Firefox-kehittäjät
DoH:n aktivoinnin jälkeen käyttäjälle näytetään varoitus, jonka avulla hän voi halutessaan kieltäytyä ottamasta yhteyttä keskitettyihin DoH DNS-palvelimiin ja palata perinteiseen tapaan lähettää salaamattomat kyselyt palveluntarjoajan DNS-palvelimelle. DNS-selvittäjien hajautetun infrastruktuurin sijaan DoH käyttää sidontaa tiettyyn DoH-palveluun, jota voidaan pitää yhtenä vikakohtana. Tällä hetkellä työtä tarjotaan kahden DNS-palveluntarjoajan kautta - CloudFlare (oletus) ja
Vaihda palveluntarjoajaa tai poista DoH käytöstä
Muistetaan, että DoH voi olla hyödyllinen estämään pyydettyjä isäntänimiä koskevien tietojen vuotaminen palveluntarjoajien DNS-palvelimien kautta, torjumaan MITM-hyökkäyksiä ja DNS-liikenteen huijausta (esimerkiksi yhdistettäessä julkiseen Wi-Fi-verkkoon), estämään DNS-estoja. tasolla (DoH ei voi korvata VPN:ää DPI-tasolla toteutetun eston ohituksen alueella) tai työn järjestämiseen, jos DNS-palvelimiin ei pääse suoraan (esimerkiksi välityspalvelimen kautta). Jos normaalitilanteessa DNS-pyynnöt lähetetään suoraan järjestelmäkokoonpanossa määritellyille DNS-palvelimille, niin DoH:n tapauksessa isännän IP-osoitteen määrittäminen pyyntö kapseloidaan HTTPS-liikenteeseen ja lähetetään HTTP-palvelimelle, jossa ratkaisija käsittelee. pyyntöjä Web API:n kautta. Nykyinen DNSSEC-standardi käyttää salausta vain asiakkaan ja palvelimen todentamiseen, mutta ei suojaa liikennettä sieppaukselta eikä takaa pyyntöjen luottamuksellisuutta.
Valitse Firefoxissa tarjottavat DoH-palveluntarjoajat
DoH:ta tulee käyttää varoen. Esimerkiksi Venäjän federaatiossa IP-osoitteet 104.16.248.249 ja 104.16.249.249 liittyvät oletusarvoiseen DoH-palvelimeen mozilla.cloudflare-dns.com, joita tarjotaan Firefoxissa,
DoH voi myös aiheuttaa ongelmia sellaisilla aloilla kuin lapsilukkojärjestelmät, pääsy sisäisiin nimiavaruuksiin yritysjärjestelmissä, reitin valinta sisällön toimituksen optimointijärjestelmissä ja oikeuden määräysten noudattaminen laittoman sisällön levityksen ja hyväksikäytön torjunnassa. alaikäiset. Tällaisten ongelmien kiertämiseksi on otettu käyttöön ja testattu tarkistusjärjestelmä, joka poistaa DoH:n automaattisesti käytöstä tietyissä olosuhteissa.
Yrityksen ratkaisijoiden tunnistamiseksi epätyypilliset ensimmäisen tason toimialueet (TLD:t) tarkistetaan ja järjestelmäratkaisija palauttaa intranet-osoitteet. Sen määrittämiseksi, onko lapsilukko käytössä, yritetään selvittää nimi exampleadultsite.com, ja jos tulos ei vastaa todellista IP-osoitetta, aikuisille suunnatun sisällön eston katsotaan olevan aktiivinen DNS-tasolla. Googlen ja YouTuben IP-osoitteet tarkistetaan myös merkkinä, onko ne korvattu limit.youtube.com-, forcesafesearch.google.com- ja limitmoderate.youtube.com-osoitteilla. Näiden tarkistusten avulla hyökkääjät, jotka hallitsevat ratkaisejan toimintaa tai pystyvät häiritsemään liikennettä, voivat simuloida tällaista toimintaa ja poistaa DNS-liikenteen salauksen käytöstä.
Yhden DoH-palvelun kautta työskentely voi myös mahdollisesti johtaa ongelmiin liikenteen optimoinnissa sisällönjakeluverkoissa, jotka tasapainottavat liikennettä DNS:n avulla (CDN-verkon DNS-palvelin luo vastauksen ottaen huomioon ratkaisejan osoitteen ja tarjoaa lähimmän isännän sisällön vastaanottamiseen). DNS-kyselyn lähettäminen käyttäjää lähimmältä ratkaisijalta tällaisissa CDN-verkoissa johtaa käyttäjää lähinnä olevan isännän osoitteen palauttamiseen, mutta DNS-kyselyn lähettäminen keskitetystä ratkaisijasta palauttaa DNS-over-HTTPS-palvelinta lähinnä olevan isäntäosoitteen. . Käytännön testaus osoitti, että DNS-over-HTTP:n käyttö CDN:ää käytettäessä ei aiheuttanut käytännössä mitään viiveitä ennen sisällönsiirron alkamista (nopeilla yhteyksillä viiveet eivät ylittäneet 10 millisekuntia ja vielä nopeampaa suorituskykyä havaittiin hitailla viestintäkanavilla ). EDNS Client Subnet -laajennuksen käytön katsottiin myös tarjoavan asiakkaan sijaintitiedot CDN-ratkaisulle.
Lähde: opennet.ru