Domain-Name-System

DNS 查詢是否加密?

  • August 27, 2019

我想知道 DNS 查詢是否已加密。如果是這樣,您能否簡要解釋一下我認為發生加密的過程,兩方之間至少應該有一個最低限度的共同點(比如共享密鑰),但是由於 DNS 使用 UDP 並且它是無連接的,我無法想像在這種情況下你如何加密你的有效載荷。

謝謝

標準 DNS 在任何地方都沒有加密。DNSSEC 具有加密簽名(但仍未加密)響應。多年來有一些非標準的想法和實現,但沒有什麼大不了的。

DNS 也應該通過 TCP 工作,因為它是處理太大答案的標準機制(替代方案是 IP 分段)。伺服器本質上發送一個 UDP 響應,說“答案太大,通過 TCP 重試”。

關於您的問題,一個簡單但緩慢的解決方案是執行 HTTPS 所做的相同操作 - 執行三步 TLS 握手,以某種方式驗證證書,然後交換數據。真正的挑戰是減少往返次數,同時仍提供某種形式的安全性。

引用自:https://serverfault.com/questions/912948