مطورو Firefox
بعد تنشيط DoH، يتم عرض تحذير للمستخدم، والذي يسمح، إذا رغبت في ذلك، برفض الاتصال بخوادم DoH DNS المركزية والعودة إلى المخطط التقليدي لإرسال استعلامات غير مشفرة إلى خادم DNS الخاص بالموفر. بدلاً من البنية التحتية الموزعة لمحللات DNS، تستخدم DoH ربطًا بخدمة DoH محددة، والتي يمكن اعتبارها نقطة فشل واحدة. حاليًا، يتم تقديم العمل من خلال اثنين من موفري DNS - CloudFlare (الافتراضي) و
قم بتغيير المزود أو قم بتعطيل DoH
تذكر أن DoH يمكن أن يكون مفيدًا لمنع تسرب المعلومات حول أسماء المضيفات المطلوبة من خلال خوادم DNS لمقدمي الخدمة ، ومكافحة هجمات MITM وانتحال حركة مرور DNS (على سبيل المثال ، عند الاتصال بشبكة Wi-Fi عامة) ، ومواجهة الحظر على مستوى DNS (DoH لا يمكن أن تحل محل VPN في مجال تجاوز الحجب المطبق على مستوى DPI) أو لتنظيم العمل في حالة استحالة الوصول مباشرة إلى خوادم DNS (على سبيل المثال ، عند العمل من خلال وكيل). بينما يتم إرسال طلبات DNS في الوضع العادي مباشرة إلى خوادم DNS المحددة في تكوين النظام ، في حالة DoH ، يتم تغليف طلب تحديد عنوان IP للمضيف في حركة مرور HTTPS وإرساله إلى خادم HTTP ، حيث يقوم المحلل يعالج الطلبات من خلال Web API. يستخدم معيار DNSSEC الحالي التشفير فقط لمصادقة العميل والخادم ، ولكنه لا يحمي حركة المرور من الاعتراض ولا يضمن سرية الطلبات.
لتحديد موفري DoH المتوفرين في Firefox،
يجب استخدام DoH بحذر. على سبيل المثال، في الاتحاد الروسي، عناوين IP 104.16.248.249 و104.16.249.249 مرتبطة بخادم DoH الافتراضي mozilla.cloudflare-dns.com المقدم في Firefox،
يمكن أن تسبب دائرة الصحة أيضًا مشكلات في مجالات مثل أنظمة الرقابة الأبوية، والوصول إلى مساحات الأسماء الداخلية في أنظمة الشركات، واختيار المسار في أنظمة تحسين تسليم المحتوى، والامتثال لأوامر المحكمة في مجال مكافحة توزيع المحتوى غير القانوني واستغلال القُصّر. للتحايل على مثل هذه المشكلات، تم تنفيذ واختبار نظام فحص يقوم تلقائيًا بتعطيل DoH في ظل ظروف معينة.
لتحديد وحدات حل المؤسسات، يتم فحص نطاقات المستوى الأول غير النمطية (TLDs) وتقوم وحدة حل النظام بإرجاع عناوين الإنترانت. لتحديد ما إذا كانت أدوات الرقابة الأبوية ممكّنة، يتم إجراء محاولة لحل الاسم exampleadultsite.com وإذا كانت النتيجة لا تتطابق مع عنوان IP الفعلي، فسيتم اعتبار أن حظر محتوى البالغين نشط على مستوى DNS. يتم أيضًا التحقق من عناوين IP الخاصة بـ Google وYouTube كعلامات لمعرفة ما إذا تم استبدالها بـ Restrict.youtube.com وforcesafesearch.google.com وRestrictmoderate.youtube.com. تسمح عمليات التحقق هذه للمهاجمين الذين يتحكمون في تشغيل محلل البيانات أو القادرين على التدخل في حركة المرور بمحاكاة هذا السلوك لتعطيل تشفير حركة مرور DNS.
يمكن أن يؤدي العمل من خلال خدمة DoH واحدة أيضًا إلى مشاكل في تحسين حركة المرور في شبكات توصيل المحتوى التي تقوم بموازنة حركة المرور باستخدام DNS (يقوم خادم DNS لشبكة CDN بإنشاء استجابة ، مع مراعاة عنوان المحلل وإصدار أقرب مضيف لتلقي المحتوى). يؤدي إرسال استعلام DNS من المحلل الأقرب إلى المستخدم في شبكات CDN هذه إلى إرجاع عنوان المضيف الأقرب للمستخدم ، ولكن إرسال استعلام DNS من المحلل المركزي سيعيد عنوان المضيف الأقرب إلى خادم DNS-over-HTTPS. أظهر الاختبار في الممارسة العملية أن استخدام DNS-over-HTTP عند استخدام CDN عمليًا لم يؤد إلى تأخيرات قبل بدء نقل المحتوى (للاتصالات السريعة ، لم تتجاوز التأخيرات 10 مللي ثانية ، بل لوحظ تسارع على قنوات الاتصال البطيئة ). نظرنا أيضًا في استخدام امتداد الشبكة الفرعية للعميل EDNS لتمرير معلومات موقع العميل إلى محلل CDN.
المصدر: opennet.ru