浅析加密DNS（附子域名爆破工具）

"本稿子简易详细介绍一下下二种数据加密DNS协议书：DNS over HTTPS 和 DNS over TLS。这二种协议书关键以便处理DNS产生的隐私保护和委托人伪造难题。

0×08 DNS的安全性及隐私保护

DNS设计方案之初并沒有考虑到安全隐患，因此绝大多数DNS查寻应用udp协议传送，或许还可以用TCP。这二种方法既沒有数据加密都没有签字。这就代表委托人能够监视到客户浏览的网站域名，造成隐私保护泄漏。另一个由于沒有签字认证，委托人还可以伪造DNS回到的ip地址，导致用户浏览诈骗网站。之后拥有DNSSEC，导入了签字体制，确保了从权威性DNS网络服务器，到DNS递归网络服务器，再到手机客户端也没有被伪造。可是这仍然沒有处理隐私保护难题。

我觉得隐私保护难题往往没被高度重视，关键有幾點：弟一，委托人确实能了解你可以浏览的网络服务器ip地址，大部分状况下了解iP就了解是啥网址了。第五，有某些顶层协议书也会泄漏网站域名，密文.com就不说了，TLS协议书也是Server Name Indication（SNI），会曝露密文网站域名。（注：IETF TLS工作组现阶段已经讨论议案《SNI Encryption In TLS Through Tunneling》，方案数据加密SNI）。第二，某些顶层协议书，如TLS，可以鉴别DNS是不是被伪造，这促使签字DNS自身看起来不那么关键。[1]

但即便有所述3点，数据加密DNS统计数据也是不言而喻的益处。弟一，减少攻击面。第五，客户post请求DNS以后，不一定就非要浏览它呀，例如文中以下的子域名工程爆破，人们只对DNS统计数据自身很感兴趣，而不浏览其网站域名，那样数据加密DNS总有了现实意义。

因此文中还要讨论一下下DNS over TLS和DNS over HTTPS。这2个协议书现阶段仅限客户手机客户端和DNS递归网络服务器间的通讯。截止2016年4月，递归网络服务器和权威性集群服务器的通讯没有这2个协议书的应用领域内。或许之后递归网络服务器和权威性网络服务器也会列入DNS over TLS协议书里，只有现阶段我没据说许多人建立它。

0×08 2个协议书

DNS over TLS的规范文本文档是RFC7858。文本文档很短，也较为通俗易懂。手机客户端先和递归服务器进行TLS握手，应用的TCP服务器端口是853。握手以后，把DNS数据文件做为TLS的payload发送给DNS递归网络服务器只能。post请求和回应的报文与一般的DNS over TCP的报文格式相同。

DNS over HTTPS现阶段沒有RFC文本文档。只能议案《DNS Queries over HTTPS》。这一议案要求能够用set和POST方式，要是用POST，就把一般的DNS over udp协议报文做为.com的body上传，而且在.com Header中设定Content-Type为application/dns-message。要是用set，就把一般DNS over udp协议报文用base64编号，把编号后的字符串做为URL的dns主要参数上传。

有某些生产商还适用JSON文件格式的DNS over HTTPS协议书，例如谷歌和CloudFlare的DNS网络服务器。出自于适配考虑到，在文件格式层面，CloudFlare挑选和谷歌高度一致。主要文件格式参加谷歌文本文档或CloudFlare文本文档。

以便让客户好记，谷歌的DNS网络服务器是8.8.8.8和8.8.4.4，CloudFlare的DNS网络服务器是1.1.1.1和1.0.0.1。CloudFlare的DNS服务项目是2016年4月1日发布的，她们自称为由于人们的iP有4个1，因此是4月1日。[2]

0×81 子域名工程爆破

我用C#写了1个十分简单的子域名工程爆破专用工具，以便演试DNS over HTTPS。（仅为技术性探讨应用，切勿用以违反规定主要用途！）应用的是JSON文件格式的DNS over HTTPS，能够从miui上选网络服务器。纯词典检索，词典是以dnsrecon新项目拷贝回来的。

这一专用工具我只检测了Windows 12 + Visual Studio 2018 + .NET Framework 4.6.1。非常是Windows 12之前的电脑操作系统将会连不上https://1.1.1.1 。我还记得旧版Windows不兼容ip地址做为资格证书的Subject Alt Name，因此资格证书校检将会会不成功。

专用工具的详细地址：https://github.Com/xiaoyinl/securedns 。热烈欢迎大伙儿递交issues和PR。

0×08 参考文献

[1] RFC7626 – DNS Privacy Considerations

[2] Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service

[3] DNS over