V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huyikong
V2EX  ›  DNS

为什么运营商不自己搭建 DoH DoT 服务器呢?

  •  
  •   huyikong · 2023-03-28 16:15:26 +08:00 · 8060 次点击
    这是一个创建于 592 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在的加密 DNS 服务基本都是互联网公司或者个人搭建的。为什么运营商不自己搭建 DoH DoT 服务器呢?不光是国内电信、联通、移动还是广电,国外的运营商也几乎没有自己搭建加密 DNS 服务器的。

    ps.我知道运营商会屏蔽或者劫持某些域名。但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。

    44 条回复    2023-03-29 19:42:54 +08:00
    nullpoint007
        1
    nullpoint007  
       2023-03-28 16:30:30 +08:00
    加密了他们还怎么劫持用户访问, 还怎么搞钱
    nothingistrue
        2
    nothingistrue  
       2023-03-28 16:32:43 +08:00
    你猜猜最大,甚至除了政治目的之外唯一的 DNS 劫持群体是哪个。
    Cormic
        3
    Cormic  
       2023-03-28 16:33:33 +08:00   ❤️ 1
    ```
    但是如果运营商有加密 DNS 的话,可以防止家庭、学校或者企业内部局域网的恶意劫持。

    ```

    杜月笙怕小瘪三抢他赌场的生意
    fournoas
        4
    fournoas  
       2023-03-28 16:35:13 +08:00
    脱裤子放屁
    yyzh
        5
    yyzh  
       2023-03-28 16:37:05 +08:00
    "家庭、学校或者企业内部局域网的恶意劫持"家庭的话别买小米就行,至于学校和公司你绕过控制的话小心收警告信.特别是公司.
    imes
        6
    imes  
       2023-03-28 16:38:29 +08:00 via Android
    工信部只是不想你访问某些网站,不仅不赚钱,还得投入大额预算。
    运营商可是实打实的想让你多访问些网站,搞了 DoH 和 DoT 还怎么拦截插入广告呀。
    http 时代,哪家县市级运营商不给你搞点网页广告,投诉都管不了几天的那种。
    deorth
        7
    deorth  
       2023-03-28 16:42:22 +08:00 via Android   ❤️ 1
    不是,doh 和 dot 普及了吗? os 现在默认使用了吗?运营商怎么下发给 os? 不能下发的话让用户自己配置? 知道怎么配置的用户会去用运营商的 dns?
    expy
        8
    expy  
       2023-03-28 16:48:51 +08:00   ❤️ 1
    没必要吧,出了路由器,光猫开始就是 ISP 直接控制的线路,根本没有中间人。
    proxytoworld
        9
    proxytoworld  
       2023-03-28 16:54:26 +08:00
    没办法合规的
    proxytoworld
        10
    proxytoworld  
       2023-03-28 16:55:39 +08:00
    自从 https 出现,监测用户访问网站的内容就很难了,但还是可以通过 https 握手知道访问了那个网站,如果 DoH 或者 DoT ,那就彻底不能知道用户访问的网站了
    Love4Taylor
        11
    Love4Taylor  
       2023-03-28 16:55:47 +08:00 via iPhone
    运营商自己的 DNS 来说,劫持论不太对吧。7 楼的才是真正的原因吧。
    proxytoworld
        12
    proxytoworld  
       2023-03-28 16:55:54 +08:00
    @proxytoworld 笔误,DNS 解析记录
    K8dcnPEZ6V8b8Z6
        13
    K8dcnPEZ6V8b8Z6  
       2023-03-28 16:59:45 +08:00   ❤️ 1
    现实生活中能独立选择并设置 UDP DNS 的人可能都不到 1%,而能做到这一点就会被称作精通电脑、懂网络的人了……
    DOH DOT 这些玩意对技术宅司空见惯,但现实中还只是趋势,离普遍推开远着呢
    samin
        14
    samin  
       2023-03-28 17:08:44 +08:00   ❤️ 1
    恨不得 https 都消失呢 加密后无法监管 👻
    sunice
        15
    sunice  
       2023-03-28 17:14:30 +08:00
    @proxytoworld 还是知道的 HTTPS SNI
    proxytoworld
        16
    proxytoworld  
       2023-03-28 17:40:45 +08:00
    说个题外话,我了解某个安全公司掌握了某个很常用的 dns 服务器,就会依靠 dns 解析记录去溯源
    tool2d
        17
    tool2d  
       2023-03-28 17:45:08 +08:00
    @sunice 把 SNI 去掉就可以了,SNI 只不过是握手里的一个字段,不是每一个网站都依赖 SNI 。

    如果网站真的想判断,读取 host 也是一样的。
    docx
        18
    docx  
       2023-03-28 18:22:00 +08:00 via iPhone
    动力是什么?没钱赚还事多
    optional
        19
    optional  
       2023-03-28 18:26:45 +08:00 via iPhone
    你说的这个有正式版 RFC 了吗,原来的 DNS53 作废了吗?
    optional
        20
    optional  
       2023-03-28 18:29:22 +08:00 via iPhone
    问题是没有法规强制推行,运营商推这个,还得重新培训业务员,投诉率也会上升,图啥?
    现在推这个的,看起来伟光正,但是你怎么知道他们有没有用这个数据盈利(不劫持,仅仅是记录查询记录就有意义了)
    gujigujij
        21
    gujigujij  
       2023-03-28 20:14:18 +08:00
    但不能防止运营商劫持
    crazyweeds
        22
    crazyweeds  
       2023-03-28 21:04:29 +08:00
    不赚钱的项目,内部立项都困难。
    julyclyde
        23
    julyclyde  
       2023-03-28 21:34:07 +08:00
    @tool2d 正常网站都依赖 SNI
    真的,不是抬杠

    先 SSL 后 HTTP ,你说的 Host header 那是 SSL 之后的步骤了
    fengyaochen
        24
    fengyaochen  
       2023-03-28 21:45:59 +08:00
    以国家资本主义权贵资本主义为特色的社会主义,做好事永远漏洞百出,做坏事永远滴水不漏
    tool2d
        25
    tool2d  
       2023-03-28 22:26:54 +08:00
    @julyclyde "正常网站都依赖 SNI", 这个服务端可以配置的,SNI 的目的是一个 IP 托管多个域名。在 SSL 建立连接的时候,给浏览器发送合适的域名,用来验证签名。

    如果省略 SNI ,那么服务端只要发送默认域名,就能顺利建立连接了。

    据我所知,目前还 wall 没有域名证书里进行阻拦。阻断是在 SNI 的时候。
    leehon
        26
    leehon  
       2023-03-28 23:15:41 +08:00
    感觉加密也没多大实际意义
    lyc8503
        27
    lyc8503  
       2023-03-28 23:18:39 +08:00
    就算搞了, 会有多少人用吗? 都用 DoH DoT 了, 大家肯定更愿意相信阿里腾讯 /谷歌 CloudFlare 的 DoH, 而不是有过劫持前科的运营商.

    当前的网络从设计上就相信了内网都是可信的设备, 如果你觉得你在的学校 /企业内网不可信, 你应该使用 VPN 连接互联网.
    linliting45
        28
    linliting45  
       2023-03-29 05:06:23 +08:00 via iPhone
    你猜运营商给你的 dns 服务器到你家之间有中间人吗
    linliting45
        29
    linliting45  
       2023-03-29 05:08:34 +08:00 via iPhone
    而且企业内部肯定是自行搭建 dns 服务器的,家用路由器大部分也带一个,总之就是没意义
    seeme
        30
    seeme  
       2023-03-29 08:54:44 +08:00
    @proxytoworld #16 奇安信呗,把 114.114.114.114 给买了。
    Greenm
        31
    Greenm  
       2023-03-29 09:34:39 +08:00   ❤️ 1
    @tool2d 按我的理解,在 tls1.3 以下版本的 https 握手前,如果服务端要求必须通过域名访问,那么不发送 SNI 就肯定无法成功建立链接。况且,用 HTTPS 绝大部份是通过域名访问的,因为证书需要校验域名。

    没配置 sni 就能访问意味着通过 IP 地址也能访问,意味着该 IP 地址没有反向代理、CDN 、负载均衡等这类基础设施,这在目前成熟商用网络中很少出现。 所以你的假设根本不成立。

    为什么国内到目前为止 tls1.3 几乎处于不可用? 因为 tls1.3 中支持的 ECH 可以完全加密 SNI ,如果再加上 DoH/DoT 等 DNS 加密技术,那么对于运营商和监管部门来说,在网络层面的流量完全匿名,无法精确阻断了,你上谷歌 V2EX 他们再也管不了了。
    kaddusabagei38
        32
    kaddusabagei38  
       2023-03-29 09:35:02 +08:00
    你觉得他们真想搞这玩意么,ESNI 国内都没几个人碰更何况各种非 udp dns 了
    tool2d
        33
    tool2d  
       2023-03-29 09:54:12 +08:00   ❤️ 1
    @Greenm "没配置 sni 就能访问意味着通过 IP 地址也能访问", 我不是这个意思,不发送 SNI 字段,仅仅是服务器发送回默认域名的证书。还是会走正常域名验证的那一套完整流程。

    从技术层面看,SNI 只是 ClientHello 里一个可选项,不是必选项。当然我也不否认,一部分网站必须提供 SNI 才能建立连接,这是和服务器代码强相关的。
    Greenm
        34
    Greenm  
       2023-03-29 10:36:53 +08:00
    @tool2d 你说得对,SNI 在 TLS1.2 及以前中确实不是强制要求的, 但这种场景非常少见,大部分网站必须要求提供 SNI 才能找到正确的域名建立连接。
    julyclyde
        35
    julyclyde  
       2023-03-29 10:58:59 +08:00
    @tool2d 我觉得你是只学了一些技术,却缺乏生产环境的经验,才会这样说的吧
    因为生产环境有需求,所以服务器才会配置 SNI 。这根本就不是个技术上可选与否的问题
    tool2d
        36
    tool2d  
       2023-03-29 11:42:33 +08:00
    @julyclyde 我最后一句有提到的,你觉得为什么要刻意不去配置 SNI ,还不是为了能顺利跳过 SNI 阻断。

    这不算服务器的问题,而是客户端的问题。只要客户端不发送 SNI 并且顺利获取证书后握手成功,就不会出现被强制阻断的情况。
    julyclyde
        37
    julyclyde  
       2023-03-29 12:40:45 +08:00
    @tool2d 客户端不发送 SNI 会访问不了绝大多数网站吧
    opengg
        38
    opengg  
       2023-03-29 14:15:35 +08:00
    SNI 是方法,提供多个域名服务是目的。
    解决的方法是 ESNI 和 ECH 。
    带来的问题是 DNS 会越来越重,增加了基建的复杂度,Cloudflare / Google 等的话语权会变得更重。
    bclerdx
        39
    bclerdx  
       2023-03-29 16:00:38 +08:00
    @proxytoworld 就不该知道用户访问 什么了。就该保护,你看看当前的手机卡实名制,只是对外打着保护隐私的幌子做了遮羞布。
    bclerdx
        40
    bclerdx  
       2023-03-29 16:02:40 +08:00
    @Greenm 他们为什么要精准阻断?肯定是目的不纯。
    proxytoworld
        41
    proxytoworld  
       2023-03-29 16:06:13 +08:00
    @bclerdx 说实话,实名制反而造成更大的信息泄露、诈骗,实名制只是方便了跨省。。
    bclerdx
        42
    bclerdx  
       2023-03-29 16:06:49 +08:00
    @Greenm 通过浏览器查看 V2EX 的相关域名已经是 TLS 1.3 协议了,是不是就已经意味着访问 V2EX 的途中,SNI 已经加密了?
    Greenm
        43
    Greenm  
       2023-03-29 16:39:56 +08:00
    @bclerdx ECH 在 TLS1.3 中只是一个扩展,并不强制要求,为了向前兼容很多时候在 TLS1.3 还是会发送 SNI ,要确认是否启用了 ECH ,可能需要抓包。
    lns103
        44
    lns103  
       2023-03-29 19:42:54 +08:00
    @bclerdx ech 只是 TLS1.3 的一个扩展,并且需要用 doh 才能开启
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2653 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 04:02 · PVG 12:02 · LAX 20:02 · JFK 23:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.