Firefoxi arendajad
Pärast DoH aktiveerimist kuvatakse kasutajale hoiatus, mis võimaldab soovi korral keelduda tsentraliseeritud DoH DNS-serveritega ühenduse võtmisest ja naasta teenusepakkuja DNS-serverisse krüpteerimata päringute saatmise traditsioonilise skeemi juurde. DNS-i lahendajate hajutatud infrastruktuuri asemel kasutab DoH sidumist konkreetse DoH-teenusega, mida võib pidada üheks tõrkepunktiks. Praegu pakutakse tööd kahe DNS-i pakkuja kaudu – CloudFlare (vaikimisi) ja
Vahetage teenusepakkujat või keelake DoH
Tuletagem meelde, et DoH võib olla kasulik taotletud hostinimede teabelekke ärahoidmiseks pakkujate DNS-serverite kaudu, MITM-i rünnakute ja DNS-i liikluse võltsimise vastu võitlemiseks (näiteks avaliku Wi-Fi-ga ühenduse loomisel), DNS-i blokeerimise vastu võitlemiseks. tasemel (DoH ei saa asendada VPN-i DPI tasemel rakendatud blokeerimisest möödahiilimise valdkonnas) või töö korraldamiseks, kui DNS-serveritele pole otsene juurdepääs (näiteks puhverserveri kaudu töötades). Kui tavaolukorras saadetakse DNS-päringud otse süsteemi konfiguratsioonis määratletud DNS-serveritele, siis DoH-i puhul kapseldatakse hosti IP-aadressi määramise päring HTTPS-liiklusse ja saadetakse HTTP-serverisse, kus lahendaja töötleb. päringuid veebi API kaudu. Olemasolev DNSSEC-standard kasutab krüptimist ainult kliendi ja serveri autentimiseks, kuid ei kaitse liiklust pealtkuulamise eest ega garanteeri päringute konfidentsiaalsust.
Firefoxis pakutavate DoH pakkujate valimiseks
DoH-d tuleb kasutada ettevaatusega. Näiteks Vene Föderatsioonis on Firefoxis pakutava DoH vaikeserveriga mozilla.cloudflare-dns.com seotud IP-aadressid 104.16.248.249 ja 104.16.249.249,
DoH võib põhjustada probleeme ka sellistes valdkondades nagu vanemliku kontrolli süsteemid, juurdepääs ettevõtte süsteemide sisemistele nimeruumidele, marsruudi valimine sisu edastamise optimeerimissüsteemides ning kohtumääruste täitmine ebaseadusliku sisu levitamise ja ärakasutamise vastu võitlemisel. alaealised. Sellistest probleemidest kõrvalehoidmiseks on juurutatud ja testitud kontrollsüsteem, mis teatud tingimustel automaatselt keelab DoH.
Ettevõtte lahendajate tuvastamiseks kontrollitakse ebatüüpilisi esimese taseme domeene (TLD) ja süsteemi lahendaja tagastab sisevõrgu aadressid. Et teha kindlaks, kas vanemlik järelevalve on lubatud, proovitakse lahendada nimi exampleadultsite.com ja kui tulemus ei vasta tegelikule IP-le, loetakse, et täiskasvanutele mõeldud sisu blokeerimine on DNS-i tasemel aktiivne. Google'i ja YouTube'i IP-aadresse kontrollitakse ka märkidena, et näha, kas need on asendatud aadressidega limited.youtube.com, forcesafesearch.google.com ja limitedmoderate.youtube.com. Need kontrollid võimaldavad ründajatel, kes juhivad lahendaja tööd või on võimelised liiklust segama, sellist käitumist simuleerida, et keelata DNS-liikluse krüpteerimine.
Ühe DoH-teenuse kaudu töötamine võib potentsiaalselt põhjustada probleeme liikluse optimeerimisega sisuedastusvõrkudes, mis tasakaalustavad liiklust DNS-i abil (CDN-võrgu DNS-server genereerib vastuse, võttes arvesse lahendaja aadressi ja pakub sisu vastuvõtmiseks lähima hosti). DNS-päringu saatmisel kasutajale lähimast lahendajast sellistes CDN-ides tagastatakse kasutajale lähima hosti aadress, kuid DNS-päringu saatmine tsentraliseeritud lahendajast tagastab DNS-üle-HTTPS-serverile lähima hostiaadressi. . Praktikas testimine näitas, et DNS-üle-HTTP kasutamine CDN-i kasutamisel ei toonud praktiliselt mingeid viivitusi enne sisu edastamise algust (kiirete ühenduste korral ei ületanud viivitused 10 millisekundit ja aeglastel sidekanalitel täheldati veelgi kiiremat jõudlust ). EDNS-i kliendi alamvõrgu laienduse kasutamist peeti ka kliendi asukohateabe edastamiseks CDN-i lahendajale.
Allikas: opennet.ru