这是一个创建于 704 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在的加密 DNS 服务基本都是互联网公司或者个人搭建的。为什么运营商不自己搭建 DoH DoT 服务器呢?不光是国内电信、联通、移动还是广电,国外的运营商也几乎没有自己搭建加密 DNS 服务器的。
ps.我知道运营商会屏蔽或者劫持某些域名。但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。
 |
1
nullpoint007 2023-03-28 16:30:30 +08:00
加密了他们还怎么劫持用户访问, 还怎么搞钱
|
 |
2
nothingistrue 2023-03-28 16:32:43 +08:00
你猜猜最大,甚至除了政治目的之外唯一的 DNS 劫持群体是哪个。
|
 |
3
Cormic 2023-03-28 16:33:33 +08:00  1
```
但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。 ``` 杜月笙怕小瘪三抢他赌场的生意 |
 |
4
fournoas 2023-03-28 16:35:13 +08:00
脱裤子放屁
|
 |
5
yyzh 2023-03-28 16:37:05 +08:00
"家庭、学校或者企业内部局域网的恶意劫持"家庭的话别买小米就行,至于学校和公司你绕过控制的话小心收警告信.特别是公司.
|
 |
6
imes 2023-03-28 16:38:29 +08:00 via Android
工信部只是不想你访问某些网站,不仅不赚钱,还得投入大额预算。
运营商可是实打实的想让你多访问些网站,搞了 DoH 和 DoT 还怎么拦截插入广告呀。 http 时代,哪家县市级运营商不给你搞点网页广告,投诉都管不了几天的那种。 |
 |
7
deorth 2023-03-28 16:42:22 +08:00 via Android 1
不是,doh 和 dot 普及了吗? os 现在默认使用了吗?运营商怎么下发给 os? 不能下发的话让用户自己配置? 知道怎么配置的用户会去用运营商的 dns?
|
 |
8
expy 2023-03-28 16:48:51 +08:00 1
没必要吧,出了路由器,光猫开始就是 ISP 直接控制的线路,根本没有中间人。
|
 |
9
proxytoworld 2023-03-28 16:54:26 +08:00
没办法合规的
|
|
10
proxytoworld 2023-03-28 16:55:39 +08:00
自从 https 出现,监测用户访问网站的内容就很难了,但还是可以通过 https 握手知道访问了那个网站,如果 DoH 或者 DoT ,那就彻底不能知道用户访问的网站了
|
 |
11
Love4Taylor 2023-03-28 16:55:47 +08:00 via iPhone
运营商自己的 DNS 来说,劫持论不太对吧。7 楼的才是真正的原因吧。
|
|
12
proxytoworld 2023-03-28 16:55:54 +08:00
@proxytoworld 笔误,DNS 解析记录
|
 |
13
K8dcnPEZ6V8b8Z6 2023-03-28 16:59:45 +08:00 1
现实生活中能独立选择并设置 UDP DNS 的人可能都不到 1%,而能做到这一点就会被称作精通电脑、懂网络的人了……
DOH DOT 这些玩意对技术宅司空见惯,但现实中还只是趋势,离普遍推开远着呢 |
 |
14
samin 2023-03-28 17:08:44 +08:00 1
恨不得 https 都消失呢 加密后无法监管 👻
|
 |
15
sunice 2023-03-28 17:14:30 +08:00
@proxytoworld 还是知道的 HTTPS SNI
|
|
16
proxytoworld 2023-03-28 17:40:45 +08:00
说个题外话,我了解某个安全公司掌握了某个很常用的 dns 服务器,就会依靠 dns 解析记录去溯源
|
 |
17
tool2d 2023-03-28 17:45:08 +08:00
|
 |
18
docx 2023-03-28 18:22:00 +08:00 via iPhone
动力是什么?没钱赚还事多
|
 |
19
optional 2023-03-28 18:26:45 +08:00 via iPhone
你说的这个有正式版 RFC 了吗,原来的 DNS53 作废了吗?
|
|
20
optional 2023-03-28 18:29:22 +08:00 via iPhone
问题是没有法规强制推行,运营商推这个,还得重新培训业务员,投诉率也会上升,图啥?
现在推这个的,看起来伟光正,但是你怎么知道他们有没有用这个数据盈利(不劫持,仅仅是记录查询记录就有意义了) |
 |
21
gujigujij 2023-03-28 20:14:18 +08:00
但不能防止运营商劫持
|
 |
22
crazyweeds 2023-03-28 21:04:29 +08:00
不赚钱的项目,内部立项都困难。
|
 |
23
julyclyde 2023-03-28 21:34:07 +08:00
|
 |
24
fengyaochen 2023-03-28 21:45:59 +08:00
以国家资本主义权贵资本主义为特色的社会主义,做好事永远漏洞百出,做坏事永远滴水不漏
|
|
25
tool2d 2023-03-28 22:26:54 +08:00
@julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的,SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候,给浏览器发送合适的域名,用来验证签名。
如果省略 SNI ,那么服务端只要发送默认域名,就能顺利建立连接了。 据我所知,目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。 |
 |
26
leehon 2023-03-28 23:15:41 +08:00
感觉加密也没多大实际意义
|
 |
27
lyc8503 2023-03-28 23:18:39 +08:00
就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.
当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网. |
 |
28
linliting45 2023-03-29 05:06:23 +08:00 via iPhone
你猜运营商给你的 dns 服务器到你家之间有中间人吗
|
|
29
linliting45 2023-03-29 05:08:34 +08:00 via iPhone
而且企业内部肯定是自行搭建 dns 服务器的,家用路由器大部分也带一个,总之就是没意义
|
 |
30
seeme 2023-03-29 08:54:44 +08:00
@proxytoworld #16 奇安信呗,把 114.114.114.114 给买了。
|
 |
31
Greenm 2023-03-29 09:34:39 +08:00 1
@tool2d 按我的理解,在 tls1.3 以下版本的 https 握手前,如果服务端要求必须通过域名访问,那么不发送 SNI 就肯定无法成功建立链接。况且,用 HTTPS 绝大部份是通过域名访问的,因为证书需要校验域名。
没配置 sni 就能访问意味着通过 IP 地址也能访问,意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施,这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。 为什么国内到目前为止 tls1.3 几乎处于不可用? 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ,如果再加上 DoH/DoT 等 DNS 加密技术,那么对于运营商和监管部门来说,在网络层面的流量完全匿名,无法精确阻断了,你上谷歌 V2EX 他们再也管不了了。 |
 |
32
kaddusabagei38 2023-03-29 09:35:02 +08:00
你觉得他们真想搞这玩意么,ESNI 国内都没几个人碰更何况各种非 udp dns 了
|
|
33
tool2d 2023-03-29 09:54:12 +08:00 1
@Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思,不发送 SNI 字段,仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。
从技术层面看,SNI 只是 ClientHello 里一个可选项,不是必选项。当然我也不否认,一部分网站必须提供 SNI 才能建立连接,这是和服务器代码强相关的。 |
|
34
Greenm 2023-03-29 10:36:53 +08:00
@tool2d 你说得对,SNI 在 TLS1.2 及以前中确实不是强制要求的, 但这种场景非常少见,大部分网站必须要求提供 SNI 才能找到正确的域名建立连接。
|
|
35
julyclyde 2023-03-29 10:58:59 +08:00
@tool2d 我觉得你是只学了一些技术,却缺乏生产环境的经验,才会这样说的吧
因为生产环境有需求,所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题 |
|
36
tool2d 2023-03-29 11:42:33 +08:00
@julyclyde 我最后一句有提到的,你觉得为什么要刻意不去配置 SNI ,还不是为了能顺利跳过 SNI 阻断。
这不算服务器的问题,而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功,就不会出现被强制阻断的情况。 |
 |
38
opengg 2023-03-29 14:15:35 +08:00
SNI 是方法,提供多个域名服务是目的。
解决的方法是 ESNI 和 ECH 。 带来的问题是 DNS 会越来越重,增加了基建的复杂度,Cloudflare / Google 等的话语权会变得更重。 |
 |
39
bclerdx 2023-03-29 16:00:38 +08:00
@proxytoworld 就不该知道用户访问 什么了。就该保护,你看看当前的手机卡实名制,只是对外打着保护隐私的幌子做了遮羞布。
|
|
41
proxytoworld 2023-03-29 16:06:13 +08:00
@bclerdx 说实话,实名制反而造成更大的信息泄露、诈骗,实名制只是方便了跨省。。
|
|
42
bclerdx 2023-03-29 16:06:49 +08:00
@Greenm 通过浏览器查看 V2EX 的相关域名已经是 TLS 1.3 协议了,是不是就已经意味着访问 V2EX 的途中,SNI 已经加密了?
|
Select Language