3

Недавно я понял, что DNS-запросы моего VPN были переданы на DNS-сервер моего интернет-провайдера (хотя мои запросы HTTP и HTTPS были правильно переданы через VPN).

Я провел небольшое исследование и получил пару вопросов об уровне детализации, который интернет-провайдер может записать.

Мой вопрос конкретно о DNS-запросах. Я знаю, что есть другие вопросы на этом и связанных форумах о деталях, которые интернет-провайдеры могут почерпнуть из трафика HTTP и HTTPS.

С точки зрения конфиденциальности, существует существенное различие в том, что провайдер записывает DNS-запрос пользователя на:

https://www.google.com/

и просьба:

https://www.google.com/search?source=hp&q=ultra+left+wing+support

Есть разница между записью провайдера:

https://www.reddit.com/ 

а также:

https://www.reddit.com/r/hot-babes 

Насколько я понимаю, DNS-запросы от пользователей к DNS-серверу (ISP) будут показывать хост (https://www.google.com/), но не конкретный поисковый запрос или какую-либо часть URL после TLD (например, .com). Это правильно?

Я спрашиваю о HTTP и HTTPS, хотя я не вижу, что будет разница для запросов DNS.

Другими словами, интернет-провайдер может записывать сайты, которые посетил пользователь (через свои журналы просмотра DNS), но не может записать поисковый запрос, сделанный пользователем в поисковой системе, или конкретные страницы сайта, которые посетил пользователь. , Для этого интернет-провайдер должен будет записывать URL-адреса, когда пользователь непосредственно обращается к страницам веб-сайта. Это правильно?

4 ответа4

2

Если все соединение, которое устанавливает веб-браузер, происходит через HTTPS, то провайдер просто увидит, что вы общаетесь с адресом сервера. Помните, что DNS-запросы обычно не являются частью браузера. Ваш компьютер может делать запросы DNS все, что ему нужно, что в ваших примерах будет только www.reddit.com и www.google.com .

Когда веб-браузер узнает IP-адрес для отправки запроса, браузер зашифровывает весь запрашиваемый URL-адрес. Например, https://www.reddit.com/r/hot-babes зашифрован в строку, которую ваш компьютер и сервер Reddit поймут. Интернет-провайдер не может прочитать это в нормальных условиях.

Нормальные обстоятельства для таких как я. Мой провайдер не предпринимает никаких атак типа «человек посередине» (MITM), например, заставляет меня принять свой собственный корневой сертификат (!). Если они заставили вас установить собственный сертификат, то для них это честная игра.

Это также смягчается, если сайты поддерживают HSTS (Hypertext Strict Transport Security). Надеемся, что это будет актуально и встроено в ваши браузеры (Firefox и Chrome оба делают). Если ваш браузер пытается подключиться к сайту с настройкой HSTS, браузер автоматически обновит соединение до HTTPS перед установкой соединения.

1

С точки зрения BIND, вы не можете. Поступают входящие запросы, и в журналах отображаются только запрашиваемые имена узлов вместе с внешним IP-адресом источника, который выполняет запрос, поскольку DNS просто обеспечивает разрешение имен. У вас нет возможности просмотреть полный URL-адрес в пути. Если интернет-провайдер каким-то образом перехватывает веб-трафик для получения ваших интернет-запросов и методов их запроса, то ваша конфиденциальность будет раскрыта, но на уровне интернет-провайдера ваши запросы станут крошечной иголкой в очень большом стоге сена.

Если бы они хотели подавить политического активиста, им пришлось бы начать отслеживать эти сайты, как правило, в журналах BIND, основываясь на тех именах узлов, которые указывают на указанные веб-сайты. Даже если они получат ваш IP-адрес, они действительно мало что могут сделать с одним IP-адресом, если только они не захотят перебором атаковать IP-адрес весь день, что в большинстве случаев не будет раскрывать конфиденциальность личности, если целевая сеть не будет взломана.

Если вам интересны интернет-провайдеры, просто используйте другой DNS-сервер или обслуживайте свои собственные DNS-запросы, используя конфигурацию корневых ссылок по умолчанию без установленных серверов пересылки и поддерживая актуальность списка корневых серверов. Microsoft DNS-сервер обеспечивает эту простую настройку по умолчанию, как и BIND, исходя из моего опыта, если вы не указали никаких серверов пересылки. Если вы укажете сервер пересылки на своем сервере, то вы фактически направите свои сетевые DNS-запросы для зон вне вашей сети на эти общедоступные серверы. Так что просто сохраните базовую конфигурацию DNS-сервера, которая остается неизменной (за исключением того, что вы, конечно, по-прежнему хотите, чтобы ваши внутренние зоны), и тогда вы подходите для конфиденциальности DNS, поскольку ваш сервер будет обрабатывать эти запросы DNS, отправляя их непосредственно на корневые серверы в обход всех, кроме самых больших из больших юрисдикций каждой доменной юрисдикции. Ваш DNS будет чистым как свисток, поэтому использование ОС серверного класса стоит времени и / или денег ...

0

DNS используется для перевода доменов в IP-адреса, таким образом, независимо от того, собираетесь ли вы перейти на " http://www.google.com ", " https://www.google.com ", " https://www.google .com/q = none_of_your_business "," http://www.google.com/?q=myob "DNS-запрос покажет только поиск" www.google.com ", потому что это все, что требуется браузеру для того, чтобы найти сервер.

Это, вероятно, в значительной степени не имеет значения здесь, но DNS также может иметь дополнительную общую информацию о доменном имени, которое вы запрашиваете, например, с каких IP-адресов он может отправлять электронную почту - но ни одно из этого не будет относиться к вашему соединению или утечке вашей активности, кроме в какой степени он может сказать, какое доменное имя вы просматриваете, а иногда и какой сервис вы используете. (Например, если вы действуете как почтовый сервер, он увидит, что вы запрашиваете почтовую запись, но в большинстве случаев даже не так много.

0

Рассмотрим проблему, когда вы и еще два человека используете один и тот же провайдер vpn, но другой веб-сайт. Теперь, если какой-то злоумышленник захочет узнать, кто посещает запрещено.com с помощью vpn из журнала DNS провайдера, это будет просто один запрос на поиск. Я понимаю, что нередко иметь доступ к данным интернет-провайдера, но недавняя тенденция показывает, что некоторые действительно крупные организации имеют оптовый доступ ко многим журналам по всему миру.

Даже в журнале DNS нет информации о доступе по URL, но с помощью корреляционной атаки легко сопоставить 2+2 = 4!

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .