Firefox-Entwickler
Nach der Aktivierung von DoH wird dem Benutzer eine Warnung angezeigt, die es ihm auf Wunsch ermöglicht, die Kontaktaufnahme mit zentralen DoH-DNS-Servern zu verweigern und zum traditionellen Schema des Sendens unverschlüsselter Abfragen an den DNS-Server des Anbieters zurückzukehren. Anstelle einer verteilten Infrastruktur von DNS-Resolvern verwendet DoH eine Bindung an einen bestimmten DoH-Dienst, der als Single Point of Failure betrachtet werden kann. Derzeit wird die Arbeit über zwei DNS-Anbieter angeboten – CloudFlare (Standard) und
Wechseln Sie den Anbieter oder deaktivieren Sie DoH
Erinnern wir uns daran, dass DoH nützlich sein kann, um das Durchsickern von Informationen über die angeforderten Hostnamen über die DNS-Server von Anbietern zu verhindern, MITM-Angriffe und DNS-Traffic-Spoofing (z. B. beim Herstellen einer Verbindung zu öffentlichem WLAN) zu bekämpfen und Blockaden im DNS entgegenzuwirken Ebene (DoH kann ein VPN im Bereich der Umgehung der auf DPI-Ebene implementierten Blockierung nicht ersetzen) oder zur Arbeitsorganisation, wenn ein direkter Zugriff auf DNS-Server nicht möglich ist (z. B. bei der Arbeit über einen Proxy). Wenn in einer normalen Situation DNS-Anfragen direkt an in der Systemkonfiguration definierte DNS-Server gesendet werden, wird im Fall von DoH die Anfrage zur Ermittlung der IP-Adresse des Hosts im HTTPS-Verkehr gekapselt und an den HTTP-Server gesendet, wo der Resolver die Verarbeitung durchführt Anfragen über die Web-API. Der bestehende DNSSEC-Standard verwendet Verschlüsselung nur zur Authentifizierung von Client und Server, schützt den Datenverkehr jedoch nicht vor dem Abfangen und garantiert nicht die Vertraulichkeit von Anfragen.
Um die in Firefox angebotenen DoH-Anbieter auszuwählen,
DoH sollte mit Vorsicht verwendet werden. In der Russischen Föderation sind beispielsweise die IP-Adressen 104.16.248.249 und 104.16.249.249 mit dem in Firefox angebotenen Standard-DoH-Server mozilla.cloudflare-dns.com verknüpft.
DoH kann auch Probleme in Bereichen wie Kindersicherungssystemen, Zugriff auf interne Namensräume in Unternehmenssystemen, Routenauswahl in Systemen zur Optimierung der Inhaltsbereitstellung und Einhaltung von Gerichtsbeschlüssen im Bereich der Bekämpfung der Verbreitung illegaler Inhalte und der Ausbeutung von Inhalten verursachen Minderjährige. Um solche Probleme zu umgehen, wurde ein Prüfsystem implementiert und getestet, das DoH unter bestimmten Bedingungen automatisch deaktiviert.
Um Unternehmensresolver zu identifizieren, werden atypische First-Level-Domains (TLDs) überprüft und der Systemresolver gibt Intranetadressen zurück. Um festzustellen, ob die Kindersicherung aktiviert ist, wird versucht, den Namen exampleadultsite.com aufzulösen. Wenn das Ergebnis nicht mit der tatsächlichen IP übereinstimmt, wird davon ausgegangen, dass die Blockierung von Inhalten für Erwachsene auf DNS-Ebene aktiv ist. Als Anzeichen dafür werden auch die IP-Adressen von Google und YouTube überprüft, um festzustellen, ob sie durch „restrict.youtube.com“, „forcesafesearch.google.com“ und „restrictmoderate.youtube.com“ ersetzt wurden. Diese Überprüfungen ermöglichen es Angreifern, die den Betrieb des Resolvers kontrollieren oder den Datenverkehr stören können, ein solches Verhalten zu simulieren und die Verschlüsselung des DNS-Datenverkehrs zu deaktivieren.
Die Arbeit über einen einzelnen DoH-Dienst kann möglicherweise auch zu Problemen bei der Verkehrsoptimierung in Content-Delivery-Netzwerken führen, die den Verkehr mithilfe von DNS ausgleichen (der DNS-Server des CDN-Netzwerks generiert eine Antwort unter Berücksichtigung der Resolver-Adresse und stellt den nächstgelegenen Host zum Empfang des Inhalts bereit). Das Senden einer DNS-Anfrage von dem Resolver, der dem Benutzer in solchen CDNs am nächsten ist, führt dazu, dass die Adresse des Hosts zurückgegeben wird, der dem Benutzer am nächsten ist. Wenn Sie jedoch eine DNS-Anfrage von einem zentralen Resolver senden, wird die Hostadresse zurückgegeben, die dem DNS-over-HTTPS-Server am nächsten liegt . Tests in der Praxis zeigten, dass die Verwendung von DNS-over-HTTP bei Verwendung eines CDN praktisch zu keinen Verzögerungen vor dem Beginn der Inhaltsübertragung führte (bei schnellen Verbindungen betrugen die Verzögerungen nicht mehr als 10 Millisekunden, und auf langsamen Kommunikationskanälen wurde eine noch schnellere Leistung beobachtet ). Die Verwendung der EDNS-Client-Subnetzerweiterung wurde auch in Betracht gezogen, um dem CDN-Resolver Client-Standortinformationen bereitzustellen.
Source: opennet.ru