dns服务器安全解析打造安全上网“金钟罩”

2020-11-12 10:34:20

人类记忆有具体意义的文字比记忆无规律的数字往往容易得多。

所以我们在访问网站时,更习惯在浏览器地址栏中输入域名,而不是敲出一串IP地址去打开目标页面。能够如此聪明、便捷地访问网站,是因为“DNS服务器”自动把域名翻译成了相应的IP地址,然后再调出IP地址所对应的网页。

纵观整个互联网时代,如果要问哪个应用层协议最重要,答案无疑是DNS。然而,随着国际网络安全形势日趋错综复杂,DNS也面临着越来越大的安全挑战。11月2日,360政企安全集团在ISC平台上举办360安全DNS新产品发布会,重磅发布DNS基础解析服务、DNS安全解析服务、DNS安全检测系统三款产品,以新一代DNS安全解析构筑安全防护“网”。360集团PC浏览器高级技术经理尹青建以《从浏览器维度看DoH》为题,分享了DNS安全解析对浏览器安全防护的意义与实践。

网络空间基石DNS问题频发

DoH安全解析打造安全上网“金钟罩”

据BroadbandSearch数据显示,2019年PC流量占互联网总流量的46.7%,虽然移动互联网的迅速发展给PC端带来很大冲击,但PC流量仍然占据着互联网的半壁江山。随着OutLook、Gmail、Office 365等企业办公服务类应用的诞生,浏览器作为PC的主要流量入口,集中应用于办公场景,且使用时长占据用户50%以上的时间,同时也因此承受着巨大的安全风险。

尹青建表示,随着上班族使用浏览器的时间越来越长,网站访问安全问题需要引起高度重视。据卡巴斯基2017年网络攻击报告显示,来自浏览器的攻击总量占比达到了42.6%,成为黑客终端攻击的首要目标。为了解决黑客最常用的网站劫持、网站篡改等安全问题,360浏览器于2018年12月启动了根证书计划,通过推动HTTPS加密协议的普及,在一定程度上解决了部分网站访问的安全问题。

“然而相比HTTPS协议,DNS协议处于协议栈(Protocol stack)的更底层位置,且传统DNS协议本身存在一些设计问题,导致由DNS引起的安全问题频发,网站访问安全依然得不到保障”尹青建指出。在此背景下,各大主流浏览器的关注点陆续转向如何通过提升DNS的安全性保障访问网站免遭劫持。

要提升DNS的安全性,首先要知道其不安全的根源。传统的DNS请求是非加密的,攻击者可以轻易劫持用户在访问网站时发起的DNS请求,继而实施篡改网站IP地址定向到危险网址、窃取用户隐私、在正常网页插入大量广告等恶意行为。

为了避免传统DNS在解析数据的公开过程中被中间人窃取、劫持和篡改,DoH协议诞生了。DoH全称DNS Over HTTPS,顾名思义,就是通过HTTPS加密协议进行DNS传输,对DNS查询数据的过程进行了加密。形象一点说,就是在DNS外面套了一层HTTPS,相当于给DNS原本公开的解析过程穿上了一件防偷窥的外套。站在用户的角度,有了DoH的保护,任何人都将无法通过劫持DNS查询到我们的网络足迹,意味着我们网络上的隐私将会更加安全。

360DoH安全解析服务“久经沙场”

灵活赋能政企多场景业务安全

近年来,各大主流浏览器已先后增加了DoH功能以保障用户安全。

2017年,Firefox浏览器开始支持DoH协议,并开启实验功能,于今年2月默认为美

国用户推出并启用DNS服务。

2019年9月,Google在Chrome 78中开始与DNS供应商合作测试DoH功能,

一直持续到今年1月。

值得一提的是,作为国内市场份额第一的360浏览器,在这次具有时代意义的安全升级中也未落于人后。

2019年11月,360浏览器与360政企安全集团DNS团队通力合作,在360极速浏览器12.0版本中加入了DoH,成为国内首家支持DoH服务的浏览器。

2019年12月,360安全浏览器中开始支持DoH协议。

2020年9月,360浏览器每天的DoH请求量已达几十亿次,保障了数百万用户的网络安全和隐私安全。

事实上,在本次正式对外发布安全解析服务之前,360安全DNS团队已投身DNS安全分析八年之久。依托360互联网安全产品优势,不仅在360内部服务了360浏览器,还向360安全卫士的用户提供了DoH安全解析服务,目前每日的解析设备数已经超过1000万台。此外,360安全DNS团队还与360 IoT中台联合开发了DoH接入方案,并且在360扫地机器人、360智能摄像机的设备和APP中投入使用了很长时间,有效防止了可能由于DNS劫持导致的业务终端故障。由此可见,360 DNS安全解析服务是经过了内部长期使用考验的,其价值和稳定性也得到了证实。

作为国家、城市、行业、企业安全的坚定守护者,依托360安全大脑的持续赋能,360 安全DNS团队还将针对政府机构提供和建设独立的安全解析链路,以阻断敌对势力通过DNS数据对我国网络进行嗅探、窃取情报的威胁。同时联合产业链上下游,积极探索创新的DNS安全服务模式,共同推动DNS安全高速发展。

标签: dns服务器

关闭
新闻速递