那天刷手机看到彗星DNS吹得天花乱坠,免费又快,我这人就爱较真,安全这东西光吹不行,得自己动手试试才放心。说干就干,我立马就在自己淘汰下来的旧笔记本上装了个测试环境。
一、实测开始,先瞄瞄会不会偷看
我最担心的就是隐私。我特意抓了波DNS请求数据包,想看看它把我上网查啥的信息送哪里去了。结果真把我吓一跳!好家伙,本来应该加密的请求,有一部分居然大摇大摆地用没穿衣服的明文往外跑,这要是在咖啡馆连个公共WiFi,旁边稍微懂点行的人就能偷看到我在搜什么病或者查啥银行。这也太不讲究了。
二、再试试它到底听不听话
接着我故意设了个防火墙规则,只允许我的电脑通过彗星DNS的IP去查东西。但邪门的事儿来了,我明明把它设成了唯一通道,结果我输入个正经网址,浏览器里居然时不时跳出些牛头不对马嘴的页面,要么是广告,要么是些我压根没点的链接!我一查路由追踪,好嘛合着它没跟我打招呼就偷偷摸摸把请求拐带去了别的野鸡解析服务。这要是个金融支付类的页面被这么瞎指路,钱怎么没的都不知道!
- 隐患1:隐私裸奔 - 部分查询明文传输,公共网络下跟裸奔没区别。
- 隐患2:指路不靠谱 - 偷偷把解析请求转到第三方,返回内容可能被掉包。
- 隐患3:入口是筛子 - 默认服务器地址基本靠口口相传,中间人想捣鬼太容易了。
三、试试大门牢不牢
我看它官网推荐了几个公共访问地址,心里咯噔一下:这地址谁都可以用,也没个锁啥的。我弄了个假的DNS服务器,模仿它的响应格式,然后在我本地网路里耍了点小手段,轻松就把它截胡了。这种中间人手段,要是真有人使坏,给你所有查询结果都指向钓鱼网站,点了假银行页面输入密码,那不就全完了?细思极恐。
简单粗暴的解决方案
折腾完这一圈,冷汗都下来了。真要追求安全,就别图省事了:坚决启用D加密 - 这是最基本的遮羞布;别太迷信公共推荐入口,有条件自己整个可信的DNS服务器才是最踏实的,或者选那些业界名声好、明确支持DNSSEC的大牌子服务商。
彗星DNS速度是快,但安全这个窟窿太大,普通用户别碰,除非你跟我一样是拿来测试玩儿,或者关在小黑屋里完全隔离的网络环境用。这事儿也算给我提了个醒,免费的东西,背后指不定藏着啥代价。
