，這項試驗可能會在不久之後進行。

來源：開源中國

看雪推薦閱讀：

1、[原創]關於android 微信 frida 使用技巧

2、[原創]Hook原理

3、[翻譯]一次紅隊之旅

4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug

5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug