DNS污染？SNI阻断？全新网络协议保护隐私安全

DNS污染？SNI阻断？全新网络协议保护隐私安全

HTTPS协议的安全缝隙概述

HTTPS协议对网络流量进行了加密，然而这种保护并非完美。事实上，HTTPS体系存在着两个安全缝隙：DNS和SNI，它们依旧使用着明文传输，因此可能会导致隐私泄露等安全风险。

本期视频，我们来介绍一组新诞生的网络技术，看看他们是如何补上这最后一块HTTPS安全体系的拼图。

DNS安全缝隙分析

DNS是一种域名转换为IP地址的服务。

当用户在浏览器输入一个网址时，浏览器会先向DNS服务器发送请求，以获取该网址所对应的IP地址。浏览器拿到IP地址以后，才能进行后续的网络请求。

然而DNS的查询与响应，都是UDP协议的明文传输。这就意味着，可能被网络传输的中间人监听篡改。中间人可以轻易知道用户准备访问哪个网站，用户就会因此泄露隐私。

DNS明文传输演示

这里我使用WireShark这款软件，抓了一下我这台电脑的数据包。在电脑的默认配置下，DNS都是明文传输的。我们可以看到，这里很清晰的显示了我的DNS请求。这里我请求的是QQ.com这个网址，后面是QQ.com对应的IP地址。

攻击者通过抓取DNS数据包，很轻易的就知道我是要访问哪个网站。中间人甚至可以修改DNS的响应结果，故意误导一个错误的IP地址，让浏览器无法正常工作。这种攻击也就是DNS污染。