Як я можу бути впевненим, що отримаю справжню відповідь на запитувану IP-адресу?

Зазвичай ви здійснюєте вхід до свого провайдера, використовуючи дані облікових даних користувачів. Потім вам надається IP-адреса та отримуєте доступ до їх внутрішніх серверів імен, щоб ви могли запитати певне доменне ім’я та отримувати у відповідь IP-адресу.

Але як я можу бути впевненим, що я отримую фактичний сайт, про який я прошу? Як я можу бути впевнений, що мій провайдер не підробляє IP-адреси або що вони не перенаправляють мене на "підроблені внутрішні сервери" (з ідентичною ip-адресою або без нього)? Наприклад: Якщо я запитую для example.com, знайдіть його IP, і вони покажуть мені простий клон цього сайту.

Як переконатися, що IP існує лише один раз? Можна змінити IP-адресу localhost на щось інше, так що ж гарантує, що цього не відбувається з веб-адресами?

Звичайно: якщо Інтернет-провайдер підробив призначення, на нього постраждають і інші користувачі, якщо вони вимагають того ж результату. Але навіть у цьому випадку: чи не можна було б фільтрувати користувачів за його обліковими записами провайдера та викрадати їх?

Напевно, в моєму розумінні є якесь непорозуміння. Але я не розумію, чого мені не вистачає.

Так, DNS незахищений. Якщо ви дійсно хочете знати, що ви розмовляєте з сервером, якого ви хотіли, ви повинні аутентифікувати сервер. Так що ми робимо. Ми не довіряємо DNS, щоб бути захищеним, і ми реалізуємо безпеку, яка нам потрібна десь в іншому місці, наприклад, TLS (Transport-Layer Security).

TLS (сучасний рівень захисту HTTPS) робить це, змушуючи сервер надсилати клієнту сертифікат із зазначенням імені та відкритого ключа сервера. Цей сертифікат криптографічно підписується довіреною третьою стороною, яка називається Органом сертифікації (CA). Підпис CA підтверджує, що cert показує правильний відкритий ключ для названого сервера.

Щоб довести, що сервер є законним власником cert (а не якийсь самозванець, який викрав дійсну cert), рукостискання TLS дає змогу довести, що він знає секретний приватний ключ, який утворює відповідність набору з відкритим ключем у cert. Це робиться без розкриття самого приватного ключа, звичайно.

Існує пропозиція щодо захисту DNS під назвою DNSsec, але вона б'ється довгі роки і, здається, нікуди не дінеться. Він ніколи не може бути широко розгорнутим. Зараз є пропозиція щодо "DNS через HTTP" (DoH, вимовляється "D'oh!"), Яка може захистити DNS, виконуючи це через HTTPS.

Там багато питань. Я спробую вирішити пару.

Але як я можу бути впевненим, що я отримую фактичний сайт, про який я прошу? Як я можу бути впевнений, що мій провайдер не підробляє IP-адреси або що вони не перенаправляють мене на "підроблені внутрішні сервери" (з ідентичною ip-адресою або без неї)? Наприклад: Якщо я запитую для example.com, знайдіть його IP, і вони покажуть мені простий клон цього сайту.

Отже, це називається атакою "людина-в-середині" ( https://en.wikipedia.org/wiki/Man-in-the-middle_attack ). Погана новина полягає в тому, що вони є досить поширеними (принаймні, в готелях та інших місцях з відкритим wifi, хоча теж важко довести, - https://www.theregister.co.uk/2016/06/01/teamviewer_mass_breach_report/ ). Але один із способів уберегтись - це не використовувати DNS-сервер готелю (або у вашому випадку провайдера Інтернет-послуг). Тут є кілька хороших: https://www.howtogeek.com/122845/htg-explains-what-is-dns/

Я був би здивований, якщо цей авторитетний провайдер робить це (і його спіймають), але використання власного DNS (знову ж таки, хтось ще довіряє комусь) та / або VPN, коли ви не перебуваєте в домашній мережі, є хорошою ідеєю.