ここでは、ISP がアクセスしたすべての Web サイトを追跡する方法と、それを阻止する 1 つのツールを紹介します。

in tech

デジタル フットプリントについて心配していますか?あなたがアクセスしている Web サイトを聞いている人が誰でも観察できるのは気になりませんか?ほとんどの人は、DNS が何であるか、DNS によって漏洩される情報の量を知りません。何が問題なのか、そして覗き見者に対して自分自身を強化する方法を共有します。

DNS (ドメイン ネーム システム) はインターネットのバックボーンです。これがないと、ブラウザー要求はドメイン名 (howtogeek.com など) を IP アドレスに解決できません。トラフィックのルーティングの基本原則は番号 (IP アドレス) に依存するため、これは不可欠です。しかし、DNS の設計者はプライバシー (またはセキュリティ) を考慮していませんでした。その結果、アクセスしたすべての Web サイト、使用しているメール サーバー、さらにはさらに多くの情報が漏洩します。覗き見者は私たち全員に関する重要なプロフィールを構築することができ、実際にそうしています。救いは 1 つあり、ゆっくりと正しい方向に進んでいます。今日、私は他のものとは異なる解決策を提案しました。

DNS の概要

インターネットのバックボーン

このビデオは、DNS の仕組みをうまく説明しています。

クエリが DNS サーバー (別名再帰リゾルバー) で停止しないことがわかります。さらにリクエストは上流で発生し、管理するドメイン (DNS ゾーンと呼ばれる) を処理する「権威ネームサーバー」に到達するまで段階的に解決されます。今日はラストマイル、つまり OS (別名スタブリゾルバー) と再帰リゾルバーの間の部分について説明します。

「ラスト マイル」は、システムとエンドユーザーの間の最後の区間を表すために (サービス プロバイダーの観点から) 電気通信で使用される用語です。逆に、(非公式の) 用語「アップストリーム」は、(リゾルバーとネームサーバーの間の) 他のすべてのリンクを指します。これらの言葉は一緒に聞くとぎこちないので、説明する価値があります。

DNS に関する悲惨な問題

パケットが表示されています

DNS の最大の問題は、(OS 内の) スタブリゾルバーと再帰リゾルバー間のリクエストが暗号化されていないことです。これらのパケットには、どこで買い物をするか、どこで銀行取引をするか、何時起きているのか、何を好きなのか、何を見ているのか、考えているのか、そしてそれをいつ行うのかについての情報が含まれています。あなたのトラフィック パターンは非常に独特であるため、ネットワーク全体であなたをフィンガープリントして追跡することができます。したがって、VPN を使用している場合、DNS リクエストは輝くビーコンとして機能し、あなたを一意に識別します。これは、暗号化されたクエリでも発生する可能性があります。

通常の DNS リクエストもコネクションレス型 UDP 経由で行われるため、パケット ストリームの整合性は保証されません。それに暗号化の欠如も相まって、驚くほど簡単に傍受、操作されてしまいます。実際、ISP がこれを行って、独自のリゾルバーに転送したり、応答を変更したりするのが一般的です。したがって、Cloudflare の DNS を使用していると思われる場合は、もう一度考えてください。大量検閲システムもそのような戦術を使用します。中国のグレート ファイアウォールは、ディープ パケット インスペクションと DNS インジェクションを使用してクエリを再ルーティングします。

DNS リクエストは多くの管轄区域を横断する可能性があり、多くの国や組織があなたと同じ価値観を共有していないことを認識することが重要です。イデオロギーの違いを持つ人もいますが、商業的な意図を持つ人もいます。それは外国に限ったことではありません。 Comcast がかつて、存在しないドメイン (NXDOMAIN) エラーが発生したときに顧客を広告満載の Web ページにリダイレクトしたことはよく知られています。

隠すものは何もないかもしれませんが、DNS リクエストは 傍受され、リダイレクトされるため、社会的操作や商業的プロファイリングに対して脆弱になります。あなたはどうか知りませんが、私のパケットが無秩序に傍受されるのは非常に不安です。

DNSCrypt が役に立ちます

データが流出する前に暗号化する

箱の上に置かれたASUS Wi-Fi 6Eルーター。 クレジット: Goran Damnjanovic / How-To Geek

暗号化されていない DNS クエリは解釈と操作の可能性があり、最も強力な解決策は常に暗号化であることがわかっています。これを行うにはいくつかのソリューションがあり、そのうちの 2 つは DNS-over-TLS (DoT) と DNS-over-HTTPS (DoH) です。優れており、しばしば推奨されますが、DNSCrypt が提供する追加機能は提供しません。

DNSCrypt はクエリを暗号化してパディングするため、私の頼りになる選択肢です。上流のパケットは復号化され、大量のリソース (ISP など) を持つスヌーパーは暗号化されたパケットと暗号化されていないパケットをサイズとタイミングで関連付けることができるため、パディングは非常に重要であり、暗号化が無意味になります。 DoT と DoH の両方でサポートがまばらであるため、使用されないことがよくあります。 DNSCrypt ではこの機能が必須になっているため、すべてのパケットがトラフィック分析と相関に対して回復力を持ちます。

しかし、私にとって契約を決定づけたのは、追加のリレー機能です。要求されると、DNSCrypt は仲介者 (リレー) を通じて暗号化された要求を送信します。データを読み取ることはできませんが、誰がリクエストを行ったかはわかっています。パケットを転送するとき、アップストリームはリクエストを行っているリレーとリクエスト データのみを確認します。つまり、アップストリームはユーザーについて何も知りません。

したがって、DNSCrypt はクエリを暗号化し、パディングし、リレー経由でルーティングします。これら 3 つすべてにより、DNSCrypt はプライバシーを保護するための最良の選択肢となります。


DNSCrypt は特効薬ではありませんが、正しく使用すれば優れたツールです

どの形式の DNS 暗号化も正しい方向への一歩です。 TLS 接続では依然として、接続先のドメイン (別名 SNI) を含むクライアント hello が送信されるため、これはまだ特効薬ではありません。さらに、アップストリーム接続は保護されません。リレーを使用する場合、これらのリクエストは匿名ですが、それでも大規模に傍受される可能性があります。現在、状況を改善するための取り組みが行われており、やがて、DNSSEC や DNSCurve などのテクノロジーにより、返信の完全な検証と暗号化が提供されるようになるでしょう。

DNSCrypt は、「クライアント こんにちは」の問題や、暗号化されていないアップストリームの問題も解決しません。それはあなたの当面の要求、あなたのアイデンティティ、そしてあなたの習慣を保護します。これは完璧なシステムではありませんが、現時点で最高のシステムです。

DNSCrypt に興味がある場合は、そのホームページにアクセスしてください。 Linux を使用している場合は、Arch Wiki を参照してください。サーバーの詳細、仕様、便利なツールを含む情報 Web サイトもあります。また、AdGuard が追加の広告ブロックを行う DNSCrypt スタブリゾルバーを提供していると聞いて興奮するかもしれません。

Mac 上の NordVPN (5)

VPN を使用している場合でも、ISP があなたについて知っていること

あなたは思っているほど目立たない存在ではありません!

このテーマについてさらに詳しく知りたい方は以下をご覧ください

完全ガイドはこちら

関連記事

前の投稿
Linux コマンドラインの学習を容易にする 7 つのコツ
次の投稿
Galaxy フォンには実際に機能する片手モードがありますが、それは誰も見ていない場所に埋もれているだけです

関連記事