Firefox fejlesztők
A DoH aktiválása után egy figyelmeztetés jelenik meg a felhasználó számára, amely lehetővé teszi, hogy megtagadja a központosított DoH DNS-kiszolgálókkal való kapcsolatfelvételt, és visszatérjen a hagyományos kódolatlan lekérdezések szolgáltató DNS-kiszolgálójára történő küldésének sémájához. A DNS-feloldók elosztott infrastruktúrája helyett a DoH egy adott DoH-szolgáltatáshoz való kötést használ, amely egyetlen hibapontnak tekinthető. Jelenleg a munkát két DNS-szolgáltató kínálja - a CloudFlare (alapértelmezett) és
Váltson szolgáltatót vagy tiltsa le a DoH-t
Emlékezzünk vissza, hogy a DoH hasznos lehet a kért gazdagépnevekkel kapcsolatos információk kiszivárogtatásának megakadályozására a szolgáltatók DNS-kiszolgálóin keresztül, a MITM-támadások és a DNS-forgalom meghamisítása elleni küzdelemben (például nyilvános Wi-Fi-hez való csatlakozáskor), a DNS-blokkolások elleni küzdelemben. szinten (a DoH nem helyettesítheti a VPN-t a DPI-szinten megvalósított blokkolás megkerülésének területén) vagy a munka megszervezéséhez, ha lehetetlen közvetlenül hozzáférni a DNS-kiszolgálókhoz (például proxy-n keresztül végzett munka során). Ha normál helyzetben a DNS kérések közvetlenül a rendszerkonfigurációban meghatározott DNS szerverekhez kerülnek, akkor DoH esetén a gazdagép IP-címének meghatározására irányuló kérés HTTPS forgalomba kerül, és elküldésre kerül a HTTP szerverre, ahol a feloldó feldolgozza. kéréseket a webes API-n keresztül. A meglévő DNSSEC szabvány csak a kliens és a szerver hitelesítésére használ titkosítást, de nem védi a forgalmat az elfogástól, és nem garantálja a kérések titkosságát.
A Firefoxban kínált DoH-szolgáltatók kiválasztásához
A DoH-t óvatosan kell használni. Például az Orosz Föderációban a 104.16.248.249 és 104.16.249.249 IP-címek a mozilla.cloudflare-dns.com alapértelmezett DoH-szerverhez vannak társítva a Firefoxban,
A DoH problémákat okozhat olyan területeken is, mint a szülői felügyeleti rendszerek, a belső névterekhez való hozzáférés a vállalati rendszerekben, az útvonalválasztás a tartalomszolgáltatás-optimalizáló rendszerekben, valamint a bírósági végzések betartása az illegális tartalom terjesztése és a kizsákmányolás elleni küzdelem terén. kiskorúak. Az ilyen problémák megkerülésére egy ellenőrző rendszert vezettek be és teszteltek, amely bizonyos feltételek mellett automatikusan letiltja a DoH-t.
A vállalati feloldók azonosításához a rendszer ellenőrzi az atipikus első szintű tartományokat (TLD), és a rendszerfeloldó intranet címeket ad vissza. Annak megállapításához, hogy a szülői felügyelet engedélyezve van-e, megkísérlik feloldani az exampleadultsite.com nevet, és ha az eredmény nem egyezik a tényleges IP-címmel, a rendszer úgy tekinti, hogy a felnőtt tartalom blokkolása aktív DNS-szinten. A Google és a YouTube IP-címeit is ellenőrzik, hogy megbizonyosodjanak arról, hogy lecserélték-e őket a korlátoz.youtube.com, a forcesafesearch.google.com és a limitedmoderate.youtube.com címekre. Ezek az ellenőrzések lehetővé teszik a feloldó működését irányító vagy a forgalmat megzavarni képes támadók számára, hogy szimulálják az ilyen viselkedést, és letiltsák a DNS-forgalom titkosítását.
Egyetlen DoH-szolgáltatáson keresztüli munka is problémákhoz vezethet a forgalomoptimalizálás során azokban a tartalomszolgáltató hálózatokban, amelyek a forgalmat DNS-sel kiegyenlítik (a CDN-hálózat DNS-kiszolgálója a feloldó címének figyelembevételével generál választ, és a legközelebbi gazdagépet biztosítja a tartalom fogadásához). Ha DNS-lekérdezést küldünk a felhasználóhoz legközelebbi feloldóról az ilyen CDN-ekben, akkor a felhasználóhoz legközelebb eső gazdagép címét adjuk vissza, de ha egy központi feloldóból küldünk DNS-lekérdezést, az a DNS-over-HTTPS-kiszolgálóhoz legközelebbi gazdagép címét adja vissza. . A gyakorlati tesztelés azt mutatta, hogy a DNS-over-HTTP használata CDN használatakor gyakorlatilag nem okozott késéseket a tartalomátvitel megkezdése előtt (gyors kapcsolatoknál a késések nem haladták meg a 10 ezredmásodpercet, és a lassú kommunikációs csatornákon még gyorsabb teljesítmény volt megfigyelhető ). Az EDNS Client Subnet-bővítmény használatát úgy tekintették, hogy az ügyfél helyére vonatkozó információkat biztosítson a CDN-feloldó számára.
Forrás: opennet.ru