Power Member
加入日期: Jun 2003 您的住址: CC BY-NC-ND 4.0授權
文章: 673
|
上網時連到香港DNS是否對自己不安全?
|
|||||||
2020-11-02, 09:21 AM
#1
|
Golden Member
加入日期: Jan 2002
文章: 3,988
|
有疑慮的話,就請改用Google的8.8.8.8
如果,是手機平板類的上網,就認命吧!! 至於安全性問題,上了那一家的船(ISP) 就乖乖聽人家的話, 尤其是在對岸的網路環境裡 不要想搞東搞西的,以免惹禍上身!! 不要以為走HTTPS (SSL)就萬無一失 , 要破解只要 在ISP端建一個SSL Proxy 一樣把內容給輕易解開來看!! 這個準則放諸四海皆準.... 只要用國家安全需要,每一家ISP都會乖乖聽令行事 !!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
||
2020-11-02, 10:22 AM
#2
|
Power Member
加入日期: Jun 2003 您的住址: CC BY-NC-ND 4.0授權
文章: 673
|
引用:
至於安卓手機與平板,仍可用安卓內建功能修改DNS! 當然,也可以裝改DNS的App,譬如這個。 此App內建Google、CloudFlare的DNS可供選擇。 https://play.google.com/store/apps/...nerd.dnschanger 最後,原來對ISP而言,破解HTTPS (SSL)如此容易! 謝謝您! |
|
2020-11-02, 10:40 AM
#3
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
引用:
SSL Proxy 除非你在 client 端加裝 proxy 的憑證 不然你甚麼有用的東西都撈不出來 而且 HTTPS OVER DNS 流量藏在一般 HTTPS 流量內 你根本分出不出來那些是請求 DNS 哪些是請求 WEB 的流量 實際上 IPS 才不會幹這種事情 因為花費大筆成本,結果只能猜出哪些是請求 DNS 解析流量 解析到哪根本不曉得,只能從請求的 IP 反解猜測大概是哪裡 根本一點用都沒有 SSL PROXY 對於通道以及內容加密的流量 都沒有甚麼辦法應付 而且 QUIC Over DNS 已經有可以用的 SERVER 跟 CLIENT 了 未來撈 DNS 流量只是更難上加難而已 DNS LEAK 的問題可以改用 1.1.1.1 cloudflare 的 DNS 解析時,不會帶 client 的地區資訊 例如查詢 youtube 的時候,youtube 會返回對於這台 DNS 伺服器 相對來說瀏覽 YOUTUBE 的最近點,而不是 client 相對於得最近點 但大部分 DNS 伺服器都會附帶你的區域資訊 所以你要嘛就做好 DNS LEAK 要嘛去有風險的地方全程掛 tor 然後短時間平繁更換識別身分
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
|
2020-11-02, 02:29 PM
#4
|
Golden Member
加入日期: Jan 2002
文章: 3,988
|
引用:
如果Client一開始就是往SSL Proxy去連線 , 再由Proxy代替去連線真正要連線的WEB Site 然後把連線得到的資料再傳給Client , 這樣又如何呢?? 能不能夠知道SSL內容呢 ??? 這個做法,只有去查看Client端憑證是誰發出來的才有機會知道有沒有中間者(Proxy)存在 通常一般人不會去查看這東西,除非憑證一開始就是非法的,WEB Client要確認使用者 是不是真的要連線,才會去注意這個非法的憑證!! 但, 如果SSL Proxy一開始就去申請一個合法憑證的情況下 , WEB Client是連告警都不會發出來的 .... 上面那句話,我還真的有點OXOX , HTTPS (SSL) 何時可以透過 DNS Protocol 傳送?? HTTPS 走443 port , DNS走UDP 53 port , HTTPS去走UDP 53 port 會通??? 如果你跟我說 , HTTPS Over VPN我還會覺得那句話合理多了, 這時根本就不要想去破解 DNS packet Query的流量 !! 但目前很明顯不是啊..... 樓主沒有提到SSL VPN啊!!!!!!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
|
2020-11-02, 04:15 PM
#5
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
引用:
SSL/WEB PROXY 大部分的時候,其實幾乎等同或相當於正向代理 假如我把它的快取加大到 30GB 的時候,其實已經等同於 WEB/SSL PROXY 了 此外有些網站會強制指定 CACHE LIFETIME,這種網站幾乎不可能被快取的 WEB 會強制推送新內容 如果對方是 WEB ,你的所謂合法憑證 用途跟角色,僅僅就只是一個正向代理 例如 search.pcdvd.com.tw 進入後 裡面其實是一個 www.google.com 的搜尋首頁 這種當然沒有問題 問題是,你要去撈裡面的資料,去偷看對方要幹嘛 或者修改封包內文,這種你就算有辦法修改 也無法做到完全無痕跡 所以以中間人角色要達到這樣的目的是不可能的 所以你說,SSL PROXY 有憑證,WEB 不會警告 除非你做正向代理,如果要監控解密文,那是不可能的 假設全世界就你解得開,你也沒有辦法冒充 www.google.com 或者全世界任何一個擁有合法憑證的 web 我也沒提 HTTPS OVER VPN 阿 我是在回應 sparc10 老兄何謂 DNS LEAK 當你沒掛 MASQ 的時候,你的 IP 直接暴露 就算你使用具備隱私以及完整性保護的 DNS OVER HTTPS/TLS 我看你連線的 IP 就知道你哪邊來的 DNS 防護,首先一個大前提是"不使用 ISP 提供的 DNS 伺服器" 例如使用 1.1.1.1 ,這樣 ISP 只知道你連到 youtube 但是它不會知道你看了甚麼影片 對 google 來說,你的 DNS 請求只看得到 1.1.1.1 的區域資訊 假設最近點是在美國西岸,就給你西岸連 youtube 的最近點 ip 它看不到你的 DNS 請求是來自台灣 但是藉由你的 ip ,如果你沒掛 tor 等 masq 的話 它當然知道你的 ip 來自台灣 反過來說,今天你的角色是 DNS 我也不是你的 ISP,本身不具任何隱私保護 當你請求 youtube 網址時,DNS 同時會把你的所在區域位置 也一並告訴 google,google 知道你在台灣 就把台灣最近點的 youtube ip 給你 不過其實我是覺得您問得這個問題其實很奇怪 ssl proxy 其實在現代已經慢慢被其它角色取代 ( 正向/反向/routing ) 因為實際上的應用,當 client 或 server 其中一方要求驗證的時候 SSL PROXY 在這邊就只能把流量 forward 下去,完全就是一個廢物 除非有 NAT 或者打特殊應用需要的 TAG 否則在生產環境中,SSL PROXY 已經幾乎絕跡將近十年
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
|
2020-11-02, 07:52 PM
#6
|
Power Member
加入日期: Jun 2003 您的住址: CC BY-NC-ND 4.0授權
文章: 673
|
野口兄的意思應該是:
【DNS over HTTPS】的PORT與HTTPS用的PORT一樣, 所以,很難將DoH與其他HTTPS流量區分開來。 此處就是在抱怨這點. https://www.uniforce.com.tw/edconte...=tw&tb=1&id=217 不過,他不慎寫錯成HTTPS OVER DNS,也讓Anderson兄有點小誤會. 我原本以爲要避免【用戶的DNS解析請求被竊聽或者修改】,則可用DNS over HTTPS 或 DNS over TLS. 但野口兄特別提到【cloudflare 的 DNS 解析時,不會帶 client 的地區資訊】. 這是我過去不曾注意到的. 雖然我在原文沒提到【SSL VPN】,但自己試過【免費 VPN】后, 發現【DNS over HTTPS 或 DNS over TLS】比較適合自己的節儉需求. 最後,謝謝大家! |
2020-11-02, 08:06 PM
#7
|
Golden Member
加入日期: Jan 2002
文章: 3,988
|
嗯... 我無意去做一個發散式的擴張討論!! 尤其是要去竄改HTTPS的內容網頁 , 這絕不是我的意思 , 我的意思是透過SSL Proxy 去得知傳輸內容!!
至於sparc10兄說的那個網站,我測了一下我自已的環境 , 我大概知道它的運作原理為何了 因為我得到的資料,它說我來自 IP-A , DNS server也是IP-A !! 那它的原理就是同步監控 它自己的網站access及DNS Query Packet 的Source IP , 雖然會有時間差的問題存在 但只要去找出log資料 比對 time , 並賦一段時間的差距,八九不離十就能找到match data ISP不是要不要做監聽內容的事,是有沒有必要做 , 通常不會主動去做 , 如果有必要 還是會動用資源去做!! 所以我才說, 不要以為HTTPS就百分之百安全 , 別人都看不到內容 老共的領域之內,要這樣做,千萬三思 , 尤其是涉及到顷國家之力壓下來的壓力 , 沒有一家ISP不配合的!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
2020-11-02, 09:41 PM
#8
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
引用:
是的,前面我確實寫錯了 目前除非是在中共,或其他第三世界國家 應該都不用擔心 DNS 汙染 / 監控 / 竄改等問題 香港的話,如果擔心未來有此風險 建議就是不要使用 至於 DNS 查詢的附加資訊這是 EDNS 帶來的 只是 CloudFlare 有強調因為與其本身隱私特性有牴觸 所以不會提供這些資訊 但使用這種附帶區域資訊的 DNS 返回的 ip 實際上是可以帶來更好的瀏覽體驗 我其實建議使用 ADGuard Home 目前版本已經支援 DNS over QUIC 了 實測作為 Server 或 client 都沒有問題 不過根據返回的結果,目前 QUIC 用的跟原本的 DoT/DoH 應該是不同的設定 QUIC 返回的結果有時會與前兩者不同 引用:
我不知道為什麼你一直要強調透過 proxy 去看內容? 除了 DNSSEC, DoT, DoH 你要怎麼看? 要看內容,你必須要有私鑰才能解 proxy 角色就是中間人,根本沒有私鑰 實務上,proxy 遇到這種流量要嘛 bypass 要嘛就是 drop 而那個 browserleaks 的測試,原理並不是你說的那樣 DNS LEAK 的測試,可以用的方法很多,WebRTC, EDNS 等 你 IP 掛個 MASQ 去跑就知道不是這樣了 而且你去網站跑測試,為什麼 DNS query 封包會跑到這網站? 台灣幾乎各大 ISP 都有在撈 DNS 內容 已經行之有年
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
||
2020-11-03, 10:15 AM
#9
|