2018年4月,Cloudflare发布了新的安全工具。名为1.1.1.1,它是任何用户都可以免费使用的消费者DNS地址。它可以帮助提高DNS安全性,改善用户的隐私,甚至有可能加快您的网络连接。
但是它如何工作?你如何使用它?可以帮助改善哪些DNS隐私风险?让我们仔细看看。
DNS和隐私问题
域名系统(DNS)通常被称为“互联网的电话簿"。它是负责链接域名系统的技术。我们每天都使用带有该站点Web服务器IP地址的域(例如 PCPC.me )。
当然,您可以输入站点的IP地址,并且仍然最终出现在其主页上,但是基于文本的URL更容易记住,因此我们为什么要使用它们。
不幸的是,DNS技术存在许多隐私问题。即使您在系统的其他位置采取了所有常规的预防措施,这些问题也会损害您的在线安全。以下是与DNS相关的最严重的隐私问题。
由于DNS的工作方式,它可以作为您访问的网站的日志。不管您访问的网站是否使用HTTPS,您的ISP,移动运营商和公共Wi-Fi提供商仍将完全知道您访问过哪些域。
令人担忧的是,自从2017年,美国的ISP被允许出售其客户的浏览数据以获取经济利益。确实,这种做法在世界各地都很普遍。
最终,您的浏览历史正在帮助众多公司赚钱。这就是为什么您应该始终使用第三方DNS提供商的原因。
与ISP一样,当局也可以使用DNS日志查看您访问过的站点。
如果您居住在这个对政治反对派,LGBTQ活动家,替代宗教等等采取不宽容态度的国家中,访问这种性质的网站可能会给您带来麻烦。
可悲的是,您的DNS查找历史记录可能会将您的私人信仰透露给可能因此对您造成压制的实体。
您还面临DNS缺乏“最后一英里"加密的风险。让我们解释一下。
DNS有两个方面:权威性(在内容方面)和递归解析器(在ISP方面)。从广义上讲,您可以想到DNS解析器问的问题(即“我在哪里可以找到该站点?"),以及提供答案的权威DNS名称服务器。
在解析器和权威之间移动数据服务器(理论上)受DNSSEC保护。但是,“最后一英里"(您的计算机(称为存根解析器)与递归解析器之间的部分)并不安全。
遗憾的是,最后一英里为窥探者和篡改者提供了很多机会。
浏览网络时,计算机将频繁使用缓存在网络中某个地方的DNS数据。这样做可以帮助减少页面加载时间。
但是,缓存本身可能成为“缓存中毒"的受害者。这是中间人攻击的一种形式。
简单来说,黑客可以利用漏洞和不良配置将欺诈性数据添加到缓存中。然后,下次您尝试访问“中毒"网站时,系统会将您发送到由罪犯控制的服务器。
负责人员甚至可以复制您的目标网站;您可能永远都不知道自己已被重定向,并意外输入了用户名,密码和其他敏感信息。
此过程是发生了多少次网络钓鱼攻击。
Cloudflare如何工作?
Cloudflare的新1.1.1.1服务可以解决与DNS技术相关的许多隐私问题。
在该服务公开发布之前,该公司花了很长时间与浏览器开发人员交谈,是根据他们的建议开发的工具。
是的,没有跟踪,也没有数据存储。 Cloudflare已做出承诺,从不跟踪其DNS用户或根据其观看习惯出售广告。为了增强消费者对其声明的信心,该公司发誓永远不会将IP地址查询保存到磁盘,并承诺在24小时内删除所有DNS日志。
实际上,这意味着您的DNS历史记录不会出现ISP和政府的手中。甚至没有Cloudflare的记录供他们请求访问。
键入URL并按Enter键后,几乎所有DNS解析程序都会发送整个域名(“ www",“ “ PCPC.me"和“ com")到根服务器,.com服务器以及任何中间服务。
所有这些信息都是不必要的。根服务器仅需要将解析器定向到.com。为了解决该问题,Cloudflare植入了广泛的既定协议和提议的DNS隐私保护机制,以用于连接存根解析器和递归解析器。
结果是1.1.1.1仅会发送少量的必要信息。
—一种? (@BlameDaAriesNme),2017年9月26日
如果您想知道Cloudflare DNS是否安全,答案是绝对的。 1.1.1.1服务提供了一项功能,可帮助打击最后一英里的监听:基于TLS的DNS。
基于TLS的DNS将加密最后一英里。通过让存根解析器在端口853上与Cloudflare建立TCP连接来工作。存根随后启动TCP握手,然后Cloudflare提供其TLS证书。
连接建立后,存根解析器和递归解析器将被加密。结果是无法进行窃听和篡改。
According to Cloudflare’s figures, less than 10 percent of domains use DNSSEC to secure the connection between a recursive resolver and an authoritative server.
基于HTTPS的DNS是一种新兴技术,旨在帮助保护不使用DNSSEC的HTTPS域。
如果不进行加密,黑客就无法使用。可以收听您的数据包并知道您正在访问哪个站点。缺乏加密还使您容易受到中间人的攻击,如我们先前所详述的。
如何使用Cloudflare DNS
使用新的1.1.1.1服务简单。我们将说明Windows和Mac计算机的过程。
要在Windows上更改DNS提供商,请按照以下步骤操作:
您可能需要重新启动计算机。
如果Mac,请按照以下说明更改DNS:
在Android和Windows上使用Cloudflare iOS,您可以从相应的应用商店下载免费的应用。该应用程序是Cloudflare的最新项目。它仅在2018年11月启用。
名为1.1.1.1的应用程序为该公司的DNS服务器提供了易于使用的开/关切换。当然,您可以使用手机的本机工具来启动DNS,但是设置并不总是很容易找到,有些制造商甚至禁止访问它们。该应用程序对新手更友好。
下载:适用于Android的1.1.1.1 | iOS(免费)
记住要始终使用VPN
比良好的DNS更重要的是,在争夺在线隐私时,应始终使用强大的VPN。
所有信誉良好的VPN提供商也将提供其自己的DNS地址。但是,有时您需要使用我们上面详细介绍的方法来手动更新DNS。否则将导致DNS泄漏。
但是,仅因为您的VPN提供商提供了自己的DNS地址,您仍然可以使用Cloudflare的地址。实际上,它是推荐的;您的VPN的DNS不可能像新的1.1.1.1服务一样复杂或强大。
如果您正在寻找可靠且信誉良好的VPN提供商,我们建议 ExpressVPN , CyberGhost 或私有Internet访问。
如果您想了解更多信息,请务必查看我们有关DNS的指南服务器以及DNS缓存中毒的工作方式。
