昨日提到大部分 VPN 軟件被發現漏洞,其中一種攻擊方式是透過偽造 DNS 回應來欺騙 VPN 客戶端在 VPN 通道外傳輸資料。保安專家建議的其中一種應對方法,就是將 DNS 查詢加密,亦即是私人 DNS。到底如何為不同平台的裝置設定私人 DNS 呢?
私人 DNS 採用與大家瀏覽網頁時所用的 HTTPS 相同加密協定 TLS,它可以將 DNS 查詢也加密,確保在你的裝置與 DNS 解析器之間的網絡上,DNS 查詢不能被篡改,也令想發動 TunnelCrack 攻擊的惡意網絡、網絡供應商 ISP 以至流動網絡供應商等,都無法窺看你的 DNS 查詢。這種新協定稱為 DNS over HTTPS(DoH)和 DNS over TLS(DoT)。
不過要注意私人 DNS 並非萬能靈藥,因為在發起加密過程初期,第三方仍然有機會知道您想訪問哪個網站,要到將來「加密伺服器名稱指示 (ESNI)」成為標準後才能確保完全安全。另外,大家仍要記住,加密 DNS 查詢只是提升網絡私隱的其中一個步驟,也不能完全解決 TunnelCrack 漏洞,大家應該盡力避免連接到不可靠的公共 Wi-Fi 或網絡啊。
Cloudflare 三級 DNS 阻擋惡意軟件
為了避免被惡意 ISP 監視,很多人現在都會轉用第三方 DNS 而不用 ISP 提供的 DNS。過去有很多人會用 Google 的 8.8.8.8,但又有人會擔心 Google 會以用戶資料去投放廣告,Cloudflare 1.1.1.1 (1dot1dot1dot1.cloudflare-dns.com) 就成為另一熱門選擇。
可能很多人都不知道,Cloudflare 1.1.1.1 其實是有三級 DNS 伺服器,以幫助有不同需要的用戶在域名解釋階段阻擋惡意軟件甚至成人內容,當中 1.1.1.1 因為沒有審查所以會較快,而 1.1.1.1 for Families 會因應互聯網目的地在惡意軟件、釣魚詐騙,甚至成人內容的潛在風險進行分類審查。當然,加強審查亦有可能會出現誤判情況。如果大家選用有審查 DNS 時發現無法想到的網頁,可能就需要選用無審查的 DNS 了。
1.1.1.1
IPv4 | IPv6 |
---|---|
1.1.1.1 | 2606:4700:4700::1111 |
1.0.0.1 | 2606:4700:4700::1001 |
1.1.1.1 for Families
封鎖惡意軟件
IPv4 | IPv6 |
---|---|
1.1.1.2 | 2606:4700:4700::1112 |
1.0.0.2 | 2606:4700:4700::1002 |
封鎖惡意軟件及成人內容
IPv4 | IPv6 |
---|---|
1.1.1.3 | 2606:4700:4700::1113 |
1.0.0.3 | 2606:4700:4700::1003 |
如何得知自己正在使用私人 DNS
即使你已將 DNS 設定為 1.1.1.1,也不代表你正在使用私人 DNS。Cloudflare 就開設了一個 1.1.1.1 除錯網頁「1.1.1.1/help」,登入即可了解自己的裝置有沒有使用 1.1.1.1 DNS 服務及 DoH 和 DoT 等加密協議。
下一頁會為大家介紹格種平台和瀏覽器如何設定私人 DNS