我最近意识到我的 VPN 的 DNS 请求被传输到了我的 ISP 的 DNS 服务器(尽管我的 HTTP 和 HTTPS 请求已通过 VPN 正确传输)。
我做了一些研究,对 ISP 能够记录的细节级别有几个疑问。
我的问题专门针对 DNS 请求。我知道此论坛和相关论坛上还有其他问题,关于 ISP 可以从 HTTP 和 HTTPS 流量中收集的详细信息。
在隐私方面,ISP 记录用户的 DNS 请求与以下情况存在显著差异:
https://www.google.com/
并请求:
https://www.google.com/search?source=hp&q=ultra+left+wing+support
ISP 录音有以下区别:
https://www.reddit.com/
和:
https://www.reddit.com/r/hot-babes
我的理解是,用户向 ISP 的 DNS 服务器发出的 DNS 查询将显示主机(https://www.google.com/),但不包括特定搜索词或 TLD 后面的任何 URL 部分(例如 .com)。这样正确吗?
我询问的是 HTTP 和 HTTPS,尽管我看不出 DNS 请求会有什么区别。
换句话说,ISP 可以记录用户访问的网站(通过其 DNS 查询日志),但无法记录用户在搜索引擎中进行的搜索查询或用户访问的网站的特定页面。要做到这一点,ISP 必须记录用户直接访问网站页面时的 URL。对吗?
答案1
如果全部的如果 Web 浏览器通过 HTTPS 建立连接,则 ISP 只会看到您正在与服务器地址通信。请记住,DNS 请求通常不是浏览器的一部分。您的计算机可以随意进行 DNS 查询,在您的示例中,这只会是www.reddit.com
和www.google.com
。
一旦 Web 浏览器知道要发送请求的 IP 地址,浏览器就会加密您请求的整个 URL - 例如,https://www.reddit.com/r/hot-babes
加密为您的计算机和 Reddit 服务器可以理解的字符串。ISP 在正常情况下无法读取此字符串。
正常情况适用于像我这样的人。我的 ISP 不会尝试任何形式的中间人 (MITM) 攻击,例如让我接受他们自己的根证书 (!)。如果他们强迫您安装他们自己的证书,那么这对他们来说是公平的。
如果网站支持 HSTS,这种情况也会得到缓解(超文本严格传输安全)。希望此功能能够保持最新状态,并内置于您的浏览器中(Firefox 和 Chrome 均内置此功能)。如果您的浏览器尝试连接到设置了 HSTS 的站点,则浏览器会在建立连接之前自动将连接升级为 HTTPS。
答案2
就 BIND 而言,您无法做到这一点。传入查询进入后,只有查询的主机名以及发出查询的源外部 IP 会显示在日志中,因为 DNS 仅提供名称解析。您实际上无法查看路径中的完整 URL。如果 ISP 以某种方式拦截网络流量以获取您的互联网请求及其请求方法,那么您的隐私就会暴露,但在 ISP 级别,您的查询只是大海捞针。
如果他们想压制政治活动家,他们就必须开始根据指向这些网站的主机名来监控 BIND 日志中的这些网站。即使他们获得了你的 IP,他们也无法单独利用 IP 做很多事情,除非他们想整天暴力攻击 IP,这通常不会暴露个人隐私,除非目标网络确实被渗透。
如果您对 ISP 感兴趣,只需使用另一个 DNS 服务器或使用默认根提示配置(不设置转发器)并保持根服务器列表最新,即可提供您自己的 DNS 查询。Microsoft DNS 服务器默认提供这种简单设置,根据我的经验,只要您不指定任何转发器,BIND 也提供这种简单设置。如果您在服务器上指定了转发器,那么您实际上是将网络外部区域的网络 DNS 请求引导到这些公共服务器。因此,只需保持基本 DNS 服务器配置不变(当然,您仍然需要内部区域),然后您就可以很好地保护 DNS 隐私,因为您的服务器将处理这些 DNS 查询,将它们直接发送到根服务器,绕过每个域管辖区中最大的巨头以外的所有人。您的 DNS 将一尘不染,这就是为什么使用服务器级操作系统值得花时间和/或金钱的原因……
答案3
DNS 用于将域名转换为 IP 地址,因此无论您是否要“http://www.google.com“,”https://www.google.com“,”https://www.google.com/q=none_of_your_business“,”http://www.google.com/?q=myob“DNS 查询将仅显示对“www.google.com”的查找,因为这是浏览器查找服务器所需要的全部内容。
在这里这可能基本上无关紧要,但 DNS 还可以包含有关您所请求的域名的其他通用信息,例如它可以从哪些 IP 地址发送电子邮件 - 但所有这些都不是特定于您的连接或泄露您的活动的,除非它可以告诉您正在查看哪个域名,有时您正在使用哪种服务。(例如,如果您充当邮件服务器,它会看到您正在请求邮件记录 - 但大多数时候甚至不会这么多。
答案4
考虑一下你和另外两个人使用同一个 vpn 提供商但访问不同网站的情况。现在,如果某个攻击者想从 ISP dns 日志中找出谁使用 vpn 访问了 forbidden.com,只需进行一次查询即可。我知道访问 ISP 数据并不常见,但最近的趋势表明,一些真正的大型组织可以批量访问世界各地的大量日志。
即使 DNS 日志没有 URL 访问的信息,但通过相关攻击很容易匹配 2+2 = 4!