APNIC文摘—DNS大戰(上)

本APNIC文摘原標題為DNS Wars,是由APNIC首席科學家Geoff Huston撰文。於10月底在德州奧斯汀舉辦的第77次北美網路維運論壇(NANOG),邀請美國網路安全公司Farsight Security的執行長Paul Vixie發表有關DNS和網路發展的專題演講,本篇摘要Huston對該場次的回應和想法,並將重點放在原文的後半部。

  • DoH/DoT大戰

幾乎每筆網路交易都是從DNS查找(lookup)開始,透過監視DNS查詢(query),便可組合出使用者和其線上活動最新且完整的概況,因此,以資料監測來說,DNS被視為供應資料的主要來源。此類DSN資料不僅具有商業意義,也是國家行為者特別感興趣的話題,此外,DNS目前是許多網路安全功能的控制點。

DNS over HTTPS(DoH)和DNS-over-TLS(DoT)是當前的熱門議題,但其實它並不是新的概念。DoH不僅可以達成DoT所能做的一切,還能將自己嵌入其他訊務中而不被偵查到,因此,DoH可以避開最常見且廉價的中介軟體的偵查。

除此之外,DoH背後還有難以抗拒的商業營利的驅動力。如果應用程式要將資訊公開的範圍限制在它本身,則必須避開常見的基礎設施,以及要使用安全管道來通過網路,DoH可以輕易做到這一點,這一切都發生在行動設備中,而市場價值以及市場產生的服務和交易,支配著其他部分。當今的網路既是蒐集資料的地方,也是作為投放資料導向廣告的平臺,其他的一切都是附屬品。

  • Resolverless DNS大戰

就像伺服器推送HTML一樣,在應用程式可能需要使用解析結果之前,透過預先加載解析結果,Resolverless DNS可加快DNS的速度。內容本身可以推動DNS解析結果的產生,在瀏覽器的領域中,這個方法幾乎沒有任何阻礙。Push已做為改善內容加載時間的手段,推送樣式表、內容、程式手稿或DNS解析結果幾乎沒有差別。

一個受保護的會話(session),例如TLS,被認為足以滿足Push的需求,而Resolverless DNS的支持者認為,對被推送的內容進行DNSSEC驗證是不必要的,但是筆者認為,如果內容可以推送內容,絕對需要接收者來驗證推送資料的真實性。全球資訊網(web)正將自己與網際網路(Internet)做分割,希望切斷與網路其他部分相互依存的關係,畢竟,如果可以保留所有用戶的資料,為何還要與他人共享呢?因此,當講到應用程式將網路基礎設施的功能吸收到自身空間時,其實是將重點放在web平臺、瀏覽器,以及基於HTML應用程式的生態系統。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNS Wars

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *