¿Qué información puede registrar un ISP únicamente a partir de consultas DNS?

3

Recientemente me di cuenta de que las solicitudes DNS de mi VPN se transmitieron al servidor DNS de mi ISP (aunque mis solicitudes HTTP y HTTPS se transmitieron correctamente a través de la VPN).

Investigué un poco y tengo un par de preguntas sobre el nivel de detalle que un ISP puede registrar.

Mi pregunta es específicamente sobre las solicitudes de DNS. Soy consciente de que hay otras preguntas en este y otros foros relacionados sobre los detalles que los ISP pueden obtener del tráfico HTTP y HTTPS.

En términos de privacidad, hay una diferencia significativa en un ISP que registra la solicitud de DNS de un usuario para:

https://www.google.com/

y una solicitud para:

https://www.google.com/search?source=hp&q=ultra+left+wing+support

Hay una diferencia entre una grabación de ISP:

https://www.reddit.com/ 

y:

https://www.reddit.com/r/hot-babes 

Tengo entendido que las consultas DNS de los usuarios a un servidor DNS (ISP) mostrarán el host ( https://www.google.com/ ) pero no el término de búsqueda específico o cualquier parte de una URL después del TLD (por ejemplo, .com ) ¿Es esto correcto?

Pregunto sobre HTTP y HTTPS, aunque no veo que haya una diferencia para las solicitudes de DNS.

En otras palabras, un ISP puede registrar los sitios que visitó el usuario (a través de sus registros de búsqueda de DNS), pero no puede registrar la consulta de búsqueda que realizó el usuario en el motor de búsqueda o las páginas específicas de un sitio que visitó un usuario. . Para hacerlo, el ISP tendría que registrar las URL cuando el usuario accediera directamente a las páginas del sitio web. ¿Es esto correcto?

Hombre de metal
fuente
1
Su ISP podría estar grabando cada bit enviado a / desde su conexión.
DavidPostill
Dependiendo de qué resoluciones sucedan, podrían adivinar su sistema operativo, el software que usa y con la información de sincronización también los patrones de uso. Ellos (suponiendo que se use una VPN) no podrán descifrar fácilmente ese tráfico.
Seth

Respuestas:

2

Si la conexión completa que realiza el navegador web es a través de HTTPS, entonces el ISP simplemente verá que se está comunicando con una dirección de servidor. Recuerde, por lo general, las solicitudes de DNS no son parte del navegador. Su computadora puede realizar consultas DNS todo lo que quiera, que solo será, en sus ejemplos, www.reddit.comy www.google.com.

Una vez que el navegador web conoce la dirección IP para enviar la solicitud, encripta la URL completa que está solicitando; por ejemplo, https://www.reddit.com/r/hot-babesestá encriptada en una cadena que su computadora y el servidor de Reddit entenderían. El ISP no puede leer esto en circunstancias normales.

Las circunstancias normales son para personas como yo. Mi ISP no intenta ningún tipo de ataque Man In The Middle (MITM), como hacerme aceptar su propio certificado raíz (!). Si te obligaron a instalar su propio certificado, entonces es un juego justo para ellos.

Esto también se mitiga si los sitios admiten HSTS ( Seguridad de transporte estricta de hipertexto ). Con suerte, esto estará actualizado y integrado en sus navegadores (Firefox y Chrome lo hacen). Si su navegador intenta una conexión a un sitio con configuración HSTS, el navegador actualizará la conexión a HTTPS automáticamente antes de realizar la conexión.

Lucas canadiense
fuente
1

En términos de BIND, no puedes. Las consultas entrantes entran y solo los nombres de host que se consultan se muestran en los registros junto con la IP externa de origen que está realizando la consulta, porque el DNS simplemente proporciona la resolución de nombre. Realmente no tiene la capacidad de ver la URL completa en la ruta. Si el ISP estaba interceptando de alguna manera el tráfico web para obtener sus solicitudes de Internet y sus métodos de solicitud, entonces su privacidad quedaría expuesta, pero en un nivel de ISP sus consultas serían una pequeña aguja en un pajar muy grande.

Si quisieran suprimir a un activista político, tendrían que comenzar a monitorear esos sitios generalmente en los registros de BIND en función de los nombres de host que apuntan a dichos sitios web. Incluso si obtienen su IP, realmente no pueden hacer mucho solo con la IP a menos que quieran atacar por fuerza bruta a la IP todo el día, lo que en su mayoría no expondrá la privacidad del individuo a menos que la red objetivo sea penetrada.

Si tiene curiosidad acerca de los ISP, simplemente use otro servidor DNS o atienda sus propias consultas DNS utilizando una configuración de sugerencias de raíz predeterminada sin reenviadores establecidos y manteniendo actualizada su lista de servidores raíz. Un servidor DNS de Microsoft proporciona esta configuración simple de manera predeterminada y también lo hace BIND, según mi experiencia, siempre que no especifique ningún reenviador. Si especifica un reenviador en su servidor, entonces está canalizando efectivamente sus solicitudes DNS de red para zonas fuera de su red a esos servidores públicos. Así que solo mantenga una configuración básica del servidor DNS que no se haya tocado (excepto que, por supuesto, aún querrá sus zonas internas), y luego es bueno para la privacidad de DNS, porque su servidor manejará esas consultas DNS enviándolas directamente a los servidores raíz sin pasar por todos excepto el mayor de los grandes de cada jurisdicción de dominio.

Paul Latour
fuente
Respuesta decente a una vieja pregunta.
JakeGould
1
Esta pregunta estaba apareciendo en "Hot Network Questions" justo hoy
Paul Latour
Bueno, quién sabe cómo funciona el filtrado lógico de "comunidad". De todos modos, ¡buen trabajo!
JakeGould
0

DNS se utiliza para traducir dominios a direcciones IP, por lo tanto, independientemente de si va a " http://www.google.com ", " https://www.google.com ", " https://www.google .com / q = none_of_your_business "," http://www.google.com/?q=myob "la consulta DNS solo mostrará una búsqueda de" www.google.com "porque eso es todo lo que el navegador necesita para Encuentra el servidor.

Probablemente sea irrelevante aquí, pero el DNS también puede tener información genérica adicional sobre el nombre de dominio que está solicitando, como las direcciones IP desde las que puede enviar correos electrónicos, pero nada de esto sería específico para su conexión o filtraría su actividad, excepto el hasta cierto punto, puede decir qué nombre de dominio está mirando y, a veces, qué tipo de servicio está utilizando. (Por ejemplo, si está actuando como servidor de correo, verá que está solicitando un registro de correo, pero la mayoría de las veces ni siquiera esto.

davidgo
fuente
0

Considere algún problema en el que usted y otras dos personas usen el mismo proveedor de VPN pero un sitio web diferente. Ahora, si algún atacante quiere encontrar quién está visitando forbidden.com usando vpn desde el registro de ISP dns, será simplemente una distensión de consulta para encontrar. Entiendo que no es común tener acceso a los datos del ISP, pero la tendencia reciente muestra que algunas organizaciones realmente grandes tienen acceso mayorista a muchos registros en todo el mundo.

Incluso el registro DNS no tiene información para el acceso a la URL, pero con el ataque correlacionado será fácil hacer coincidir 2 + 2 = 4.

A. Bauani
fuente