上个星期,我们谈到了随着新的HTTP-over-HTTPS(DoH)协议的推出而正在进行的互联网隐私之战。 DoH会对浏览器和DNS提供商之间的通信进行加密,以确保在将URL输入浏览器时将其解析为正确的IP地址。 Mozilla和Google一直在与通过Cloudflare和Google等一些著名的DNS提供商一起更广泛地通过Firefox和Chrome浏览器实施DoH的计划前进。微软最近也 宣布 计划在将来的Windows 10版本中采用DoH。

在这一传奇故事的最新阶段之一中,Google迈出了第一步 澄清 DoH的实施实际上如何影响Google Chrome用户的隐私和安全性。

首先,谷歌表示不会强迫Chrome用户使用Google的DNS,也不会强迫其通过任何其他符合DoH的DNS服务器。因此,即使该提供商不支持DoH协议,用户仍然可以自由选择自己的DNS提供商。 DNS先驱和Farsight Security首席执行官Paul Vixie博士 称赞谷歌 因为这意味着“ Chrome仅与用户已选择的服务器进行DoH通信”。对于Vixie博士而言,这对Google来说就是一分。

Vixie博士给Google的第二点是 资助企业和学校 阻止其网络中尝试连接到DoH服务的任何流量的能力。由于Google通过某些稳定地址提供DoH,因此网络管理员可以在防火墙级别阻止这些地址。

这极大地缓解了企业对于使用DoH协议从其网络发出的DNS请求的可见性丧失时应避免的安全问题。安全运营中心(SOC)要求对DNS请求进行监督和情报处理,否则它们可能成为隐藏在DoH加密背后的恶意活动的便捷渠道。

实际上,ZDNet 已报告 今年7月,出现了第一个恶意软件–一个名为Godlua的Linux僵尸网络–曾经使用DoH协议隐藏其DNS流量来执行DDoS攻击。然后BleepingComputer 已报告 在新的Sextortion模块上更新了PsiXBot恶意软件,使其可以通过DoH发送的DNS请求与硬编码的命令和控制(C2)域联系。

对于依赖全球威胁数据源来帮助检测恶意活动的SOC团队,从DNS级别一直可见的可见性至关重要。充分利用ESET威胁情报(ETI)或其他威胁情报来源来收集尽可能多的危害指标(IoC)的企业肯定会意识到,这提供了其防御团队保护其公司网络并防止财务损失所需的情报。

[您还可以阅读有关Whalebone对ETI IoC提要的质量测试 这里。]

最后,谷歌澄清说,选择使用DoH的用户仍将能够应用其DNS提供商提供的任何家长控制功能。例如,CleanBrowsing就是这种情况,它将在其加密和未加密的DNS解析服务中继续为内容控制提供相同的功能集。

谷歌努力通过DoH增强在线用户的隐私和安全,同时尊重他们选择未加密DNS服务的自由,这是一个很好的例子。 “我希望@mozilla mozilla在Firefox中像Google在chrome中那样做DoH;而且我想@cloudflare像Google一样宣布其DoH服务器的一组可阻止IP地址,” 发推文 Vixie博士。要详细了解Vixie博士关于操作自己的本地DNS解析服务器的重要性的观点,请阅读他的《黑暗阅读》文章, DNS服务本地化的好处.

相关的WeLiveSecurity文章:

  1. 互联网先驱Paul Vixie博士谈全球互联网安全

  2. 不断升级的DNS攻击让域名管理员感到担忧

  3. DNS攻击:他们如何尝试将您引导到伪造页面

来源: //www.eset.com/blog/business/internet-pioneer-praises-google-for-doing-dns-over-https-the-right-way/