راه های مختلفی برای محافظت از پرس و جوهای DNS شما وجود دارد، اما هر رویکرد نقاط قوت و ضعف خود را دارد.
سیستم نام دامنه (DNS) به طور گسترده ای به عنوان دفترچه تلفن اینترنت در نظر گرفته می شود که نام دامنه ها را به اطلاعات قابل خواندن توسط رایانه ها مانند آدرس های IP تبدیل می کند.
هر زمان که یک نام دامنه را در نوار آدرس می نویسید، DNS به طور خودکار آن را به آدرس IP مربوطه خود تبدیل می کند. مرورگر شما از این اطلاعات برای بازیابی داده ها از سرور مبدا و بارگذاری سایت استفاده می کند.
اما مجرمان سایبری اغلب می توانند از ترافیک DNS جاسوسی کنند و رمزگذاری را برای خصوصی و ایمن نگه داشتن مرور وب شما ضروری می کنند.
پروتکل های رمزگذاری DNS چیست؟
پروتکل های رمزگذاری DNS برای افزایش حریم خصوصی و امنیت شبکه یا وب سایت شما با رمزگذاری پرسش ها و پاسخ های DNS طراحی شده اند. پرسشها و پاسخهای DNS به طور منظم به صورت متن ساده ارسال میشوند، که رهگیری و دستکاری ارتباط را برای مجرمان سایبری آسانتر میکند.
پروتکل های رمزگذاری DNS مشاهده و اصلاح داده های حساس شما یا ایجاد اختلال در شبکه شما را برای این هکرها دشوارتر می کند. ارائه دهندگان DNS رمزگذاری شده مختلفی وجود دارند که می توانند سؤالات شما را از چشمان کنجکاو محافظت کنند.
رایج ترین پروتکل های رمزگذاری DNS
امروزه چندین پروتکل رمزگذاری DNS در حال استفاده است. این پروتکل های رمزگذاری را می توان برای جلوگیری از جاسوسی در شبکه با رمزگذاری ترافیک در پروتکل HTTPS از طریق اتصال امنیتی لایه انتقال (TLS) استفاده کرد.
1. DNSCrypt
DNSCrypt یک پروتکل شبکه است که تمام ترافیک DNS بین رایانه کاربر و سرورهای نام عمومی را رمزگذاری می کند. این پروتکل از زیرساخت کلید عمومی (PKI) برای تأیید صحت سرور DNS و مشتریان شما استفاده می کند.
از دو کلید، یک کلید عمومی و یک کلید خصوصی برای احراز هویت ارتباط بین مشتری و سرور استفاده می کند. هنگامی که یک پرس و جو DNS آغاز می شود، مشتری آن را با استفاده از کلید عمومی سرور رمزگذاری می کند.
پرس و جو رمزگذاری شده سپس به سرور ارسال می شود، که با استفاده از کلید خصوصی آن، پرس و جو را رمزگشایی می کند. به این ترتیب، DNSCrypt تضمین می کند که ارتباط بین مشتری و سرور همیشه احراز هویت و رمزگذاری شده است.
DNSCrypt یک پروتکل شبکه نسبتا قدیمی است. به دلیل پشتیبانی گسترده تر و تضمین های امنیتی قوی تر ارائه شده توسط این پروتکل های جدید، تا حد زیادی توسط DNS-over-TLS (DoT) و DNS-over-HTTPS (DoH) جایگزین شده است.
2. DNS-over-TLS
DNS-over-TLS درخواست DNS شما را با استفاده از امنیت لایه حمل و نقل (TLS) رمزگذاری می کند. TLS تضمین می کند که پرس و جوی DNS شما به صورت انتها به انتها رمزگذاری شده است و از حملات انسان در وسط (MITM) جلوگیری می کند.
هنگامی که از DNS-over-TLS (DoT) استفاده می کنید، درخواست DNS شما به جای یک حل کننده رمزگذاری نشده به یک حل کننده DNS-over-TLS ارسال می شود. حلکننده DNS-over-TLS درخواست DNS شما را رمزگشایی میکند و آن را از طرف شما به سرور DNS معتبر ارسال میکند.
درگاه پیشفرض برای DoT پورت TCP 853 است. وقتی با استفاده از DoT متصل میشوید، هم کلاینت و هم حلکننده یک دست دادن دیجیتالی انجام میدهند. سپس، کلاینت پرس و جوی DNS خود را از طریق کانال رمزگذاری شده TLS به حل کننده ارسال می کند.
حل کننده DNS پرس و جو را پردازش می کند، آدرس IP مربوطه را پیدا می کند و پاسخ را از طریق کانال رمزگذاری شده به مشتری ارسال می کند. پاسخ رمزگذاری شده توسط مشتری دریافت می شود، در آنجا رمزگشایی می شود و مشتری از آدرس IP برای اتصال به وب سایت یا سرویس مورد نظر استفاده می کند.
3. DNS-over-HTTPS
HTTPS نسخه ایمن HTTP است که اکنون برای دسترسی به وب سایت ها استفاده می شود. مانند DNS-over-TLS، DNS-over-HTTPS (DoH) نیز تمام اطلاعات را قبل از ارسال از طریق شبکه رمزگذاری می کند.
در حالی که هدف یکسان است، تفاوت های اساسی بین DoH و DoT وجود دارد. برای شروع، وزارت بهداشت به جای ایجاد مستقیم یک اتصال TLS برای رمزگذاری ترافیک شما، تمام درخواست های رمزگذاری شده را از طریق HTTPS ارسال می کند.
ثانیاً، از پورت 403 برای ارتباطات عمومی استفاده میکند و تمایز آن را از ترافیک عمومی وب دشوار میکند. DoT از پورت 853 استفاده می کند و شناسایی ترافیک از آن پورت و مسدود کردن آن را بسیار آسان تر می کند.
وزارت بهداشت در مرورگرهای وب مانند موزیلا فایرفاکس و گوگل کروم مورد استقبال گسترده تری قرار گرفته است، زیرا از زیرساخت HTTPS موجود استفاده می کند. DoT بیشتر توسط سیستم عامل ها و حل کننده های DNS اختصاصی استفاده می شود تا اینکه مستقیماً در مرورگرهای وب ادغام شود.
دو دلیل عمده که DoH مورد استقبال گستردهتری قرار گرفته است این است که ادغام آن در مرورگرهای وب موجود بسیار سادهتر است و مهمتر از آن، ترکیب یکپارچه با ترافیک وب معمولی است و مسدود کردن آن را بسیار سختتر میکند.
4. DNS-over-QUIC
در مقایسه با سایر پروتکل های رمزگذاری DNS در این لیست، DNS-over-QUIC (DoQ) نسبتاً جدید است. این یک پروتکل امنیتی در حال ظهور است که پرس و جوها و پاسخ های DNS را از طریق پروتکل حمل و نقل QUIC (اتصالات اینترنت سریع UDP) ارسال می کند.
امروزه بیشتر ترافیک اینترنتی به پروتکل کنترل انتقال (TCP) یا پروتکل دادهگرام کاربر (UDP) متکی است که معمولاً درخواستهای DNS از طریق UDP ارسال میشوند. با این حال، پروتکل QUIC برای غلبه بر چند اشکال TCP/UDP معرفی شد و به کاهش تاخیر و بهبود امنیت کمک می کند.
QUIC یک پروتکل حمل و نقل نسبتاً جدید است که توسط Google توسعه یافته و برای ارائه عملکرد، امنیت و قابلیت اطمینان بهتر در مقایسه با پروتکل های سنتی مانند TCP و TLS طراحی شده است. QUIC ویژگی های هر دو TCP و UDP را ترکیب می کند، در حالی که رمزگذاری داخلی مشابه TLS را نیز یکپارچه می کند.
از آنجایی که DoQ جدیدتر است، مزایای متعددی را نسبت به پروتکل های ذکر شده در بالا ارائه می دهد. برای شروع، DoQ عملکرد سریعتری را ارائه میکند، تاخیر کلی را کاهش میدهد و زمان اتصال را بهبود میبخشد. این منجر به وضوح سریعتر DNS (زمانی که طول می کشد تا DNS آدرس IP را حل کند). در نهایت، این بدان معنی است که وب سایت ها سریعتر به شما ارائه می شوند.
مهمتر از آن، DoQ در مقایسه با TCP و UDP نسبت به از دست دادن بسته انعطاف پذیرتر است، زیرا برخلاف پروتکل های مبتنی بر TCP می تواند از بسته های از دست رفته بدون نیاز به ارسال مجدد کامل بازیابی شود.
علاوه بر این، انتقال اتصالات با استفاده از QUIC نیز بسیار ساده تر است. QUIC چندین جریان را در یک اتصال محصور می کند و تعداد رفت و برگشت های مورد نیاز برای اتصال را کاهش می دهد و در نتیجه عملکرد را بهبود می بخشد. این می تواند هنگام جابجایی بین Wi-Fi و شبکه های تلفن همراه نیز مفید باشد.
QUIC در مقایسه با سایر پروتکل ها هنوز به طور گسترده مورد پذیرش قرار نگرفته است. اما شرکت هایی مانند اپل، گوگل و متا در حال حاضر از QUIC استفاده می کنند و اغلب نسخه مخصوص به خود را ایجاد می کنند (مایکروسافت از MsQUIC برای تمام ترافیک SMB خود استفاده می کند) که نویدبخش آینده خوبی است.
در آینده منتظر تغییرات بیشتری در DNS باشید
انتظار می رود فناوری های نوظهور به طور اساسی نحوه دسترسی ما به وب را تغییر دهند. به عنوان مثال، بسیاری از شرکتها در حال حاضر از فناوریهای بلاک چین برای ارائه پروتکلهای نامگذاری دامنه امنتر، مانند HNS و Unstoppable Domains استفاده میکنند.