Firefox Tərtibatçıları
DoH aktivləşdirildikdən sonra istifadəçiyə xəbərdarlıq göstərilir ki, bu da istəsə, mərkəzləşdirilmiş DoH DNS serverləri ilə əlaqə saxlamaqdan imtina etməyə və provayderin DNS serverinə şifrələnməmiş sorğuların göndərilməsinin ənənəvi sxeminə qayıtmağa imkan verir. DNS həlledicilərinin paylanmış infrastrukturu əvəzinə, DoH, vahid uğursuzluq nöqtəsi sayıla bilən xüsusi bir DoH xidmətinə bağlamadan istifadə edir. Hazırda iş iki DNS provayderi vasitəsilə təklif olunur - CloudFlare (standart) və
Provayderi dəyişdirin və ya DoH-ni söndürün
Xatırladaq ki, DoH provayderlərin DNS serverləri vasitəsilə tələb olunan host adları haqqında məlumat sızmasının qarşısını almaq, MITM hücumları və DNS trafikinin saxtalaşdırılması ilə mübarizə (məsələn, ictimai Wi-Fi-a qoşularkən), DNS səviyyəsində bloklamaya qarşı (DoH) faydalı ola bilər. DPI səviyyəsində həyata keçirilən blokdan yan keçmə sahəsində VPN-i əvəz edə bilməz) və ya DNS serverlərinə birbaşa daxil olmaq mümkün olmadıqda (məsələn, proxy vasitəsilə işləyərkən) işin təşkili üçün. Normal vəziyyətdə DNS sorğuları birbaşa sistem konfiqurasiyasında müəyyən edilmiş DNS serverlərinə göndərildiyi halda, DoH vəziyyətində, host IP ünvanının müəyyən edilməsi sorğusu HTTPS trafikinə daxil edilir və həlledicinin olduğu HTTP serverinə göndərilir. Web API vasitəsilə sorğuları emal edir. Mövcud DNSSEC standartı yalnız müştəri və serverin autentifikasiyası üçün şifrələmədən istifadə edir, lakin trafiki ələ keçirməkdən qorumur və sorğuların məxfiliyinə zəmanət vermir.
Firefox-da təklif olunan DoH provayderlərini seçmək üçün,
DoH ehtiyatla istifadə edilməlidir. Məsələn, Rusiya Federasiyasında Firefox-da təklif olunan standart DoH server mozilla.cloudflare-dns.com ilə əlaqəli 104.16.248.249 və 104.16.249.249 IP ünvanları,
DoH həmçinin valideyn nəzarəti sistemləri, korporativ sistemlərdə daxili ad boşluqlarına giriş, məzmunun çatdırılması optimallaşdırma sistemlərində marşrut seçimi və qanunsuz məzmunun yayılması və istismarı ilə mübarizə sahəsində məhkəmə qərarlarına əməl olunması kimi sahələrdə problemlər yarada bilər. azyaşlılar. Bu cür problemlərin qarşısını almaq üçün müəyyən şərtlər altında DoH-ni avtomatik söndürən yoxlama sistemi tətbiq edilmiş və sınaqdan keçirilmişdir.
Müəssisə həlledicilərini müəyyən etmək üçün atipik birinci səviyyəli domenlər (TLD) yoxlanılır və sistem həlledicisi intranet ünvanlarını qaytarır. Valideyn nəzarətinin aktiv olub-olmadığını müəyyən etmək üçün exampleadultsite.com adını həll etməyə cəhd edilir və nəticə faktiki IP ilə uyğun gəlmirsə, böyüklər üçün məzmunun bloklanmasının DNS səviyyəsində aktiv olduğu hesab edilir. Google və YouTube IP ünvanları, həmçinin məhdudlaşdırma.youtube.com, forcesafesearch.google.com və Restrictmoderate.youtube.com ilə əvəz olunub-olunmadığını yoxlamaq üçün işarə kimi yoxlanılır. Bu yoxlamalar həlledicinin işinə nəzarət edən və ya trafikə müdaxilə edə bilən təcavüzkarlara DNS trafikinin şifrələnməsini söndürmək üçün belə davranışı simulyasiya etməyə imkan verir.
Vahid DoH xidməti ilə işləmək DNS-dən istifadə edərək trafik balansını həyata keçirən məzmun çatdırılması şəbəkələrində trafikin optimallaşdırılması ilə bağlı problemlərə də səbəb ola bilər (CDN şəbəkəsinin DNS serveri həlledicinin ünvanını nəzərə alaraq cavab yaradır və ən yaxın hostu verir. məzmun almaq). Belə CDN-lərdə istifadəçiyə ən yaxın həlledicidən DNS sorğusunun göndərilməsi istifadəçiyə ən yaxın olan hostun ünvanını qaytarır, lakin mərkəzləşdirilmiş həlledicidən DNS sorğusunun göndərilməsi HTTPS-dən çox DNS serverinə ən yaxın olan host ünvanını qaytaracaq. Təcrübədə sınaq göstərdi ki, CDN-dən istifadə edərkən DNS-over-HTTP-dən istifadə praktiki olaraq məzmun ötürülməsi başlamazdan əvvəl gecikmələrə səbəb olmayıb (sürətli bağlantılar üçün gecikmələr 10 millisaniyədəni keçmirdi və hətta yavaş rabitə kanallarında sürətlənmə müşahidə olunurdu) ). Biz həmçinin müştəri yeri məlumatını CDN həlledicisinə ötürmək üçün EDNS Müştəri Alt Şəbəkə genişlənməsindən istifadə etməyi nəzərdən keçirdik.
Mənbə: opennet.ru