首页 > 其他分享 >2021年互联网域名产业报告——从DoH到ODoH

2021年互联网域名产业报告——从DoH到ODoH

时间:2023-08-02 21:34:49浏览次数:76  
标签:DoH 代理服务器 ODoH 2021 DNS 服务器 Cloudflare

2021年互联网域名产业报告——从DoH到ODoH

业务挑战

域名解析加密技术成为应对域名劫持、记录篡改和用户隐私泄露,实现流量精准调度、提升用户体验的可行措施之一。互联网工程任务组(IETF)公布的DoH/DoT 技术标准,提供了用户端与解析服务器端之间域名解析流量安全和隐私机制,在全球范围内开始得到部署和应用。我国企业也提出了基于HTTP 的域名解析技术思路,已有多家互联网企业自行定义接口规范、探索相关应用。使用DoT 和DoH 后,本质上仍不能解决解析服务商窥探用户隐私的问题,甚至可能在 DoH 场景下导致用户数据的进一步集中,带来新的隐私、安全、数据流动和司法管辖权等问题。此外,DoT 和DoH 的部署也可能使部分用于政府监管、家长控制、企业内网管理、广告和恶意软件拦截、钓鱼网站过滤、僵尸网络应对等现有本地流量、管理和安全策略失效,并带来用户选择、成本、责任等问题。

 

关键方案

为了解决用户隐私性问题,苹果、Fastly、Cloudflare 等企业又于2020 年开始制定新的技术标准草案“隐蔽DoH(Oblivious DNS Over HTTPS, ODoH)”,目前正在进行第6 版技术标准59的修订工作。ODoH通过添加一层公钥加密机制并在用户客户端与 DoH 解析服务器(即“目标服务器”) 之间加入代理服务器,以确保只有最终用户才能同时访问自身DNS 查询及应答数据,在保障DNS 查询安全性、完整性的同时改善客户端的隐私。具体工作机理为:客户端将 DNS 查询信息以 DoH 加密传输方式,经代理服务器传递给目标服务器;目标服务器对收到的信息进行解密,查询并获取用户所需的 DNS 应答信息(即 IP 地址);目标服务器随后会对 DNS 应答信息进行加密传输,经代理服务器返回客户端进行解密。基于 ODoH 方案,在代理服务器与目标服务器完全独立的前提下,目标服务器仅可获取DNS 查询和应答信息及代理服务器的IP 地址,但并不掌握 DNS 查询的实际来源;同时,由于加密机制,代理服务器无法识别、读取或修改客户端发送的 DNS 查询信息或目标服务器返回的应答信息。然而,现实中仍存在两类服务器由同一实体运行或相互勾连影响的可能性。在性能方面,通过在美国、加拿大和巴西对1.1.1.1、8.8.8.8 及9.9.9.9 等第三方递归解析服务采用 ODoH 的运行情况进行测试,Cloudflare 表示相关访问时延约与传统DoH 相比增加千分之一秒,几乎可忽略不计。

 

实验结果

(1)先说国内DoH应用情况:360 成为我国首家正式提供 DoH 服务的企业,已在 360 极速浏览器和企业安全浏览器中进行了部署应用。2020 年4 月,阿里云宣布其公共DNS(ALIDNS)已支持DOT/DOH标准并对外提供DNS 安全传输服务,适用于移动应用程序、浏览器、操作系统、物联网设备和网关路由器等多个场景。腾讯云推出的DOT/DOH 服务于 2020 年 7 月正式开放公测,采用本地缓存、提前预取、连接复用、对称加密等方式优化服务性能。

(2)再看ODoH应用情况:目前,ODoH 仍处于早期应用阶段。Cloudflare 已对ODoH 客户端和服务器端实现开源,并 在其1.1.1.1公共DNS 服务中支持ODoH。

 

观点

(1)对于用户来说,其实无论使用DoH还是ODoH都是有一定代价的,因为使用这两项功能就意味着无法使用本地host文件来实现广告拦截功能。同时无论是谷歌还是苹果合作伙伴Cloudflare所提供的可信DNS解析服务器,它们都是公开的,谷歌的是8.8.8.8,而Cloudflare则是1.1.1.1,这就代表ISP可以屏蔽这些DNS服务器地址,从而让用户转到其它的镜像服务器,并让网络访问直接退回到传统的Http协议。

(2)之所以谷歌与苹果、以及各家云厂商会如此迫切地希望DoH/DoT,除了隐私保护的因素外,可能也有自己的私心。众所周知。所有的域名查询都是从根服务器开始,而DNS根服务器目前仅有13组,标号从A到M,分别由12个运营商运营,但其中并没有谷歌与苹果的身影。而如果通过DoH/ODoH,谷歌自家的公共DNS,以及苹果合作伙伴Cloudflare DNS服务器的地位就会飞速上升,这无疑也可以视为是两者开始向更基础的互联网底层进行扩张,并为自己寻求更大话语权的一步棋。

 

分析来源:http://www.caict.ac.cn/kxyj/qwfb/ztbg/202107/P020210721569896835962.pdf

标签:DoH,代理服务器,ODoH,2021,DNS,服务器,Cloudflare
From: https://blog.51cto.com/u_11908275/6943252

相关文章

  • 题解 P9406【[POI2020-2021R3] Nawiasowania】
    一个显然的思路是:在排列\(p\)的括号串合法的基础上,使得左括号在原括号串中尽量靠左,这样答案更有可能合法。于是我们求出这个原括号尽量靠左的括号串(下文称为“最优括号串”),然后check合法性即可。下文中\(s\)是排列\(p\)的括号串。当\(n=2\)时,唯一的填法是令\(s_1\get......
  • 恶意软件加密通信——2021年的报告,比较新
    NearlyhalfofmalwarenowuseTLStoconcealcommunicationsAsmoreoftheInternetusesTransportLayerSecurity,analysisofdetectiontelemetryshowsthevolumeofTLSencryptedcommunicationsbymalwarehasdoubledinayear.Writtenby SeanGallagherA......
  • [Ynoi Easy Round 2021] TEST_152(颜色段数均摊+扫描线)
    题目传送门solution简单题,考虑正着做扫描线,维护最后一次覆盖每个位置的修改时间,这个可以用\(set\)维护颜色段数均摊。那么显然对于一个以当前位置为右端点的询问,其答案就是所有最后修改时间大于等于左端点的位置的数的和。开一个树状数组维护最后一次修改时间是\(i\)的位......
  • LiveVideoStack公众号2021年终盘点
    在2021年伊始,我们翻译过TsahiLevent-Levi关于今年WebRTC流行趋势的文章,文中提到2021年将是“还债”的一年,此前所进行的系统设计、软件架构或软件开发都将迎来最终结果;同时它也将是服务及传输质量不断优化的一年。在供给侧长期大于需求侧的当下,技术迭代的速度远远甩开新需求增长的......
  • CSP2021 游记
    前言这个人是蒟蒻,初二,在机房属于是垫底。今年是第一次参加CSP-S,第二次参加CSP-J。Day-1颓。Day0学校搞运动会,上午一边看运动会,一边复(摸)习(鱼)。中午\(1:00\)出发,在车上又看了会儿算法。全车的人都在颓。回了酒店后继续颓,感觉明天要凉。Day1早晨\(6:30\)起床,吃早饭......
  • [SWPUCTF 2021 新生赛]ez_unserialize
    [SWPUCTF2021新生赛]ez_unserialize题目来源:nssctf题目类型:web涉及考点:PHP反序列化1.检查一下源代码,发现Disallow:猜测大概有robots.txt,扫下后台看看:额,flag.php都扫出来了,但是进不去,还是老老实实看robots吧:2.看到题目了,开始代码审计<?phperror_reporting(0);show_......
  • LOJ3677 「北大集训 2021」出题高手
    卡死人了。数据随机写在上面,就是让你预估一下区间长度不会太长的,数据里最长的不超过\(2000\)。暴力扫\(2000\)个显然过不了\(500000\)的点,但是\(500000\)的点\(m\)为\(1\)且必定询问整个序列。可以分析出,在随机情况下,前缀和最小最大数量是根号个的,平方后是四次根号级......
  • [SWPUCTF 2021 新生赛]no_wakeup
    [SWPUCTF2021新生赛]no_wakeup题目来源:nssctf题目类型:web涉及考点:PHP反序列化1.题目给了一个点击按钮,点进去看看:进去后就是代码审计了:<?phpheader("Content-type:text/html;charset=utf-8");error_reporting(0);show_source("class.php");classHaHaHa{p......
  • audition 2021 for Mac(au2021) v14.2直装版
    Audition2021Mac是一款专业数字音频编辑软件,提供先进的音频混音、编辑和效果处理功能,专为音频和视频专业人员设计。无论是要录制音乐、无线电广播,还是为录像配音,Audition都能帮到您。它可提供先进的音频混合、编辑、控制和效果处理功能。最多混合128个声道,可编辑单个音频文件,使......
  • 2021年湖南省对口高考真题
    一、选择题1、若"inta=-7,b=-1;",执行"a%=b-1;"后,a的值是__________。         A.-7              B.-1              C.-2              D.-32、C语言程序从程序中的__________开始执行。A.第一条语句         ......