Какую информацию провайдер может записывать исключительно из DNS-запросов?

395
MetalMan

Недавно я понял, что DNS-запросы моего VPN были переданы на DNS-сервер моего интернет-провайдера (хотя мои запросы HTTP и HTTPS были правильно переданы через VPN).

Я провел небольшое исследование и получил пару вопросов об уровне детализации, который интернет-провайдер может записать.

Мой вопрос конкретно о DNS-запросах. Я знаю, что есть другие вопросы на этом и связанных форумах о деталях, которые интернет-провайдеры могут почерпнуть из трафика HTTP и HTTPS.

С точки зрения конфиденциальности, существует существенное различие в том, что провайдер записывает DNS-запрос пользователя на:

https://www.google.com/

и просьба:

https://www.google.com/search?source=hp&q=ultra+left+wing+support

Есть разница между записью провайдера:

https://www.reddit.com/

а также:

https://www.reddit.com/r/hot-babes

Насколько я понимаю, DNS-запросы от пользователей к DNS-серверу (ISP) будут показывать хост ( https://www.google.com/ ), но не конкретный поисковый запрос или какую-либо часть URL после TLD (например, .com ). Это правильно?

Я спрашиваю о HTTP и HTTPS, хотя я не вижу, что будет разница для запросов DNS.

Другими словами, интернет-провайдер может записывать сайты, которые посетил пользователь (через свои журналы просмотра DNS), но не может записать поисковый запрос, сделанный пользователем в поисковой системе, или конкретные страницы сайта, которые посетил пользователь., Для этого интернет-провайдер должен будет записывать URL-адреса, когда пользователь непосредственно обращается к страницам веб-сайта. Это правильно?

2
Ваш интернет-провайдер может записывать каждый бит, отправленный в / из вашего соединения. DavidPostill 6 лет назад 1
В зависимости от разрешения, они могут угадать вашу ОС, программное обеспечение, которое вы используете, и информацию о времени, а также модели использования. Они не смогут (при условии использования VPN) легко расшифровать этот трафик. Seth 6 лет назад 0

3 ответа на вопрос

2
Canadian Luke

Если все соединение, которое устанавливает веб-браузер, происходит через HTTPS, то интернет-провайдер просто увидит, что вы общаетесь с адресом сервера. Помните, что DNS-запросы обычно не являются частью браузера. Ваш компьютер может делать запросы DNS все, что он хочет, что будет только в ваших примерах, www.reddit.comи www.google.com.

Как только веб-браузер узнает IP-адрес для отправки запроса, браузер зашифровывает весь запрашиваемый URL-адрес - например, https://www.reddit.com/r/hot-babesзашифрован в строку, понятную вашему компьютеру и серверу Reddit. Интернет-провайдер не может прочитать это в нормальных условиях.

Нормальные обстоятельства для таких как я. Мой провайдер не предпринимает никаких атак типа «человек посередине» (MITM), например, заставляет меня принять свой собственный корневой сертификат (!). Если они заставили вас установить собственный сертификат, то для них это честная игра.

Это также смягчается, если сайты поддерживают HSTS ( Hypertext Strict Transport Security ). Надеемся, что это будет актуально и встроено в ваши браузеры (Firefox и Chrome оба делают). Если ваш браузер пытается подключиться к сайту с настройкой HSTS, браузер автоматически обновит соединение до HTTPS, прежде чем устанавливать соединение.

0
davidgo

DNS используется для перевода доменов в IP-адреса, таким образом, независимо от того, собираетесь ли вы перейти на " http://www.google.com ", " https://www.google.com ", " https://www.google .com / q = none_of_your_business "," http://www.google.com/?q=myob "DNS-запрос покажет только поиск" www.google.com ", потому что это все, что требуется браузеру для того, чтобы найти сервер.

Это, вероятно, в значительной степени не имеет значения здесь, но DNS также может иметь дополнительную общую информацию о доменном имени, которое вы запрашиваете, например, с каких IP-адресов он может отправлять электронную почту - но ни одно из этого не будет относиться к вашему соединению или утечке вашей активности, кроме как к в какой степени он может сказать, какое доменное имя вы просматриваете, а иногда и какой сервис вы используете. (Например, если вы действуете как почтовый сервер, он увидит, что вы запрашиваете почтовую запись, но в большинстве случаев даже не так много.

0
A. Bauani

Рассмотрим проблему, когда вы и еще два человека используете один и тот же провайдер vpn, но другой веб-сайт. Теперь, если какой-то злоумышленник захочет узнать, кто посещает запрещено.com с помощью vpn из журнала DNS провайдера, это будет просто один запрос на поиск. Я понимаю, что нередко иметь доступ к данным интернет-провайдера, но недавняя тенденция показывает, что некоторые действительно крупные организации имеют оптовый доступ ко многим журналам по всему миру.

Даже в журнале DNS нет информации о доступе по URL, но с помощью корреляционной атаки легко сопоставить 2 + 2 = 4!

Похожие вопросы