نقوم بتحليل الآراء المتعلقة بميزات DNS عبر HTTPS، والتي أصبحت مؤخرًا "نقطة خلاف" بين مزودي الإنترنت ومطوري المتصفحات.
/unsplash/
جوهر الخلاف
مؤخرا и (بما في ذلك حبر)، غالبًا ما يكتبون عن DNS عبر بروتوكول HTTPS (DoH). يقوم بتشفير الطلبات إلى خادم DNS والاستجابات لها. يتيح لك هذا الأسلوب إخفاء أسماء المضيفين الذين يصل إليهم المستخدم. من المنشورات يمكننا أن نستنتج أن البروتوكول الجديد (في IETF في عام 2018) قسم مجتمع تكنولوجيا المعلومات إلى معسكرين.
يعتقد النصف أن البروتوكول الجديد سيحسن أمان الإنترنت ويقومون بتنفيذه في تطبيقاتهم وخدماتهم. النصف الآخر مقتنع بأن التكنولوجيا تجعل مهمة مسؤولي النظام أكثر صعوبة. وبعد ذلك، سوف نقوم بتحليل حجج كلا الجانبين.
كيف تعمل وزارة الصحة
قبل أن نتعرف على السبب الذي يجعل مزودي خدمة الإنترنت والمشاركين الآخرين في السوق يؤيدون أو يعارضون DNS عبر HTTPS، دعونا نلقي نظرة سريعة على كيفية عمله.
في حالة DoH، يتم تضمين طلب تحديد عنوان IP في حركة مرور HTTPS. ثم ينتقل بعد ذلك إلى خادم HTTP، حيث تتم معالجته باستخدام واجهة برمجة التطبيقات (API). فيما يلي مثال لطلب من RFC 8484 ():
:method = GET
:scheme = https
:authority = dnsserver.example.net
:path = /dns-query?
dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
accept = application/dns-message
وبالتالي، يتم إخفاء حركة مرور DNS في حركة مرور HTTPS. يتواصل العميل والخادم عبر المنفذ القياسي 443. ونتيجة لذلك، تظل الطلبات المقدمة إلى نظام اسم المجال مجهولة المصدر.
لماذا لا يفضله؟
معارضو DNS عبر HTTPS أن البروتوكول الجديد سوف يقلل من أمن الاتصالات. بواسطة سيجعل Paul Vixie، عضو فريق تطوير DNS، من الصعب على مسؤولي النظام حظر المواقع الضارة المحتملة. سيفقد المستخدمون العاديون القدرة على إعداد أدوات الرقابة الأبوية المشروطة في المتصفحات.
تتم مشاركة آراء بول من قبل مزودي خدمة الإنترنت في المملكة المتحدة. التشريعات القطرية منعهم من الموارد ذات المحتوى المحظور. لكن دعم DoH في المتصفحات يعقد مهمة تصفية حركة المرور. من بين منتقدي البروتوكول الجديد أيضًا مركز الاتصالات الحكومية في إنجلترا () ومؤسسة مراقبة الإنترنت ()، الذي يحتفظ بسجل للموارد المحظورة.
في مدونتنا على حبري:
يشير الخبراء إلى أن DNS عبر HTTPS يمكن أن يشكل تهديدًا للأمن السيبراني. في بداية شهر يوليو، متخصصون في أمن المعلومات من Netlab أول فيروس يستخدم البروتوكول الجديد لتنفيذ هجمات DDoS - . وصلت البرامج الضارة إلى DoH للحصول على السجلات النصية (TXT) واستخراج عناوين URL لخادم الأوامر والتحكم.
لم يتعرف برنامج مكافحة الفيروسات على طلبات DoH المشفرة. متخصصون في أمن المعلومات أنه بعد Godlua ستأتي برامج ضارة أخرى غير مرئية لمراقبة DNS السلبية.
ولكن ليس الجميع ضد ذلك
دفاعًا عن DNS عبر HTTPS على مدونته مهندس APNIC جيف هيوستن. ووفقا له، فإن البروتوكول الجديد سيجعل من الممكن مكافحة هجمات اختطاف DNS، والتي أصبحت شائعة بشكل متزايد في الآونة الأخيرة. هذه الحقيقة تقرير شهر يناير من شركة الأمن السيبراني FireEye. كما دعمت شركات تكنولوجيا المعلومات الكبيرة تطوير البروتوكول.
في بداية العام الماضي، بدأ اختبار DoH في Google. وقبل شهر الشركة نسخة التوفر العام لخدمة DoH الخاصة بها. على جوجل أنه سيزيد من أمان البيانات الشخصية على الشبكة ويحمي من هجمات MITM.
مطور متصفح آخر - Mozilla - DNS عبر HTTPS منذ الصيف الماضي. وفي الوقت نفسه، تعمل الشركة بنشاط على الترويج للتكنولوجيا الجديدة في بيئة تكنولوجيا المعلومات. ولهذا السبب، قامت جمعية مقدمي خدمات الإنترنت (ISPA) جائزة موزيلا لأفضل شرير على الإنترنت لهذا العام. ردا على ذلك ممثلي الشركة ، الذين يشعرون بالإحباط بسبب إحجام مشغلي الاتصالات عن تحسين البنية التحتية القديمة للإنترنت.
/unsplash/
لدعم موزيلا وبعض مزودي خدمة الإنترنت. وعلى وجه الخصوص، في شركة الاتصالات البريطانية أن البروتوكول الجديد لن يؤثر على تصفية المحتوى وسيحسن أمان مستخدمي المملكة المتحدة. تحت الضغط العام ISPA ترشيح "الشرير".
كما دعا موفرو الخدمات السحابية أيضًا إلى إدخال DNS عبر HTTPS، على سبيل المثال . إنهم يقدمون بالفعل خدمات DNS بناءً على البروتوكول الجديد. تتوفر قائمة كاملة بالمتصفحات والعملاء الذين يدعمون DoH على .
وفي كل الأحوال، ليس من الممكن حتى الآن الحديث عن انتهاء المواجهة بين المعسكرين. يتوقع خبراء تكنولوجيا المعلومات أنه إذا كان من المقدر أن يصبح DNS عبر HTTPS جزءًا من مجموعة تكنولوجيا الإنترنت السائدة، فسوف يستغرق الأمر ذلك .
ماذا نكتب عنه أيضًا في مدونة شركتنا:
المصدر: www.habr.com