原标题:打通匿名网络的最后一哩,Cloudflare推出Tor专用DNS解析器
图片来源:Cloudflare
让完全匿名浏览网页成为可能,Cloudflare为高度重视隐私的使用者推出匿名网络Tor(The△Onion△Router,洋葱路由器)专用的DNS解析器,这个基于洋葱网络的解析器服务,不会透漏使用者访问目标给ISP,也不容易受DNS中继站攻击,确保浏览行为从头到尾都无法被追踪。不过这个服务仍在测试阶段,Cloudflare提到,目前还不应使用在产品阶段上。
Mozilla日前公开与Cloudflare合作,未来Firefox使用者将可以选用支援DNS△over△HTTPS技术的可信递回解析器(Trusted△Recursive△Resolver,TRR),此举大幅提升了网络使用者浏览网页的安全性以及隐匿性,但是对于想要完全匿踪的使用者来说还不够,因为Mozilla提到,在查询完网域对应的IP后,客户端要连接该IP时,会发送一明码伺服器名称指示,这向请求是未加密的,因此ISP仍然会知道使用者的浏览目标。
Cloudflare的Tor专用DNS解析器构建在洋葱网络之上,其扮演的角色关系到Tor匿名网络的运作概念,假设使用者想要连接Cloudflare的网站,Tor网络会先计算出到达Cloudflare伺服器的路径,使用者- ISP- X- Y- Z- www.cloudflare.com,并分别以Z、Y和X节点的公钥依序加密封包,当使用者封包传送到X时,便会以X的私钥解密,X提交封包到Y时,Y会以自己的私钥解密封包,传递到最后一个节点Z时,封包会被解密为原始封包传递给Cloudflare网站伺服器。
而这个过程还并不够隐匿,因为ISP会知道使用者的IP,而Z中继站也会知道使用者访问的站点,因此Tor进一步提供了洋葱服务,该服务由一群Tor节点组成,并公布编码为.onion顶级网域(TLD)的公钥,在每个节点间建立连线形成网络。使用这个技术可以让资讯提供者或是个人用户,难以被中继网络追踪。
但是在这整个连线的过程,仍然有最后一哩路存在风险,那就是网域解析,毕竟Tor网络仍然依赖IP运作,使用者仍然需要使用DNS解析服务才能通过Tor网络浏览网页。而使用Tor网络常用的两种网域解析方法,第一种也是最一般的方法,直接向DNS服务查询IP,第二种则是请求一个Tor的出口节点,公开解析域名。
但这两种方法各有其缺点,第一种方法,当没有使用DNS△over△HTTPS技术,便会向DNS伺服器泄漏使用者的IP,根据Mozilla说法,即使有了DNS△over△HTTPS技术,最少还是会对ISP泄漏访问目标。而第二种方法,理论上虽然不会泄漏个人讯息,却容易受到SSL剥离(SSL△Stripping)、DNS快取毒害或是欺骗转址攻击。
Cloudflare为了解决上述Tor的DNS系统匿名缺陷,推出了基于.onion的解析器服务,简单来说,Cloudflare就是提供了一个可靠的Tor的出口节点。至于这个Tor专用DNS解析器与1.1.1.1服务不同的地方,Cloudflare提到,.onion的地址是由dns4tor再加上49个看起来随机组合的字母数字串组成,而这59个字符包含了完整的Ed25519公钥,来保护与洋葱服务间的通讯。
要使用这个功能只要让浏览器路由请求到.onion位置就行了,使用HTTP选用标头Alt-Svc可以通知浏览器资源可以被替代网络位置存取,Cloudflare表示,可以把这个功能想像成机会性加密(Opportunistic△Encryption),浏览器收到一个在tor.cloudflare-dns.com上可用的.onion地址,便会试着检查替代服务是否存在相同或是更高等级的安全性。而这包括可以使用相同认证以及伺服器名称连接到洋葱网络,浏览器会尽量确保使用者的浏览不离开Tor网络,而现在Firefox△Nightly已经可以使用.onion位置做为替代服务。
原本使用Tor网络解析DNS,其匿名性就高于直接发送请求,解析器不只不知道使用者的IP,ISP也不会知道使用者进行域名解析,但是除非访问的目标也是一个洋葱服务,否则离开Tor网络的封包还是可能会被截获,或是受到恶意出口节点的攻击,更甚骇客还可以比较进入Tor网络前后的流量元资料,对客户端进行去匿名化的处理。
Cloudflare强调,即使使用者的客户端不支援DNS加密查询也没关系,使用.onion的解析器可以让DNS△over△UDP和DNS△over△TCP具有与DNS△over△HTTPS和DNS△over△TLS一样的安全性。另外,使用Tor网络也并非只为去匿名化,而是越多人使用匿名网络,真正需要匿名的爆料者的网络流量越能受到有效掩护,一个只有爆料者的匿名网络也不这么匿名了,因此使用Tor网络看视频也可以为整体匿名网络做出贡献。
相关:
Firefox 62将使用DNS over HTTPS技术,终结DNS查询的明码风险
图片来源: Lin△Clark Mozilla预计将在9月初Firefox△62中使用可信递回解析器(Trusted△Recursive△Resolver,TRR)与DNS△over△HTTPS(DOH)技术,以HTTPS传送DNS封包,弥补现行DNS系统使用UDP以及TCP协议明码传输
【有片睇】Lynq 追踪器一按即知朋友方位 毋须Wi-Fi、4G网络 | 香港 UNWIRE.HK 玩生活.乐科技
对于带着家人小孩远足的人来说,最大的恶梦可谓是找不到同行家人的去向。而这倨名为 Lynq 的小装置就能够随时追踪同行朋友的位置,即使不幸走失,都不怕失去他们踪迹,而且 Lynq 不需要数据都可运作,即使身处偏远山
示意图,与新闻事件无关。 位于德国法兰克福的全球最大网络交换中心DE-CIX在2016年指控德国联邦情报局(BND)的监控权力过大,可同时监控该中心的国际与国内流量,然而,德国的联邦行政法院却在上周驳回了该案,法
PS Store 透露 PS4 准备兼容 PS3 | 香港 UNWIRE.HK 玩生活.乐科技
Microsoft 的 Xbox One 系列主机支持部份旧主机 Xbox 360 的游戏,Gold Member 会员还每个月获得两款免费的 Xbox 360 游戏大作,玩家也可以在游戏商店单独购买 Xbox 360 游戏。不过 Sony 在这方面则保守得多,PS4 至
微软Azure虚拟网络开始整合自家MySQL、PostgreSQL服务
在今年3月时,微软Azure资料库服务正式支援MySQL跟PostgreSQL,该服务支援社交版本MySQL、PostgreSQL,微软也提供99.99%的服务可用性,也相容Azure环境的资安、法遵标准。而在近日,微软表示,现在Azure虚拟网络服务