V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huyikong
V2EX  ›  DNS

为什么运营商不自己搭建 DoH DoT 服务器呢?

  •  
  •   huyikong · 70 天前 · 4672 次点击
    这是一个创建于 70 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在的加密 DNS 服务基本都是互联网公司或者个人搭建的。为什么运营商不自己搭建 DoH DoT 服务器呢?不光是国内电信、联通、移动还是广电,国外的运营商也几乎没有自己搭建加密 DNS 服务器的。

    ps.我知道运营商会屏蔽或者劫持某些域名。但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。

    44 条回复    2023-03-29 19:42:54 +08:00
    nullpoint007
        1
    nullpoint007  
       70 天前
    加密了他们还怎么劫持用户访问, 还怎么搞钱
    nothingistrue
        2
    nothingistrue  
       70 天前
    你猜猜最大,甚至除了政治目的之外唯一的 DNS 劫持群体是哪个。
    Cormic
        3
    Cormic  
       70 天前
    ```
    但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。

    ```

    杜月笙怕小瘪三抢他赌场的生意
    fournoas
        4
    fournoas  
       70 天前
    脱裤子放屁
    yyzh
        5
    yyzh  
       70 天前
    "家庭、学校或者企业内部局域网的恶意劫持"家庭的话别买小米就行,至于学校和公司你绕过控制的话小心收警告信.特别是公司.
    imes
        6
    imes  
       70 天前 via Android
    工信部只是不想你访问某些网站,不仅不赚钱,还得投入大额预算。
    运营商可是实打实的想让你多访问些网站,搞了 DoH 和 DoT 还怎么拦截插入广告呀。
    http 时代,哪家县市级运营商不给你搞点网页广告,投诉都管不了几天的那种。
    deorth
        7
    deorth  
       70 天前 via Android
    不是,doh 和 dot 普及了吗? os 现在默认使用了吗?运营商怎么下发给 os? 不能下发的话让用户自己配置? 知道怎么配置的用户会去用运营商的 dns?
    expy
        8
    expy  
       70 天前   ❤️ 1
    没必要吧,出了路由器,光猫开始就是 ISP 直接控制的线路,根本没有中间人。
    proxytoworld
        9
    proxytoworld  
       70 天前
    没办法合规的
    proxytoworld
        10
    proxytoworld  
       70 天前
    自从 https 出现,监测用户访问网站的内容就很难了,但还是可以通过 https 握手知道访问了那个网站,如果 DoH 或者 DoT ,那就彻底不能知道用户访问的网站了
    Love4Taylor
        11
    Love4Taylor  
       70 天前 via iPhone
    运营商自己的 DNS 来说,劫持论不太对吧。7 楼的才是真正的原因吧。
    proxytoworld
        12
    proxytoworld  
       70 天前
    @proxytoworld 笔误,DNS 解析记录
    K8dcnPEZ6V8b8Z6
        13
    K8dcnPEZ6V8b8Z6  
       70 天前   ❤️ 1
    现实生活中能独立选择并设置 UDP DNS 的人可能都不到 1%,而能做到这一点就会被称作精通电脑、懂网络的人了……
    DOH DOT 这些玩意对技术宅司空见惯,但现实中还只是趋势,离普遍推开远着呢
    samin
        14
    samin  
       70 天前
    恨不得 https 都消失呢 加密后无法监管 👻
    sunice
        15
    sunice  
       70 天前
    @proxytoworld 还是知道的 HTTPS SNI
    proxytoworld
        16
    proxytoworld  
       70 天前
    说个题外话,我了解某个安全公司掌握了某个很常用的 dns 服务器,就会依靠 dns 解析记录去溯源
    tool2d
        17
    tool2d  
       70 天前
    @sunice 把 SNI 去掉就可以了,SNI 只不过是握手里的一个字段,不是每一个网站都依赖 SNI 。

    如果网站真的想判断,读取 host 也是一样的。
    docx
        18
    docx  
       70 天前 via iPhone
    动力是什么?没钱赚还事多
    optional
        19
    optional  
       70 天前 via iPhone
    你说的这个有正式版 RFC 了吗,原来的 DNS53 作废了吗?
    optional
        20
    optional  
       70 天前 via iPhone
    问题是没有法规强制推行,运营商推这个,还得重新培训业务员,投诉率也会上升,图啥?
    现在推这个的,看起来伟光正,但是你怎么知道他们有没有用这个数据盈利(不劫持,仅仅是记录查询记录就有意义了)
    gujigujij
        21
    gujigujij  
       70 天前
    但不能防止运营商劫持
    crazyweeds
        22
    crazyweeds  
       70 天前
    不赚钱的项目,内部立项都困难。
    julyclyde
        23
    julyclyde  
       70 天前
    @tool2d 正常网站都依赖 SNI
    真的,不是抬杠

    先 SSL 后 HTTP ,你说的 Host header 那是 SSL 之后的步骤了
    fengyaochen
        24
    fengyaochen  
       70 天前
    以国家资本主义权贵资本主义为特色的社会主义,做好事永远漏洞百出,做坏事永远滴水不漏
    tool2d
        25
    tool2d  
       70 天前
    @julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的,SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候,给浏览器发送合适的域名,用来验证签名。

    如果省略 SNI ,那么服务端只要发送默认域名,就能顺利建立连接了。

    据我所知,目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。
    leehon
        26
    leehon  
       70 天前
    感觉加密也没多大实际意义
    lyc8503
        27
    lyc8503  
       70 天前
    就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.

    当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网.
    linliting45
        28
    linliting45  
       70 天前 via iPhone
    你猜运营商给你的 dns 服务器到你家之间有中间人吗
    linliting45
        29
    linliting45  
       70 天前 via iPhone
    而且企业内部肯定是自行搭建 dns 服务器的,家用路由器大部分也带一个,总之就是没意义
    seeme
        30
    seeme  
       70 天前
    @proxytoworld #16 奇安信呗,把 114.114.114.114 给买了。
    Greenm
        31
    Greenm  
       69 天前
    @tool2d 按我的理解,在 tls1.3 以下版本的 https 握手前,如果服务端要求必须通过域名访问,那么不发送 SNI 就肯定无法成功建立链接。况且,用 HTTPS 绝大部份是通过域名访问的,因为证书需要校验域名。

    没配置 sni 就能访问意味着通过 IP 地址也能访问,意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施,这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。

    为什么国内到目前为止 tls1.3 几乎处于不可用? 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ,如果再加上 DoH/DoT 等 DNS 加密技术,那么对于运营商和监管部门来说,在网络层面的流量完全匿名,无法精确阻断了,你上谷歌 V2EX 他们再也管不了了。
    kaddusabagei38
        32
    kaddusabagei38  
       69 天前
    你觉得他们真想搞这玩意么,ESNI 国内都没几个人碰更何况各种非 udp dns 了
    tool2d
        33
    tool2d  
       69 天前   ❤️ 1
    @Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思,不发送 SNI 字段,仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。

    从技术层面看,SNI 只是 ClientHello 里一个可选项,不是必选项。当然我也不否认,一部分网站必须提供 SNI 才能建立连接,这是和服务器代码强相关的。
    Greenm
        34
    Greenm  
       69 天前
    @tool2d 你说得对,SNI 在 TLS1.2 及以前中确实不是强制要求的, 但这种场景非常少见,大部分网站必须要求提供 SNI 才能找到正确的域名建立连接。
    julyclyde
        35
    julyclyde  
       69 天前
    @tool2d 我觉得你是只学了一些技术,却缺乏生产环境的经验,才会这样说的吧
    因为生产环境有需求,所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题
    tool2d
        36
    tool2d  
       69 天前
    @julyclyde 我最后一句有提到的,你觉得为什么要刻意不去配置 SNI ,还不是为了能顺利跳过 SNI 阻断。

    这不算服务器的问题,而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功,就不会出现被强制阻断的情况。
    julyclyde
        37
    julyclyde  
       69 天前
    @tool2d 客户端不发送 SNI 会访问不了绝大多数网站吧
    opengg
        38
    opengg  
       69 天前
    SNI 是方法,提供多个域名服务是目的。
    解决的方法是 ESNI 和 ECH 。
    带来的问题是 DNS 会越来越重,增加了基建的复杂度,Cloudflare / Google 等的话语权会变得更重。
    bclerdx
        39
    bclerdx  
       69 天前
    @proxytoworld 就不该知道用户访问 什么了。就该保护,你看看当前的手机卡实名制,只是对外打着保护隐私的幌子做了遮羞布。
    bclerdx
        40
    bclerdx  
       69 天前
    @Greenm 他们为什么要精准阻断?肯定是目的不纯。
    proxytoworld
        41
    proxytoworld  
       69 天前
    @bclerdx 说实话,实名制反而造成更大的信息泄露、诈骗,实名制只是方便了跨省。。
    bclerdx
        42
    bclerdx  
       69 天前
    @Greenm 通过浏览器查看 V2EX 的相关域名已经是 TLS 1.3 协议了,是不是就已经意味着访问 V2EX 的途中,SNI 已经加密了?
    Greenm
        43
    Greenm  
       69 天前
    @bclerdx ECH 在 TLS1.3 中只是一个扩展,并不强制要求,为了向前兼容很多时候在 TLS1.3 还是会发送 SNI ,要确认是否启用了 ECH ,可能需要抓包。
    lns103
        44
    lns103  
       69 天前
    @bclerdx ech 只是 TLS1.3 的一个扩展,并且需要用 doh 才能开启
    关于   ·   帮助文档   ·   博客   ·   nftychat   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4727 人在线   最高记录 5634   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 49ms · UTC 01:20 · PVG 09:20 · LAX 18:20 · JFK 21:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.