背景参考: Resolverless DNS Side Meeting in Montreal

在这里简单分析一下。

问题

如果doh只是把http当成dns的tunnel/proxy,并没有改变解析结构的本质。

反之,如果把doh推进到resolverless,主要有两种场景:

1)网站返回dnssec记录,相当于隐形的resolver,client可以进行validation,但是基本只适合cdn集中控制子域名的业务。类似于srv rr on http。

2)client无条件信任server提供的一系列ip地址(因为实际上并没有多少子域名部署dnssec),这相当于在安全信任上主动开口,传递信任。由谁来监督server?此外,还有server给到client记录的ttl问题。类似于<img src="https://example.com/img/f.jpg" ip="192.0.2.1">

好处

1)server可以精准控制具体client的解析ip(cdn厂商喜欢这个),比ecs之类解决的更彻底。

2)节省到递归的查询时延(其实时延上的好处有限)。

3)可以少建一些公用递归被当作DDoS攻击的反射器。



Published

05 August 2018

Categories

Tags


Share On