跳到主要内容

6. 无保护使用的考量

不推荐在没有机密性和完整性保护的情况下使用 DoC. 如果没有安全通信, 需要结合应用程序的威胁模型评估多种可能的攻击. 这包括针对无保护 DNS [RFC3833] [RFC9076] 和 CoAP ([RFC7252] 第 11 节) 的已知威胁. 虽然 DoC 不使用 DNS 头部中的随机 ID (见第 4.2.2 节), 但对于无保护 CoAP 请求, 通过使用随机的大令牌值可以获得等效的离路径投毒攻击防护. 如果 DoC 消息未受保护, 则必须使用长度至少为 2 字节的随机令牌, 以缓解这种投毒攻击.