ישנן דרכים שונות להגן על שאילתות ה-DNS שלך, אך כל גישה מגיעה עם יתרונות וחולשות משלה.

מערכת שמות הדומיין (DNS) נחשבת באופן נרחב כספר הטלפונים של האינטרנט, הממיר שמות מתחם למידע שניתן לקרוא על ידי מחשבים, כגון כתובות IP.

בכל פעם שאתה כותב שם תחום בשורת הכתובת, ה-DNS ממיר אותו אוטומטית לכתובת ה-IP המתאימה לו. הדפדפן שלך משתמש במידע זה כדי לאחזר את הנתונים משרת המקור ולטעון את האתר.

אבל פושעי סייבר יכולים לעתים קרובות לרגל אחר תעבורת DNS, מה שהופך את ההצפנה הכרחית כדי לשמור על הגלישה שלך באינטרנט פרטית ומאובטחת.

מהם פרוטוקולי הצפנת DNS?

פרוטוקולי הצפנת DNS נועדו להגביר את הפרטיות והאבטחה של הרשת או האתר שלך על ידי הצפנת שאילתות ותגובות DNS. שאילתות ותגובות DNS נשלחות באופן קבוע בטקסט רגיל, מה שמקל על פושעי סייבר ליירט ולחבל בתקשורת.

פרוטוקולי הצפנת DNS מקשים יותר ויותר על האקרים אלה להציג ולשנות את הנתונים הרגישים שלך או לשבש את הרשת שלך. יש שונות ספקי DNS מוצפנים שיכולים להגן על השאילתות שלך מעיניים סקרניות.

פרוטוקולי הצפנת DNS הנפוצים ביותר

ישנם מספר פרוטוקולי הצפנת DNS בשימוש כיום. ניתן להשתמש בפרוטוקולי הצפנה אלה כדי למנוע חטטנות ברשת על ידי הצפנת תעבורה בתוך פרוטוקול HTTPS דרך חיבור שכבת תעבורה (TLS).

instagram viewer

1. DNScrypt

DNSCrypt הוא פרוטוקול רשת שמצפין את כל תעבורת ה-DNS בין המחשב של המשתמש לשרתי השמות הכלליים. הפרוטוקול משתמש בתשתית מפתח ציבורי (PKI) כדי לאמת את האותנטיות של שרת ה-DNS והלקוחות שלך.

הוא משתמש בשני מפתחות, מפתח ציבורי ומפתח פרטי כדי לאמת את התקשורת בין הלקוח לשרת. כאשר שאילתת DNS מופעלת, הלקוח מצפין אותה באמצעות המפתח הציבורי של השרת.

השאילתה המוצפנת נשלחת לאחר מכן לשרת, אשר מפענח את השאילתה באמצעות המפתח הפרטי שלו. בדרך זו, DNSCrypt מבטיח שהתקשורת בין הלקוח לשרת תהיה תמיד מאומתת ומוצפנת.

DNSCrypt הוא פרוטוקול רשת ישן יחסית. זה הוחלף במידה רבה על ידי DNS-over-TLS (DoT) ו-DNS-over-HTTPS (DoH) בשל התמיכה הרחבה יותר וערבויות אבטחה חזקות יותר שמספקים פרוטוקולים חדשים יותר אלה.

2. DNS-over-TLS

DNS-over-TLS מצפין את שאילתת ה-DNS שלך באמצעות Transport Layer Security (TLS). TLS מבטיח ששאילתת ה-DNS שלך מוצפנת מקצה לקצה, מניעת התקפות אדם-באמצע (MITM)..

כאשר אתה משתמש ב-DNS-over-TLS (DoT), שאילתת ה-DNS שלך נשלחת לפותר DNS-over-TLS במקום לפותר לא מוצפן. פותר ה-DNS-over-TLS מפענח את שאילתת ה-DNS שלך ושולח אותה לשרת ה-DNS הסמכותי בשמך.

יציאת ברירת המחדל עבור DoT היא יציאת TCP 853. כאשר אתה מתחבר באמצעות DoT, גם הלקוח וגם הפותר מבצעים לחיצת יד דיגיטלית. לאחר מכן, הלקוח שולח את שאילתת ה-DNS שלו דרך ערוץ ה-TLS המוצפן לפותר.

פותר ה-DNS מעבד את השאילתה, מוצא את כתובת ה-IP המתאימה ושולח את התגובה חזרה ללקוח דרך הערוץ המוצפן. התגובה המוצפנת מתקבלת על ידי הלקוח, שם היא מפוענחת, והלקוח משתמש בכתובת ה-IP כדי להתחבר לאתר או לשירות הרצוי.

3. DNS-over-HTTPS

HTTPS היא הגרסה המאובטחת של HTTP המשמשת כעת לגישה לאתרים. כמו DNS-over-TLS, גם DNS-over-HTTPS (DoH) מצפין את כל המידע לפני שהוא נשלח דרך הרשת.

בעוד שהמטרה זהה, ישנם כמה הבדלים מהותיים בין DoH ל-DoT. בתור התחלה, DoH שולח את כל השאילתות המוצפנות דרך HTTPS במקום ליצור ישירות חיבור TLS להצפנת התעבורה שלך.

שנית, הוא משתמש ביציאה 403 לתקשורת כללית, מה שמקשה על ההבחנה מתעבורת אינטרנט כללית. DoT משתמש ביציאה 853, מה שמקל בהרבה על זיהוי תעבורה מאותה יציאה ולחסום אותה.

DoH ראה אימוץ רחב יותר בדפדפני אינטרנט כמו Mozilla Firefox ו- Google Chrome, מכיוון שהוא ממנף את תשתית ה-HTTPS הקיימת. DoT נמצא בשימוש נפוץ יותר על ידי מערכות הפעלה ופותרי DNS ייעודיים, במקום להיות משולב ישירות בדפדפני אינטרנט.

שתי סיבות עיקריות לכך ש-DoH ראה אימוץ רחב יותר היא כי הרבה יותר קל להשתלב באינטרנט קיים דפדפנים, וחשוב מכך, הוא משתלב בצורה חלקה עם תעבורת אינטרנט רגילה, מה שהופך את זה להרבה יותר קשה לַחסוֹם.

4. DNS-over-QUIC

בהשוואה לפרוטוקולי הצפנת DNS האחרים ברשימה זו, DNS-over-QUIC (DoQ) הוא חדש למדי. זהו פרוטוקול אבטחה מתפתח ששולח שאילתות ותגובות DNS דרך פרוטוקול התחבורה QUIC (Quick UDP Internet Connections).

רוב תעבורת האינטרנט כיום מסתמכת על פרוטוקול בקרת שידור (TCP) או פרוטוקול User Datagram (UDP), כאשר שאילתות DNS נשלחות בדרך כלל דרך UDP. עם זאת, פרוטוקול QUIC הוצג כדי להתגבר על כמה חסרונות של TCP/UDP ועוזר להפחית את השהיה ולשפר את האבטחה.

QUIC הוא פרוטוקול הובלה חדש יחסית שפותח על ידי גוגל, שנועד לספק ביצועים, אבטחה ואמינות טובים יותר בהשוואה לפרוטוקולים מסורתיים כמו TCP ו-TLS. QUIC משלב תכונות של TCP וגם של UDP, תוך שילוב הצפנה מובנית בדומה ל-TLS.

מכיוון שהוא חדש יותר, DoQ מציע מספר יתרונות על פני הפרוטוקולים שהוזכרו לעיל. בתור התחלה, DoQ מציע ביצועים מהירים יותר, הפחתת זמן האחזור הכולל ושיפור זמני הקישוריות. זה מביא לרזולוציית DNS מהירה יותר (הזמן שלוקח ל-DNS לפתור את כתובת ה-IP). בסופו של דבר, זה אומר שאתרים מוגשים לך מהר יותר.

חשוב מכך, DoQ עמיד יותר לאובדן מנות בהשוואה ל-TCP ו-UDP, מכיוון שהוא יכול להתאושש מחבילות שאבדו מבלי לדרוש שידור חוזר מלא, בניגוד לפרוטוקולים מבוססי TCP.

יתר על כן, הרבה יותר קל להעביר חיבורים גם באמצעות QUIC. QUIC עוטף מספר זרמים בתוך חיבור אחד, מפחית את מספר הנסיעות הלוך ושוב הנדרשות לחיבור, ובכך משפר את הביצועים. זה יכול להיות שימושי גם בעת מעבר בין רשתות Wi-Fi לרשתות סלולריות.

QUIC עדיין לא אומץ באופן נרחב בהשוואה לפרוטוקולים אחרים. אבל חברות כמו אפל, גוגל ומטה כבר משתמשות ב-QUIC, ולעתים קרובות יוצרות גרסה משלהן (מיקרוסופט משתמשת ב-MsQUIC עבור כל תעבורת ה-SMB שלה), מה שמבשר טובות לעתיד.

צפו לשינויים נוספים ב-DNS בעתיד

טכנולוגיות מתפתחות צפויות לשנות מהותית את הדרך בה אנו ניגשים לאינטרנט. לדוגמה, חברות רבות ממנפות כעת טכנולוגיות בלוקצ'יין כדי להמציא פרוטוקולים בטוחים יותר למתן שמות דומיינים, כמו HNS ו-Unstoppable Domains.