DNS问题
域名转换为ip地址的服务
dns的查询和响应是udp协议的明文传输
黑客可以通过抓DNS数据包的方式看到访问网站的真正ip地址(比如WireShark软件)
DNS劫持,DNS污染(中间人根据dns可以误导去一个错误的ip地址,让浏览器无法正常工作)
解决方案:
DOT
使用TLS,端口853
DOH(常用)
使用https,端口443
可以去wlan里面配置
SNI问题
TLS握手中,由于服务器部署多个网站,需要区分客户端需要访问的服务(就是使用SNI)
这个过程是明文的,中间人可以知道你的sni,泄露隐私信息,甚至可以通过sni阻断一部分TLS握手(SNI阻断攻击)
解决方案:
ESNI
client hello阶段的
通过网站公钥加密sni
服务端将公钥放到dns里面,客户端dns解析的时候顺便取出来(需要DOH加密DNS)
缺点: 只加密sni且没有托底机制
ECH
加密整个信息且有重试机制
需要浏览器配置DOH
究极方案
http3.0
使用了QUIC
提供了client hello加密和安全查询dns方案