PCDVD數位科技討論區
PCDVD數位科技討論區   註冊 常見問題 標記討論區為已讀

回到   PCDVD數位科技討論區 > 其他群組 > 疑難雜症區
帳戶
密碼
 

回應
 
主題工具
sparc10
Advance Member
 
sparc10的大頭照
 

加入日期: Jun 2003
您的住址: 本人文章留言都用CC BY-NC-ND 4.0
文章: 474
上網時連到香港DNS是否對自己不安全?

https://browserleaks.com/ip

此網頁能顯示上網時連到的DNS在何處。
如果上網時連到香港DNS,是否對自己不安全?
     
      
__________________
反不反美國是個人選擇,但封鎖“一邊想移民北美,一邊反美國”的網友可以讓版面乾淨不少!
對房屋【實價課稅】才能釋出空房,而減少【外勞】方能改善本土藍領工作環境。
[高房價]造成貧富不均和社會階層巨大落差,並會長期帶來社會的嚴重矛盾對立。
舊 2020-11-02, 09:21 AM #1
回應時引用此文章
sparc10離線中  
anderson1127
Golden Member
 

加入日期: Jan 2002
文章: 3,653
有疑慮的話,就請改用Google的8.8.8.8

如果,是手機平板類的上網,就認命吧!!

至於安全性問題,上了那一家的船(ISP) 就乖乖聽人家的話, 尤其是在對岸的網路環境裡
不要想搞東搞西的,以免惹禍上身!! 不要以為走HTTPS (SSL)就萬無一失 , 要破解只要
在ISP端建一個SSL Proxy 一樣把內容給輕易解開來看!! 這個準則放諸四海皆準....

只要用國家安全需要,每一家ISP都會乖乖聽令行事 !!
 
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗

還想讓統一賺你的錢嗎?統一集團成員(能見度高的):
星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、
康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、
維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT)

統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑
舊 2020-11-02, 10:22 AM #2
回應時引用此文章
anderson1127離線中  
sparc10
Advance Member
 
sparc10的大頭照
 

加入日期: Jun 2003
您的住址: 本人文章留言都用CC BY-NC-ND 4.0
文章: 474
引用:
作者anderson1127
有疑慮的話,就請改用Google的8.8.8.8

不要想搞東搞西的,以免惹禍上身!! 不要以為走HTTPS (SSL)就萬無一失 , 要破解只要
在ISP端建一個SSL Proxy 一樣把內容給輕易解開來看!!
誠如你說的改用Google、CloudFlare的DNS話,其DNS就會在台灣,這讓人放心多了。

至於安卓手機與平板,仍可用安卓內建功能修改DNS!
當然,也可以裝改DNS的App,譬如這個。
此App內建Google、CloudFlare的DNS可供選擇。
https://play.google.com/store/apps/...nerd.dnschanger

最後,原來對ISP而言,破解HTTPS (SSL)如此容易!
謝謝您!
__________________
反不反美國是個人選擇,但封鎖“一邊想移民北美,一邊反美國”的網友可以讓版面乾淨不少!
對房屋【實價課稅】才能釋出空房,而減少【外勞】方能改善本土藍領工作環境。
[高房價]造成貧富不均和社會階層巨大落差,並會長期帶來社會的嚴重矛盾對立。
舊 2020-11-02, 10:40 AM #3
回應時引用此文章
sparc10離線中  
野口隆史
Elite Member
 
野口隆史的大頭照
 

加入日期: Mar 2001
您的住址: Rivia
文章: 6,770
引用:
作者anderson1127
有疑慮的話,就請改用Google的8.8.8.8

如果,是手機平板類的上網,就認命吧!!

至於安全性問題,上了那一家的船(ISP) 就乖乖聽人家的話, 尤其是在對岸的網路環境裡
不要想搞東搞西的,以免惹禍上身!! 不要以為走HTTPS (SSL)就萬無一失 , 要破解只要
在ISP端建一個SSL Proxy 一樣把內容給輕易解開來看!! 這個準則放諸四海皆準....

只要用國家安全需要,每一家ISP都會乖乖聽令行事 !!

SSL Proxy 除非你在 client 端加裝 proxy 的憑證
不然你甚麼有用的東西都撈不出來
而且 HTTPS OVER DNS 流量藏在一般 HTTPS 流量內
你根本分出不出來那些是請求 DNS 哪些是請求 WEB 的流量

實際上 IPS 才不會幹這種事情
因為花費大筆成本,結果只能猜出哪些是請求 DNS 解析流量
解析到哪根本不曉得,只能從請求的 IP 反解猜測大概是哪裡
根本一點用都沒有

SSL PROXY 對於通道以及內容加密的流量
都沒有甚麼辦法應付
而且 QUIC Over DNS 已經有可以用的 SERVER 跟 CLIENT 了
未來撈 DNS 流量只是更難上加難而已



DNS LEAK 的問題可以改用 1.1.1.1
cloudflare 的 DNS 解析時,不會帶 client 的地區資訊
例如查詢 youtube 的時候,youtube 會返回對於這台 DNS 伺服器
相對來說瀏覽 YOUTUBE 的最近點,而不是 client 相對於得最近點
但大部分 DNS 伺服器都會附帶你的區域資訊
所以你要嘛就做好 DNS LEAK
要嘛去有風險的地方全程掛 tor
然後短時間平繁更換識別身分
__________________
[email protected] with GPGPU集中討論串

Unix Review: ArchLinuxSabayonOpenSolaris 2008.5Ubuntu 8.10
AVs Review: GDTCAntiVir SSESSKIS 09NIS 09Norton 360 V3

I Always Get What I Want.
舊 2020-11-02, 02:29 PM #4
回應時引用此文章
野口隆史離線中  
anderson1127
Golden Member
 

加入日期: Jan 2002
文章: 3,653
引用:
作者野口隆史
SSL Proxy 除非你在 client 端加裝 proxy 的憑證
不然你甚麼有用的東西都撈不出來
而且 HTTPS OVER DNS 流量藏在一般 HTTPS 流量內
你根本分出不出來那些是請求 DNS 哪些是請求 WEB 的流量
[Delete]


如果Client一開始就是往SSL Proxy去連線 , 再由Proxy代替去連線真正要連線的WEB Site
然後把連線得到的資料再傳給Client , 這樣又如何呢?? 能不能夠知道SSL內容呢 ???

這個做法,只有去查看Client端憑證是誰發出來的才有機會知道有沒有中間者(Proxy)存在
通常一般人不會去查看這東西,除非憑證一開始就是非法的,WEB Client要確認使用者
是不是真的要連線,才會去注意這個非法的憑證!! 但, 如果SSL Proxy一開始就去申請一個合法憑證的情況下 , WEB Client是連告警都不會發出來的 ....

上面那句話,我還真的有點OXOX , HTTPS (SSL) 何時可以透過 DNS Protocol 傳送??
HTTPS 走443 port , DNS走UDP 53 port , HTTPS去走UDP 53 port 會通???
如果你跟我說 , HTTPS Over VPN我還會覺得那句話合理多了, 這時根本就不要想去破解
DNS packet Query的流量 !! 但目前很明顯不是啊..... 樓主沒有提到SSL VPN啊!!!!!!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗

還想讓統一賺你的錢嗎?統一集團成員(能見度高的):
星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、
康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、
維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT)

統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑
舊 2020-11-02, 04:15 PM #5
回應時引用此文章
anderson1127離線中  
野口隆史
Elite Member
 
野口隆史的大頭照
 

加入日期: Mar 2001
您的住址: Rivia
文章: 6,770
引用:
作者anderson1127
如果Client一開始就是往SSL Proxy去連線 , 再由Proxy代替去連線真正要連線的WEB Site
然後把連線得到的資料再傳給Client , 這樣又如何呢?? 能不能夠知道SSL內容呢 ???

這個做法,只有去查看Client端憑證是誰發出來的才有機會知道有沒有中間者(Proxy)存在
通常一般人不會去查看這東西,除非憑證一開始就是非法的,WEB Client要確認使用者
是不是真的要連線,才會去注意這個非法的憑證!! 但, 如果SSL Proxy一開始就去申請一個合法憑證的情況下 , WEB Client是連告警都不會發出來的 ....

上面那句話,我還真的有點OXOX , HTTPS (SSL) 何時可以透過 DNS Protocol 傳送??
HTTPS 走443 port , DNS走UDP 53 port , HTTPS去走UDP 53 port 會通???
如果你跟我說 , HTTPS Over VPN我還會覺得那句話合理多了, 這時根本就不要想去破解
DNS packet Query的流量 !! 但目前很明顯不是啊..... 樓主沒有提...

SSL/WEB PROXY 大部分的時候,其實幾乎等同或相當於正向代理
假如我把它的快取加大到 30GB 的時候,其實已經等同於 WEB/SSL PROXY 了
此外有些網站會強制指定 CACHE LIFETIME,這種網站幾乎不可能被快取的
WEB 會強制推送新內容

如果對方是 WEB ,你的所謂合法憑證
用途跟角色,僅僅就只是一個正向代理
例如 search.pcdvd.com.tw 進入後
裡面其實是一個 www.google.com 的搜尋首頁
這種當然沒有問題
問題是,你要去撈裡面的資料,去偷看對方要幹嘛
或者修改封包內文,這種你就算有辦法修改
也無法做到完全無痕跡
所以以中間人角色要達到這樣的目的是不可能的

所以你說,SSL PROXY 有憑證,WEB 不會警告
除非你做正向代理,如果要監控解密文,那是不可能的
假設全世界就你解得開,你也沒有辦法冒充 www.google.com
或者全世界任何一個擁有合法憑證的 web

我也沒提 HTTPS OVER VPN 阿
我是在回應 sparc10 老兄何謂 DNS LEAK
當你沒掛 MASQ 的時候,你的 IP 直接暴露
就算你使用具備隱私以及完整性保護的 DNS OVER HTTPS/TLS
我看你連線的 IP 就知道你哪邊來的

DNS 防護,首先一個大前提是"不使用 ISP 提供的 DNS 伺服器"
例如使用 1.1.1.1 ,這樣 ISP 只知道你連到 youtube
但是它不會知道你看了甚麼影片
對 google 來說,你的 DNS 請求只看得到 1.1.1.1 的區域資訊
假設最近點是在美國西岸,就給你西岸連 youtube 的最近點 ip
它看不到你的 DNS 請求是來自台灣
但是藉由你的 ip ,如果你沒掛 tor 等 masq 的話
它當然知道你的 ip 來自台灣

反過來說,今天你的角色是 DNS
我也不是你的 ISP,本身不具任何隱私保護
當你請求 youtube 網址時,DNS 同時會把你的所在區域位置
也一並告訴 google,google 知道你在台灣
就把台灣最近點的 youtube ip 給你

不過其實我是覺得您問得這個問題其實很奇怪
ssl proxy 其實在現代已經慢慢被其它角色取代 ( 正向/反向/routing )
因為實際上的應用,當 client 或 server 其中一方要求驗證的時候
SSL PROXY 在這邊就只能把流量 forward 下去,完全就是一個廢物
除非有 NAT 或者打特殊應用需要的 TAG
否則在生產環境中,SSL PROXY 已經幾乎絕跡將近十年
__________________
[email protected] with GPGPU集中討論串

Unix Review: ArchLinuxSabayonOpenSolaris 2008.5Ubuntu 8.10
AVs Review: GDTCAntiVir SSESSKIS 09NIS 09Norton 360 V3

I Always Get What I Want.
舊 2020-11-02, 07:52 PM #6
回應時引用此文章
野口隆史離線中  
sparc10
Advance Member
 
sparc10的大頭照
 

加入日期: Jun 2003
您的住址: 本人文章留言都用CC BY-NC-ND 4.0
文章: 474
野口兄的意思應該是:
【DNS over HTTPS】的PORT與HTTPS用的PORT一樣,
所以,很難將DoH與其他HTTPS流量區分開來。
此處就是在抱怨這點.
https://www.uniforce.com.tw/edconte...=tw&tb=1&id=217

不過,他不慎寫錯成HTTPS OVER DNS,也讓Anderson兄有點小誤會.

我原本以爲要避免【用戶的DNS解析請求被竊聽或者修改】,則可用DNS over HTTPS 或 DNS over TLS.
但野口兄特別提到【cloudflare 的 DNS 解析時,不會帶 client 的地區資訊】.
這是我過去不曾注意到的.

雖然我在原文沒提到【SSL VPN】,但自己試過【免費 VPN】后,
發現【DNS over HTTPS 或 DNS over TLS】比較適合自己的節儉需求.

最後,謝謝大家!
__________________
反不反美國是個人選擇,但封鎖“一邊想移民北美,一邊反美國”的網友可以讓版面乾淨不少!
對房屋【實價課稅】才能釋出空房,而減少【外勞】方能改善本土藍領工作環境。
[高房價]造成貧富不均和社會階層巨大落差,並會長期帶來社會的嚴重矛盾對立。
舊 2020-11-02, 08:06 PM #7
回應時引用此文章
sparc10離線中  
anderson1127
Golden Member
 

加入日期: Jan 2002
文章: 3,653
嗯... 我無意去做一個發散式的擴張討論!! 尤其是要去竄改HTTPS的內容網頁 , 這絕不是我的意思 , 我的意思是透過SSL Proxy 去得知傳輸內容!!

至於sparc10兄說的那個網站,我測了一下我自已的環境 , 我大概知道它的運作原理為何了
因為我得到的資料,它說我來自 IP-A , DNS server也是IP-A !! 那它的原理就是同步監控
它自己的網站access及DNS Query Packet 的Source IP , 雖然會有時間差的問題存在
但只要去找出log資料 比對 time , 並賦一段時間的差距,八九不離十就能找到match data

ISP不是要不要做監聽內容的事,是有沒有必要做 , 通常不會主動去做 , 如果有必要
還是會動用資源去做!! 所以我才說, 不要以為HTTPS就百分之百安全 , 別人都看不到內容
老共的領域之內,要這樣做,千萬三思 , 尤其是涉及到顷國家之力壓下來的壓力 , 沒有一家ISP不配合的!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗

還想讓統一賺你的錢嗎?統一集團成員(能見度高的):
星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、
康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、
維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT)

統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑
舊 2020-11-02, 09:41 PM #8
回應時引用此文章
anderson1127離線中  
野口隆史
Elite Member
 
野口隆史的大頭照
 

加入日期: Mar 2001
您的住址: Rivia
文章: 6,770
引用:
作者sparc10
野口兄的意思應該是:
【DNS over HTTPS】的PORT與HTTPS用的PORT一樣,
所以,很難將DoH與其他HTTPS流量區分開來。
此處就是在抱怨這點.
https://www.uniforce.com.tw/edconte...=tw&tb=1&id=217

不過,他不慎寫錯成HTTPS OVER DNS,也讓Anderson兄有點小誤會.

我原本以爲要避免【用戶的DNS解析請求被竊聽或者修改】,則可用DNS over HTTPS 或 DNS over TLS.
但野口兄特別提到【cloudflare 的 DNS 解析時,不會帶 client 的地區資訊】.
這是我過去不曾注意到的.

雖然我在原文沒提到【SSL VPN】,但自己試過【免費 VPN】后,
發現【DNS over HTTPS 或 DNS over TLS】比較適合自己的節儉需求.

最後,謝謝大家!

是的,前面我確實寫錯了

目前除非是在中共,或其他第三世界國家
應該都不用擔心 DNS 汙染 / 監控 / 竄改等問題
香港的話,如果擔心未來有此風險
建議就是不要使用

至於 DNS 查詢的附加資訊這是 EDNS 帶來的
只是 CloudFlare 有強調因為與其本身隱私特性有牴觸
所以不會提供這些資訊

但使用這種附帶區域資訊的 DNS 返回的 ip
實際上是可以帶來更好的瀏覽體驗

我其實建議使用 ADGuard Home
目前版本已經支援 DNS over QUIC 了
實測作為 Server 或 client 都沒有問題
不過根據返回的結果,目前 QUIC
用的跟原本的 DoT/DoH 應該是不同的設定
QUIC 返回的結果有時會與前兩者不同

引用:
作者anderson1127
嗯... 我無意去做一個發散式的擴張討論!! 尤其是要去竄改HTTPS的內容網頁 , 這絕不是我的意思 , 我的意思是透過SSL Proxy 去得知傳輸內容!!

至於sparc10兄說的那個網站,我測了一下我自已的環境 , 我大概知道它的運作原理為何了
因為我得到的資料,它說我來自 IP-A , DNS server也是IP-A !! 那它的原理就是同步監控
它自己的網站access及DNS Query Packet 的Source IP , 雖然會有時間差的問題存在
但只要去找出log資料 比對 time , 並賦一段時間的差距,八九不離十就能找到match data

ISP不是要不要做監聽內容的事,是有沒有必要做 , 通常不會主動去做 , 如果有必要
還是會動用資源去做!! 所以我才說, 不要以為HTTPS就百分之百安全 , 別人都看不到內容
老共的領域之內,要這樣做,千萬三思 , 尤其是涉及到顷國家之力壓下來的壓力 , 沒有一家ISP不配合的!!

我不知道為什麼你一直要強調透過 proxy 去看內容?
除了 DNSSEC, DoT, DoH 你要怎麼看?
要看內容,你必須要有私鑰才能解
proxy 角色就是中間人,根本沒有私鑰
實務上,proxy 遇到這種流量要嘛 bypass 要嘛就是 drop

而那個 browserleaks 的測試,原理並不是你說的那樣
DNS LEAK 的測試,可以用的方法很多,WebRTC, EDNS 等
你 IP 掛個 MASQ 去跑就知道不是這樣了
而且你去網站跑測試,為什麼 DNS query 封包會跑到這網站?

台灣幾乎各大 ISP 都有在撈 DNS 內容
已經行之有年
__________________
[email protected] with GPGPU集中討論串

Unix Review: ArchLinuxSabayonOpenSolaris 2008.5Ubuntu 8.10
AVs Review: GDTCAntiVir SSESSKIS 09NIS 09Norton 360 V3

I Always Get What I Want.
舊 2020-11-03, 10:15 AM #9
回應時引用此文章
野口隆史離線中  


回應


POPIN
主題工具

發表文章規則
不可以發起新主題
不可以回應主題
不可以上傳附加檔案
不可以編輯您的文章

vB 代碼打開
[IMG]代碼打開
HTML代碼關閉



所有的時間均為GMT +8。 現在的時間是10:01 PM.


vBulletin Version 3.0.1
powered_by_vbulletin 2021。