现在的加密 DNS 服务基本都是互联网公司或者个人搭建的。为什么运营商不自己搭建 DoH DoT 服务器呢?不光是国内电信、联通、移动还是广电,国外的运营商也几乎没有自己搭建加密 DNS 服务器的。
ps.我知道运营商会屏蔽或者劫持某些域名。但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。
1
nullpoint007 70 天前
加密了他们还怎么劫持用户访问, 还怎么搞钱
|
2
nothingistrue 70 天前
你猜猜最大,甚至除了政治目的之外唯一的 DNS 劫持群体是哪个。
|
3
Cormic 70 天前
```
但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。 ``` 杜月笙怕小瘪三抢他赌场的生意 |
![]() |
4
fournoas 70 天前
脱裤子放屁
|
![]() |
5
yyzh 70 天前
"家庭、学校或者企业内部局域网的恶意劫持"家庭的话别买小米就行,至于学校和公司你绕过控制的话小心收警告信.特别是公司.
|
![]() |
6
imes 70 天前 via Android
工信部只是不想你访问某些网站,不仅不赚钱,还得投入大额预算。
运营商可是实打实的想让你多访问些网站,搞了 DoH 和 DoT 还怎么拦截插入广告呀。 http 时代,哪家县市级运营商不给你搞点网页广告,投诉都管不了几天的那种。 |
7
deorth 70 天前 via Android
不是,doh 和 dot 普及了吗? os 现在默认使用了吗?运营商怎么下发给 os? 不能下发的话让用户自己配置? 知道怎么配置的用户会去用运营商的 dns?
|
8
expy 70 天前 ![]() 没必要吧,出了路由器,光猫开始就是 ISP 直接控制的线路,根本没有中间人。
|
![]() |
9
proxytoworld 70 天前
没办法合规的
|
![]() |
10
proxytoworld 70 天前
自从 https 出现,监测用户访问网站的内容就很难了,但还是可以通过 https 握手知道访问了那个网站,如果 DoH 或者 DoT ,那就彻底不能知道用户访问的网站了
|
![]() |
11
Love4Taylor 70 天前 via iPhone
运营商自己的 DNS 来说,劫持论不太对吧。7 楼的才是真正的原因吧。
|
![]() |
12
proxytoworld 70 天前
@proxytoworld 笔误,DNS 解析记录
|
![]() |
13
K8dcnPEZ6V8b8Z6 70 天前 ![]() 现实生活中能独立选择并设置 UDP DNS 的人可能都不到 1%,而能做到这一点就会被称作精通电脑、懂网络的人了……
DOH DOT 这些玩意对技术宅司空见惯,但现实中还只是趋势,离普遍推开远着呢 |
![]() |
14
samin 70 天前
恨不得 https 都消失呢 加密后无法监管 👻
|
15
sunice 70 天前
@proxytoworld 还是知道的 HTTPS SNI
|
![]() |
16
proxytoworld 70 天前
说个题外话,我了解某个安全公司掌握了某个很常用的 dns 服务器,就会依靠 dns 解析记录去溯源
|
![]() |
18
docx 70 天前 via iPhone
动力是什么?没钱赚还事多
|
19
optional 70 天前 via iPhone
你说的这个有正式版 RFC 了吗,原来的 DNS53 作废了吗?
|
20
optional 70 天前 via iPhone
问题是没有法规强制推行,运营商推这个,还得重新培训业务员,投诉率也会上升,图啥?
现在推这个的,看起来伟光正,但是你怎么知道他们有没有用这个数据盈利(不劫持,仅仅是记录查询记录就有意义了) |
21
gujigujij 70 天前
但不能防止运营商劫持
|
22
crazyweeds 70 天前
不赚钱的项目,内部立项都困难。
|
24
fengyaochen 70 天前
以国家资本主义权贵资本主义为特色的社会主义,做好事永远漏洞百出,做坏事永远滴水不漏
|
![]() |
25
tool2d 70 天前
@julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的,SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候,给浏览器发送合适的域名,用来验证签名。
如果省略 SNI ,那么服务端只要发送默认域名,就能顺利建立连接了。 据我所知,目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。 |
![]() |
26
leehon 70 天前
感觉加密也没多大实际意义
|
27
lyc8503 70 天前
就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.
当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网. |
28
linliting45 70 天前 via iPhone
你猜运营商给你的 dns 服务器到你家之间有中间人吗
|
29
linliting45 70 天前 via iPhone
而且企业内部肯定是自行搭建 dns 服务器的,家用路由器大部分也带一个,总之就是没意义
|
30
seeme 70 天前
@proxytoworld #16 奇安信呗,把 114.114.114.114 给买了。
|
31
Greenm 69 天前
@tool2d 按我的理解,在 tls1.3 以下版本的 https 握手前,如果服务端要求必须通过域名访问,那么不发送 SNI 就肯定无法成功建立链接。况且,用 HTTPS 绝大部份是通过域名访问的,因为证书需要校验域名。
没配置 sni 就能访问意味着通过 IP 地址也能访问,意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施,这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。 为什么国内到目前为止 tls1.3 几乎处于不可用? 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ,如果再加上 DoH/DoT 等 DNS 加密技术,那么对于运营商和监管部门来说,在网络层面的流量完全匿名,无法精确阻断了,你上谷歌 V2EX 他们再也管不了了。 |
32
kaddusabagei38 69 天前
你觉得他们真想搞这玩意么,ESNI 国内都没几个人碰更何况各种非 udp dns 了
|
![]() |
33
tool2d 69 天前 ![]() @Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思,不发送 SNI 字段,仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。
从技术层面看,SNI 只是 ClientHello 里一个可选项,不是必选项。当然我也不否认,一部分网站必须提供 SNI 才能建立连接,这是和服务器代码强相关的。 |
35
julyclyde 69 天前
@tool2d 我觉得你是只学了一些技术,却缺乏生产环境的经验,才会这样说的吧
因为生产环境有需求,所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题 |
![]() |
36
tool2d 69 天前
@julyclyde 我最后一句有提到的,你觉得为什么要刻意不去配置 SNI ,还不是为了能顺利跳过 SNI 阻断。
这不算服务器的问题,而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功,就不会出现被强制阻断的情况。 |
38
opengg 69 天前
SNI 是方法,提供多个域名服务是目的。
解决的方法是 ESNI 和 ECH 。 带来的问题是 DNS 会越来越重,增加了基建的复杂度,Cloudflare / Google 等的话语权会变得更重。 |
![]() |
39
bclerdx 69 天前
@proxytoworld 就不该知道用户访问 什么了。就该保护,你看看当前的手机卡实名制,只是对外打着保护隐私的幌子做了遮羞布。
|
![]() |
41
proxytoworld 69 天前
@bclerdx 说实话,实名制反而造成更大的信息泄露、诈骗,实名制只是方便了跨省。。
|