ISPはDNSクエリからのみどのような情報を記録できますか？

Question

最近、VPNのDNS要求がISPのDNSサーバーに送信されていることに気付きました（HTTPおよびHTTPS要求がVPN経由で適切に送信されたにもかかわらず）。

私はいくつかの調査を行い、ISPが記録できる詳細のレベルについていくつか質問があります。

私の質問は特にDNS要求についてです。 ISPがHTTPおよびHTTPSトラフィックから収集できる詳細について、このフォーラムおよび関連するフォーラムに他の質問があることを認識しています。

プライバシーの観点から、ユーザーのDNS要求を次の目的で記録するISPには大きな違いがあります。

https://www.google.com/

および次のリクエスト：

https://www.google.com/search?source=hp&q=ultra+left+wing+support

ISPの記録には違いがあります。

https://www.reddit.com/

そして：

https://www.reddit.com/r/hot-babes

私の理解では、ユーザーから（ISPの）DNSサーバーへのDNSクエリでは、ホスト（ https://www.google.com/ ）は表示されますが、特定の検索用語やURLの一部は表示されません。 TLDの後（例：.com）。これは正しいです？

DNSリクエストに違いがあるかどうかはわかりませんが、HTTPとHTTPSの両方について質問しています。

つまり、ISPは、ユーザーがアクセスしたサイトを（DNSルックアップログを介して）記録できますが、ユーザーが検索エンジンで行った検索クエリや、ユーザーがアクセスしたサイトの特定のページを記録することはできません。。そのためには、ユーザーがWebサイトのページに直接アクセスしたときにISPがURLを記録する必要があります。これは正解？

Canadian Luke · Answer

Webブラウザが確立する全体接続がHTTPSを介している場合、ISPは単にサーバーアドレスと通信していることを確認します。通常、DNS要求はブラウザの一部ではないことを忘れないでください。お使いのコンピュータは、必要なすべてのDNSクエリを実行できます。これは、例ではwww.reddit.comおよびwww.google.com。

Webブラウザがリクエストの送信先のIPアドレスを認識すると、ブラウザはリクエストしているURL全体を暗号化します-たとえば、https://www.reddit.com/r/hot-babesは、コンピューターとRedditのサーバーが理解できる文字列に暗号化されます。 ISPは通常の状況ではこれを読み取ることができません。

通常の状況は私のような人々のためのものです。私のISPは、自分のルート証明書（！）を受け入れさせるなど、いかなる中間者（MITM）攻撃も試みません。彼らがあなたに彼ら自身の証明書をインストールすることを強制したなら、それは彼らにとって公正なゲームです。

これは、サイトがHSTSをサポートしている場合にも軽減されます（ Hypertext Strict Transport Security ）。これが最新であり、ブラウザに組み込まれていることを願っています（FirefoxとChrome両方が行います）。ブラウザがHSTS設定でサイトへの接続を試みると、ブラウザは接続をアップグレードします接続する前に自動的にHTTPSに接続します。

Paul Latour · Answer

BINDに関しては、できません。 DNSは単に名前解決を提供するため、着信クエリが受信され、クエリを実行しているソース外部IPとともに、クエリされたホスト名のみがログに表示されます。パス内の完全なURLを表示する機能は実際にはありません。 ISPがインターネット要求とその要求方法を取得するために何らかの方法でWebトラフィックを傍受している場合、プライバシーは公開されますが、ISPレベルでは、クエリは非常に大きな干し草の山の中の小さな針になります。

政治活動家を抑圧したい場合は、通常、BINDログで、これらのWebサイトを指すホスト名に基づいてこれらのサイトの監視を開始する必要があります。彼らがあなたのIPを取得したとしても、彼らが一日中IPをブルートフォース攻撃したいのでなければ、彼らはIPだけでは実際には多くのことを行うことができません。

ISPに興味がある場合は、別のDNSサーバーを使用するか、フォワーダーが設定されていないデフォルトのルートヒント構成を使用し、ルートサーバーリストを最新の状態に保つことで、独自のDNSクエリを提供します。 Microsoft DNSサーバーは、デフォルトでこの単純なセットアップを提供します。フォワーダーを指定しない限り、私の経験からBINDも提供します。サーバーでフォワーダーを指定すると、ネットワーク外のゾーンに対するネットワークDNS要求をそれらのパブリックサーバーに効果的に集中させることになります。したがって、基本的なDNSサーバー構成はそのままにしておくだけで（もちろん内部ゾーンが必要になる場合を除く）、サーバーがこれらのDNSクエリをルートサーバーに直接送信することで処理するため、DNSプライバシーに適しています。各ドメイン管轄の最大のビッグボーイを除くすべての人をバイパスします。 DNSは口笛のようにきれいになります。そのため、サーバークラスのOSを使用することは、時間やお金の価値があります...

davidgo · Answer

DNSは、ドメインをIPアドレスに変換するために使用されるため、「 http://www.google.com "、」 https://www.google。 com "、" https://www.google.com/q=none_of_your_business "、" http://www.google.com/?q=myob = "DNSクエリでは、「www.google.com」のルックアップのみが表示されます。これは、サーバーを見つけるためにブラウザーが必要とするのはそれだけだからです。

ここではおそらくほとんど関係ありませんが、DNSには、電子メールを送信できるIPアドレスなど、要求しているドメイン名に関する追加の一般情報を含めることもできます。ただし、これは接続に固有のものではなく、アクティビティをリークするものでもありません。どのドメイン名を見ているのか、時にはどのような種類のサービスを使用しているのかを知ることができます。（たとえば、メールサーバーとして機能している場合は、メールレコードを要求していることがわかりますが、ほとんどの場合、それほど多くはありません。

A. Bauani · Answer

あなたと他の2人が同じVPNプロバイダーを使用しているが異なるWebサイトを使用している問題について考えてみます。これで、攻撃者がISPのDNSログからvpnを使用してforbidden.comにアクセスしているユーザーを見つけたい場合、検索するのは1つのクエリ距離になります。 ISPデータにアクセスすることは一般的ではないことは理解していますが、最近の傾向では、実際の大規模な組織が世界中の多くのログに大規模にアクセスできることが示されています。

DNSログにもURLアクセスの情報はありませんが、相関攻撃を使用すると、2 + 2 = 4に簡単に一致させることができます。