DNS如何被利用?那么這個(gè)系統(tǒng)如何讓用戶(hù)變得脆弱?通常解析器會(huì)告訴每個(gè)DNS服務(wù)器你正在尋找哪個(gè)域名。此請(qǐng)求有時(shí)會(huì)包含您的完整IP地址?；蛘撸绻皇悄耐暾鸌P地址，請(qǐng)求中通常會(huì)包含您的大部分IP地址，這些IP地址可以輕松地與其他信息結(jié)合起來(lái)以找出您的身份。

[[236228]]

以下是防御黑客常用3種DNS欺騙手法：

1. 避免不可靠的解析器

網(wǎng)絡(luò)可以逃避提供不可靠的解決方案，竊取您的數(shù)據(jù)或欺騙DNS，因?yàn)楹苌儆杏脩?hù)知道風(fēng)險(xiǎn)或如何保護(hù)自己。

即使對(duì)于了解風(fēng)險(xiǎn)的用戶(hù)，個(gè)人用戶(hù)也很難與他們的ISP或其他實(shí)體進(jìn)行協(xié)商，以確保他們的DNS數(shù)據(jù)得到負(fù)責(zé)任的處理。

尋找一個(gè)合適的解析器，如果我們有一個(gè)可以信賴(lài)的解決方案來(lái)保護(hù)用戶(hù)的隱私。這意味著Firefox可以忽略網(wǎng)絡(luò)提供的解析器。安全研究人員表示，有了這個(gè)可靠的解析器，我們不必?fù)?dān)心流氓解析器出售我們的用戶(hù)數(shù)據(jù)或用欺騙性DNS欺騙我們的用戶(hù)。

2. 通過(guò)HTTPS使用DNS防止路徑上的竊聽(tīng)和篡改

雖然解析器不是唯一的威脅。路徑上路由器可以跟蹤和欺騙DNS，因?yàn)樗麄兛梢钥吹紻NS請(qǐng)求和響應(yīng)的內(nèi)容。但是互聯(lián)網(wǎng)已經(jīng)有了確保路徑上路由器不能像這樣竊聽(tīng)的技術(shù)。這是我之前提到的加密技術(shù)。

通過(guò)使用HTTPS交換DNS數(shù)據(jù)包，我們確保沒(méi)有人能夠監(jiān)視我們用戶(hù)正在做出的DNS請(qǐng)求。傳輸盡可能少的數(shù)據(jù)，以保護(hù)用戶(hù)免受匿名處理。除了提供使用DoH協(xié)議進(jìn)行通信的可信解析器之外，尋找安全DNS服務(wù)商，使其更安全。

通常情況下，解析器會(huì)將整個(gè)域名發(fā)送給每個(gè)服務(wù)器-根DNS，TLD名稱(chēng)服務(wù)器，二級(jí)名稱(chēng)服務(wù)器等。好的DNS服務(wù)商。它只會(huì)發(fā)送與當(dāng)前正在與之通話(huà)的DNS服務(wù)器相關(guān)的部分。這被稱(chēng)為QNAME最小化。

3. 刪除域名中沒(méi)用的解析

解析器通常也會(huì)在請(qǐng)求中包含您的IP地址的前24位。這有助于DNS服務(wù)器知道您的位置，并選擇離您更近的CDN。但是這些信息可以被DNS服務(wù)器用來(lái)將不同的請(qǐng)求鏈接在一起。

一些穩(wěn)定的DNS服務(wù)商，是從用戶(hù)附近的一個(gè)IP地址發(fā)出請(qǐng)求。這提供了地理位置，而無(wú)需將其綁定到特定用戶(hù)。除此之外，他們正在研究如何以隱私敏感的方式實(shí)現(xiàn)更好，形成非常細(xì)粒度的負(fù)載平衡。

這樣做，刪除域名中不相關(guān)的部分并且不包括您的IP地址，意味著DNS服務(wù)器所收集的關(guān)于您的數(shù)據(jù)要少得多，從而更好保護(hù)你的隱私。