توسعه دهندگان فایرفاکس
پس از فعالسازی DoH، هشداری به کاربر نمایش داده میشود که در صورت تمایل، از تماس با سرورهای DNS متمرکز DoH امتناع میکند و به طرح سنتی ارسال درخواستهای رمزگذاری نشده به سرور DNS ارائهدهنده باز میگردد. به جای یک زیرساخت توزیعشده از حلکنندههای DNS، DoH از اتصال به یک سرویس DoH خاص استفاده میکند که میتواند یک نقطه شکست در نظر گرفته شود. در حال حاضر، کار از طریق دو ارائه دهنده DNS - CloudFlare (پیش فرض) و
ارائه دهنده را تغییر دهید یا DoH را غیرفعال کنید
بیایید به یاد بیاوریم که DoH می تواند برای جلوگیری از درز اطلاعات در مورد نام میزبان درخواستی از طریق سرورهای DNS ارائه دهندگان، مبارزه با حملات MITM و جعل ترافیک DNS (به عنوان مثال، هنگام اتصال به Wi-Fi عمومی)، مقابله با مسدود کردن در DNS مفید باشد. سطح (DoH نمی تواند VPN را در منطقه دور زدن مسدودسازی اجرا شده در سطح DPI جایگزین کند) یا برای سازماندهی کار اگر دسترسی مستقیم به سرورهای DNS غیرممکن باشد (به عنوان مثال هنگام کار از طریق یک پروکسی). اگر در شرایط عادی درخواستهای DNS مستقیماً به سرورهای DNS تعریف شده در پیکربندی سیستم ارسال میشوند، در مورد DoH، درخواست تعیین آدرس IP میزبان در ترافیک HTTPS کپسوله میشود و به سرور HTTP ارسال میشود، جایی که حلکننده پردازش میکند. درخواست از طریق Web API. استاندارد موجود DNSSEC از رمزگذاری فقط برای احراز هویت مشتری و سرور استفاده می کند، اما از ترافیک در برابر رهگیری محافظت نمی کند و محرمانه بودن درخواست ها را تضمین نمی کند.
برای انتخاب ارائه دهندگان DoH ارائه شده در فایرفاکس،
DoH باید با احتیاط استفاده شود. به عنوان مثال، در فدراسیون روسیه، آدرس های IP 104.16.248.249 و 104.16.249.249 مرتبط با سرور پیش فرض DoH mozilla.cloudflare-dns.com ارائه شده در فایرفاکس،
وزارت بهداشت همچنین میتواند در زمینههایی مانند سیستمهای کنترل والدین، دسترسی به فضاهای نام داخلی در سیستمهای شرکتی، انتخاب مسیر در سیستمهای بهینهسازی ارائه محتوا، و پیروی از دستورات دادگاه در زمینه مبارزه با توزیع محتوای غیرقانونی و بهرهبرداری از خردسالان برای دور زدن چنین مشکلاتی، یک سیستم چک پیاده سازی و آزمایش شده است که به طور خودکار DoH را تحت شرایط خاصی غیرفعال می کند.
برای شناسایی حلکنندههای سازمانی، دامنههای سطح اول غیر معمول (TLD) بررسی میشوند و حلکننده سیستم آدرسهای اینترانت را برمیگرداند. برای تعیین اینکه آیا کنترلهای والدین فعال هستند، تلاش میشود تا نام exampleadultsite.com حل شود و اگر نتیجه با IP واقعی مطابقت نداشته باشد، در نظر گرفته میشود که مسدود کردن محتوای بزرگسالان در سطح DNS فعال است. آدرسهای IP Google و YouTube نیز بهعنوان نشانه بررسی میشوند تا ببینیم آیا با limited.youtube.com، forceafesearch.google.com و limitedmoderate.youtube.com جایگزین شدهاند یا خیر. این بررسیها به مهاجمانی که عملکرد حلکننده را کنترل میکنند یا میتوانند با ترافیک تداخل داشته باشند، این امکان را میدهد که چنین رفتاری را برای غیرفعال کردن رمزگذاری ترافیک DNS شبیهسازی کنند.
کار کردن از طریق یک سرویس DoH میتواند به طور بالقوه منجر به مشکلاتی در بهینهسازی ترافیک در شبکههای تحویل محتوا شود که ترافیک را با استفاده از DNS متعادل میکنند (سرور DNS شبکه CDN با در نظر گرفتن آدرس حلکننده پاسخی ایجاد میکند و نزدیکترین میزبان را برای دریافت محتوا فراهم میکند). ارسال یک پرس و جو DNS از نزدیکترین حل کننده به کاربر در چنین CDNهایی منجر به بازگرداندن آدرس نزدیکترین میزبان به کاربر می شود، اما ارسال یک جستجوی DNS از یک حل کننده متمرکز، آدرس میزبان نزدیکترین به سرور DNS-over-HTTPS را برمی گرداند. . آزمایش در عمل نشان داد که استفاده از DNS-over-HTTP در هنگام استفاده از CDN منجر به تقریباً هیچ تاخیری قبل از شروع انتقال محتوا شد (برای اتصالات سریع، تأخیر بیش از 10 میلی ثانیه نبود و حتی عملکرد سریعتری در کانالهای ارتباطی کند مشاهده شد. ). استفاده از پسوند EDNS Client Subnet نیز برای ارائه اطلاعات مکان کلاینت به حل کننده CDN در نظر گرفته شد.
منبع: opennet.ru