Quelles informations un FAI peut-il enregistrer uniquement à partir des requêtes DNS ?

Si le tout le site Si la connexion établie par le navigateur Web se fait via HTTPS, le FAI verra simplement que vous communiquez avec une adresse de serveur. N'oubliez pas que les requêtes DNS ne font pas partie du navigateur, en général. Votre ordinateur peut faire des requêtes DNS autant qu'il le veut, ce qui ne sera, dans vos exemples, www.reddit.com et www.google.com .

Une fois que le navigateur Web connaît l'adresse IP à laquelle envoyer la demande, il crypte l'intégralité de l'URL que vous demandez - par exemple, https://www.reddit.com/r/hot-babes est crypté en une chaîne de caractères que votre ordinateur et le serveur de Reddit peuvent comprendre. Le FAI ne peut pas le lire dans des circonstances normales.

Les circonstances normales sont pour les gens comme moi. Mon FAI ne tente aucune sorte d'attaque de type "Man In The Middle" (MITM), par exemple en me faisant accepter son propre certificat racine ( !). S'ils vous ont forcé à installer leur propre certificat, alors c'est un jeu équitable pour eux.

Ce problème est également atténué si les sites prennent en charge le système HSTS ( Hypertext Strict Transport Security ). Avec un peu de chance, il sera à jour et intégré à vos navigateurs (Firefox et Chrome le font tous deux). Si votre navigateur tente de se connecter à un site pour lequel HSTS est configuré, il mettra automatiquement la connexion à niveau vers HTTPS avant d'établir la connexion.

En termes de BIND, vous ne pouvez pas. Les requêtes entrantes arrivent et seuls les noms d'hôtes interrogés sont affichés dans les journaux avec l'IP externe source de la requête, car le DNS fournit simplement la résolution de nom. Vous n'avez pas vraiment la possibilité d'afficher l'URL complète dans le chemin. Si le FAI interceptait d'une manière ou d'une autre le trafic Web afin d'obtenir vos requêtes Internet et leurs méthodes, votre vie privée serait exposée, mais au niveau du FAI, vos requêtes ne seraient qu'une petite aiguille dans une très grande botte de foin.

S'ils voulaient supprimer un activiste politique, ils devraient commencer à surveiller ces sites de manière générale dans les journaux BIND en se basant sur les noms d'hôtes qui pointent vers lesdits sites web. Même s'ils obtiennent votre IP, ils ne peuvent pas vraiment faire grand-chose avec l'IP seule, à moins qu'ils ne veuillent attaquer l'IP par force brute toute la journée, ce qui n'exposera pas la vie privée de l'individu, sauf si le réseau cible est pénétré.

Si vous êtes curieux de connaître les FAI, il suffit d'utiliser un autre serveur DNS ou de servir vos propres requêtes DNS en utilisant une configuration par défaut de hints racine sans aucun forwarder défini, et en gardant votre liste de serveurs racine à jour. Un serveur DNS Microsoft fournit cette configuration simple par défaut, tout comme BIND d'après mon expérience, tant que vous ne spécifiez pas de forwarders. Si vous spécifiez un transitaire sur votre serveur, vous faites effectivement passer les requêtes DNS de votre réseau pour des zones situées en dehors de votre réseau vers ces serveurs publics. Il suffit donc de conserver une configuration de base du serveur DNS qui n'est pas modifiée (sauf que vous voudrez toujours avoir vos zones internes bien sûr), et alors vous êtes bon pour la confidentialité du DNS, parce que votre serveur traitera ces requêtes DNS en les envoyant directement aux serveurs racines en contournant tout le monde sauf le plus grand des grands garçons de chaque juridiction de domaine. Votre DNS sera propre comme un sou neuf, ce qui explique pourquoi l'utilisation d'un système d'exploitation de classe serveur vaut le temps et/ou l'argent...

Le DNS est utilisé pour traduire les domaines en adresses IP, donc peu importe si vous allez " http://www.google.com ", " https://www.google.com ", " https://www.google.com/q=none_of_your_business ", " http://www.google.com/?q=myob "la requête DNS ne montrera qu'une recherche pour "www.google.com" car c'est tout ce dont le navigateur a besoin pour trouver le serveur.

Cela n'est probablement pas pertinent ici, mais le DNS peut également avoir des informations génériques supplémentaires sur le nom de domaine que vous demandez, comme les adresses IP à partir desquelles il peut envoyer du courrier électronique - mais rien de tout cela ne serait spécifique à votre connexion ou ne divulguerait votre activité, sauf dans la mesure où il peut dire quel nom de domaine vous regardez, et parfois quel type de service vous utilisez. (Par exemple, si vous agissez en tant que serveur de messagerie, il verra que vous demandez un enregistrement de messagerie, mais la plupart du temps, il ne le verra même pas.

Considérez le cas où vous et deux autres personnes utilisez le même fournisseur de services vpn mais des sites Web différents. Maintenant, si un attaquant veut trouver qui visite forbidden.com en utilisant le vpn à partir du journal dns du FAI, il n'aura qu'une seule distance à parcourir pour le trouver. Je comprends qu'il n'est pas courant d'avoir accès aux données des FAI mais la tendance récente montre que certaines grandes organisations ont un accès en gros à de nombreux logs dans le monde.

Même les journaux DNS n'ont aucune information sur l'accès aux URL, mais avec une attaque par corrélation, il sera facile de faire correspondre 2+2 = 4 !