Devlopè Firefox
Apre aktive DoH, yon avètisman parèt bay itilizatè a, ki pèmèt, si li vle, refize kontakte serveurs DNS DoH santralize epi retounen nan konplo tradisyonèl la pou voye demann ki pa chifre nan sèvè DNS founisè a. Olye de yon enfrastrikti distribiye nan rezolve DNS, DoH sèvi ak yon obligatwa nan yon sèvis DoH espesifik, ki ka konsidere kòm yon sèl pwen echèk. Kounye a, travay yo ofri atravè de founisè DNS - CloudFlare (default) ak
Chanje founisè oswa enfim DoH
Se pou nou sonje ke DoH ka itil pou anpeche fwit enfòmasyon sou non lame yo mande yo atravè sèvè DNS founisè yo, konbat atak MITM ak DNS trafik spoofing (pa egzanp, lè w konekte ak Wi-Fi piblik), kontrekare bloke nan DNS la. nivo (DoH pa ka ranplase yon vpn nan zòn nan kontourne bloke aplike nan nivo DPI) oswa pou òganize travay si li enposib aksè dirèkteman nan sèvè DNS (pa egzanp, lè w ap travay atravè yon prokurasyon). Si nan yon sitiyasyon nòmal demann DNS yo dirèkteman voye nan sèvè dns defini nan konfigirasyon sistèm lan, Lè sa a, nan ka a nan DoH, demann lan pou detèmine adrès IP lame a enkapsule nan trafik HTTPS epi voye bay sèvè HTTP a, kote rezolisyon an ap travay. demann atravè API Web la. Estanda DNSSEC ki deja egziste a sèvi ak chifreman sèlman pou otantifye kliyan an ak sèvè, men li pa pwoteje trafik kont entèsepsyon epi li pa garanti konfidansyalite demann yo.
Pou chwazi founisè DoH yo ofri nan Firefox,
DoH ta dwe itilize ak prekosyon. Pou egzanp, nan Federasyon Larisi la, adrès IP 104.16.248.249 ak 104.16.249.249 ki asosye ak default DoH sèvè mozilla.cloudflare-dns.com yo ofri nan Firefox,
DoH ka lakòz pwoblèm tou nan domèn tankou sistèm kontwòl paran, aksè nan espas non entèn nan sistèm antrepriz, seleksyon wout nan sistèm optimize livrezon kontni, ak konfòmite ak lòd tribinal nan domèn konbat distribisyon kontni ilegal ak eksplwatasyon an. minè. Pou kontourne pwoblèm sa yo, yo te aplike ak teste yon sistèm chèk ki otomatikman enfim DoH nan sèten kondisyon.
Pou idantifye rezolisyon antrepriz yo, yo tcheke domèn premye nivo atipik (TLD) epi rezolisyon sistèm lan retounen adrès intranet yo. Pou detèmine si kontwòl paran yo aktive, yo fè yon tantativ pou rezoud non exampleadultsite.com epi si rezilta a pa matche ak IP aktyèl la, yo konsidere ke blokaj kontni adilt yo aktif nan nivo DNS. Adrès IP Google ak YouTube yo tcheke tou kòm siy pou wè si yo te ranplase pa restrict.youtube.com, forcesafesearch.google.com ak restrictmoderate.youtube.com. Chèk sa yo pèmèt atakè ki kontwole operasyon rezolisyon an oswa ki kapab entèfere ak trafik pou simulation konpòtman sa yo pou enfim cryptage nan trafik DNS.
Travay nan yon sèl sèvis DoH kapab tou potansyèlman mennen nan pwoblèm ak optimize trafik nan rezo livrezon kontni ki balanse trafik lè l sèvi avèk DNS (sèvè DNS rezo CDN a jenere yon repons pran an kont adrès rezolisyon an epi li bay lame ki pi pre a pou resevwa kontni an). Voye yon demann DNS soti nan rezolisyon ki pi pre itilizatè a nan CDN sa yo rezilta nan retounen adrès lame a ki pi pre itilizatè a, men voye yon demann DNS soti nan yon rezolisyon santralize pral retounen adrès lame ki pi pre sèvè DNS-over-HTTPS la. . Tès nan pratik te montre ke itilizasyon DNS-sou-HTTP lè w ap itilize yon CDN te mennen nan nòmalman pa gen okenn reta anvan kòmansman transfè kontni (pou koneksyon vit, reta pa t 'depase 10 milisgond, e menm pi vit pèfòmans yo te obsève sou chanèl kominikasyon dousman. ). Itilizasyon ekstansyon Subnet Kliyan EDNS la te konsidere tou pou bay enfòmasyon sou kote kliyan yo bay rezolisyon CDN la.
Sous: opennet.ru