تفاوت DNS با DNS OVER TLS (DOT) و (DOH)DNS OVER HTTPS

پرس‌وجوهای DNS به‌صورت متن ساده ارسال می‌شوند، به این معنی که هرکسی می‌تواند آن‌ها را بخواند. DNS OVER HTTPS و DNS OVER TLS، پرسش‌ها و پاسخ‌های DNS را رمزگذاری می‌کنند تا جستجوی کاربر را ایمن و خصوصی نگه دارد. بااین‌حال، هر دو رویکرد مزایا و معایب خود رادارند.

چرا DNS به لایه‌های امنیتی بیشتری نیاز دارد؟

DNS دفترچه تلفن اینترنت است. DNS سرورها نام‌های دامنه قابل‌خواندن توسط انسان را به آدرس‌های IP قابل‌خواندن توسط ماشین ترجمه می‌کنند. به‌طور پیش‌فرض، پرسش‌ها و پاسخ‌های DNS به‌صورت متن ساده (از طریق UDP) ارسال می‌شوند، به این معنی که می‌توانند توسط شبکه‌ها، ISP ها یا هر سرویسی که قادر به نظارت بر انتقال است، خوانده شوند. حتی اگر وب سایتی از HTTPS استفاده کند، پرس و جوی DNS موردنیاز برای پیمایش به آن وب‌سایت در معرض دید قرار می‌گیرد.

این فقدانِ حریم خصوصی، تأثیر زیادی بر امنیت و در برخی موارد حقوق بشر دارد. اگر کوئری‌های DNS خصوصی نباشند، فیلتر اینترنت برای دولت‌ها و ایجاد مزاحمت توسط مهاجمان برای کاربران آسان‌تر می‌شود.

یک درخواست DNS معمولی و رمزگذاری نشده را مانند یک کارت‌پستال در نظر بگیرید که از طریق پست ارسال می‌شود: هرکسی که نامه را جابجا می‌کند ممکن است نگاهی اجمالی به متن نوشته‌شده در پشت آن بی اندازد، بنابراین عاقلانه نیست که کارت‌پستالی حاوی اطلاعات حساس یا خصوصی را از طریق پست ارسال کنیم.

DNS OVER TLS و DNS OVER HTTPS دو استاندارد هستند که برای رمزگذاری ترافیک DNS متن ساده به‌منظور جلوگیری از امکان تفسیر داده‌ها توسط هکرها، شرکت‌های تبلیغاتی، ISP ها و غیره ایجادشده‌اند. در ادامه قیاس، هدف این استانداردها قرار دادن یک پاکت در اطراف همه کارت‌پستال‌هایی است که از طریق پست ارسال می‌شود، به‌طوری‌که هرکسی می‌تواند یک کارت‌پستال بفرستد بدون اینکه نگران باشد زیر نظر قرار می‌گیرد.

DNS OVER TLS چیست؟

DNS OVER TLS یا DoT استانداردی برای رمزگذاری پرس‌وجوهای DNS برای ایمن و خصوصی نگه‌داشتن آن‌ها است. DoT از همان پروتکل امنیتی، TLS، استفاده می‌کند که وب‌سایت‌های HTTPS از آن برای رمزگذاری و احراز هویت ارتباطات استفاده می‌کنند. (TLS همچنین به‌عنوان “SSL” شناخته می‌شود.) DoT رمزگذاری TLS را در بالای پروتکل دیتا گرام کاربر (UDP) اضافه می‌کند که برای پرس‌وجوهای DNS استفاده می‌شود. علاوه بر این، تضمین می‌کند که درخواست‌ها و پاسخ‌های DNS از طریق حملات on-path دست‌کاری یا جعل نمی‌شوند.

DNS OVER HTTPS چیست؟

DNS OVER HTTPS یا DoH جایگزینی برای DoT است. با DoH، پرسش‌ها و پاسخ‌های DNS رمزگذاری می‌شوند، اما از طریق پروتکل‌های HTTP یا HTTP/2، نه مستقیماً از طریق UDP، ارسال می‌شوند؛ مانند DoT، DoH تضمین می‌کند که مهاجمان نمی‌توانند ترافیک DNS را جعل یا تغییر دهند. ترافیک DoH شبیه سایر ترافیک‌های HTTPS به‌عنوان‌مثال تعاملات عادی کاربر محور با وب‌سایت‌ها و برنامه‌های وب – از دیدگاه مدیر شبکه است.

در فوریه 2020، مرورگر موزیلا فایرفاکس شروع به فعال کردن DoH برای کاربران ایالات‌متحده کرد. پرس‌وجوهای DNS از مرورگر فایرفاکس توسط DoH رمزگذاری می‌شوند و به Cloud flare یا NextDNS می‌روند. چندین مرورگر دیگر نیز از DoH پشتیبانی می‌کنند، اگرچه به‌طور پیش‌فرض روشن نیست.

آیا HTTPS از TLS نیز برای رمزگذاری استفاده می‌کند؟ DNS over TLS و DNS over HTTPS چگونه متفاوت هستند؟

هر استاندارد به‌طور جداگانه توسعه‌یافته است و مستندات RFC* خود را دارد، اما مهم‌ترین تفاوت بین DoT و DoH در نوع پورتی است که استفاده می‌کنند. DoT فقط از پورت 853 استفاده می‌کند، درحالی‌که DoH از پورت 443 استفاده می‌کند که همان پورتی است که سایر ترافیک‌های HTTPS نیز از آن استفاده می‌کنند.

ازآنجایی‌که DoT یک پورت اختصاصی دارد، هرکسی که قابلیت دید شبکه را دارد می‌تواند ترافیک DoT را در حال رفت‌وآمد ببیند، حتی اگر خود درخواست‌ها و پاسخ‌ها رمزگذاری شده باشند. در مقابل، با DoH، پرسش‌ها و پاسخ‌های DNS در سایر ترافیک‌های HTTPS پنهان می‌شوند، زیرا همه از یک پورت می‌آیند و می‌روند.

*RFC مخفف «درخواست برای نظرات» است و RFC تلاش جمعی توسط توسعه‌دهندگان و کارشناسان شبکه برای استانداردسازی یک فناوری یا پروتکل اینترنت است.

پورت چیست؟

در شبکه، یک پورت یک مکان مجازی بر روی یک ماشین است که برای اتصالات سایر ماشین‌ها باز است. هر کامپیوتر شبکه‌ای دارای تعدادی استاندارد پورت است و هر پورت برای انواع خاصی از ارتباطات رزرو شده است.

محل بارگیری کشتی‌ها در یک بندر را در نظر بگیرید: هر بندر کشتیرانی شماره‌گذاری شده است و انواع مختلفی از کشتی‌ها قرار است برای تخلیه بار یا مسافران به بنادر کشتیرانی خاصی بروند. شبکه‌سازی نیز به همین صورت است: انواع خاصی از ارتباطات قرار است به پورت‌های شبکه خاصی بروند. تفاوت این است که پورت‌های شبکه مجازی هستند. آن‌ها مکان‌هایی برای اتصالات دیجیتال هستند تا اتصالات فیزیکی.

DoT یا DoH؟

پیرامون این موضوع اختلاف‌نظر زیادی وجود دارد. ازنقطه‌نظر امنیت شبکه، DoT مسلماً گزینه مناسب‌تری است. DoT به مدیران شبکه این امکان را می‌دهد که پرس‌وجوهای DNS را نظارت و مسدود کنند که برای شناسایی و توقف ترافیک مخرب مهم است. در همین حال، درخواست‌های DoH در ترافیک معمولی HTTPS پنهان هستند، به این معنی که نمی‌توان آن‌ها را به‌راحتی بدون مسدود کردن سایر ترافیک‌های HTTPS مسدود کرد.

بااین‌حال، از منظر حفظ حریم خصوصی، DoH مسلماً ارجح است. با DoH، پرس‌وجوهای DNS در جریان بزرگ‌تر ترافیک HTTPS پنهان می‌شوند. DoH به مدیران شبکه دید کمتری می‌دهد اما حریم خصوصی بیشتری را برای کاربران فراهم می‌کند.

تفاوت DNS با TLS/HTTPS و DNSSEC

DNSSEC مجموعه‌ای از پسوندهای امنیتی برای تأیید هویت سرورهای ریشه DNS و سرورهای نام معتبر در ارتباطات با سرورهای DNS است. DNSSEC برای جلوگیری از DNS Cache Poisoning، در میان سایر حملات، طراحی‌شده است. DNSSEC ارتباطات را رمزگذاری نمی‌کند. از سوی دیگر، DNS over TLS or HTTPS یا HTTPS، پرس‌وجوهای DNS را رمزگذاری می‌کند. 1.1.1.1 از DNSSEC نیز پشتیبانی می‌کند.