PCDVD數位科技討論區 - 瀏覽單個文章 - 上網時連到香港DNS是否對自己不安全？

引用:

作者sparc10

野口兄的意思應該是：
【DNS over HTTPS】的PORT與HTTPS用的PORT一樣，
所以，很難將DoH與其他HTTPS流量區分開來。
此處就是在抱怨這點.
https://www.uniforce.com.tw/edconte...=tw&tb=1&id=217

不過，他不慎寫錯成HTTPS OVER DNS，也讓Anderson兄有點小誤會.

我原本以爲要避免【用戶的DNS解析請求被竊聽或者修改】，則可用DNS over HTTPS 或 DNS over TLS.
但野口兄特別提到【cloudflare 的 DNS 解析時，不會帶 client 的地區資訊】.
這是我過去不曾注意到的.

雖然我在原文沒提到【SSL VPN】，但自己試過【免費 VPN】后，
發現【DNS over HTTPS 或 DNS over TLS】比較適合自己的節儉需求.

最後，謝謝大家！

是的，前面我確實寫錯了

目前除非是在中共，或其他第三世界國家
應該都不用擔心 DNS 汙染 / 監控 / 竄改等問題
香港的話，如果擔心未來有此風險
建議就是不要使用

至於 DNS 查詢的附加資訊這是 EDNS 帶來的
只是 CloudFlare 有強調因為與其本身隱私特性有牴觸
所以不會提供這些資訊

但使用這種附帶區域資訊的 DNS 返回的 ip
實際上是可以帶來更好的瀏覽體驗

我其實建議使用 ADGuard Home
目前版本已經支援 DNS over QUIC 了
實測作為 Server 或 client 都沒有問題
不過根據返回的結果，目前 QUIC
用的跟原本的 DoT/DoH 應該是不同的設定
QUIC 返回的結果有時會與前兩者不同

引用:

作者anderson1127

嗯... 我無意去做一個發散式的擴張討論!! 尤其是要去竄改HTTPS的內容網頁 , 這絕不是我的意思 , 我的意思是透過SSL Proxy 去得知傳輸內容!!

至於sparc10兄說的那個網站,我測了一下我自已的環境 , 我大概知道它的運作原理為何了
因為我得到的資料,它說我來自 IP-A , DNS server也是IP-A !! 那它的原理就是同步監控
它自己的網站access及DNS Query Packet 的Source IP , 雖然會有時間差的問題存在
但只要去找出log資料比對 time , 並賦一段時間的差距,八九不離十就能找到match data

ISP不是要不要做監聽內容的事,是有沒有必要做 , 通常不會主動去做 , 如果有必要
還是會動用資源去做!! 所以我才說, 不要以為HTTPS就百分之百安全 , 別人都看不到內容
老共的領域之內,要這樣做,千萬三思 , 尤其是涉及到顷國家之力壓下來的壓力 , 沒有一家ISP不配合的!!

我不知道為什麼你一直要強調透過 proxy 去看內容？
除了 DNSSEC， DoT, DoH 你要怎麼看？
要看內容，你必須要有私鑰才能解
proxy 角色就是中間人，根本沒有私鑰
實務上，proxy 遇到這種流量要嘛 bypass 要嘛就是 drop

而那個 browserleaks 的測試，原理並不是你說的那樣
DNS LEAK 的測試，可以用的方法很多，WebRTC, EDNS 等
你 IP 掛個 MASQ 去跑就知道不是這樣了
而且你去網站跑測試，為什麼 DNS query 封包會跑到這網站？

台灣幾乎各大 ISP 都有在撈 DNS 內容
已經行之有年