Firefox ծրագրավորողներ
DoH-ն ակտիվացնելուց հետո օգտվողին ցուցադրվում է նախազգուշացում, որը, ցանկության դեպքում, թույլ է տալիս հրաժարվել կենտրոնացված DoH DNS սերվերների հետ կապվելուց և վերադառնալ մատակարարի DNS սերվերին չգաղտնագրված հարցումներ ուղարկելու ավանդական սխեմային: DNS լուծիչների բաշխված ենթակառուցվածքի փոխարեն, DoH-ն օգտագործում է կապ որոշակի DoH ծառայության համար, որը կարելի է համարել ձախողման մեկ կետ: Ներկայումս աշխատանքն առաջարկվում է երկու DNS պրովայդերների միջոցով՝ CloudFlare (կանխադրված) և
Փոխեք մատակարարին կամ անջատեք DoH-ը
Հիշենք, որ DoH-ը կարող է օգտակար լինել պրովայդերների DNS սերվերների միջոցով պահանջվող հոսթների անունների մասին տեղեկատվության արտահոսքը կանխելու, MITM հարձակումների և DNS տրաֆիկի կեղծման դեմ (օրինակ՝ հանրային Wi-Fi-ին միանալիս), DNS-ում արգելափակմանը հակազդելու համար։ մակարդակը (DoH-ը չի կարող փոխարինել VPN-ին DPI մակարդակում իրականացվող արգելափակումը շրջանցելու տարածքում) կամ աշխատանքի կազմակերպման համար, եթե անհնար է ուղղակիորեն մուտք գործել DNS սերվերներ (օրինակ, վստահված անձի միջոցով աշխատելիս): Եթե նորմալ իրավիճակում DNS հարցումներն ուղղակիորեն ուղարկվում են համակարգի կազմաձևում սահմանված DNS սերվերներին, ապա DoH-ի դեպքում հյուրընկալողի IP հասցեն որոշելու հարցումը կցվում է HTTPS տրաֆիկի մեջ և ուղարկվում է HTTP սերվեր, որտեղ լուծիչը մշակում է: հարցումներ վեբ API-ի միջոցով: Գոյություն ունեցող DNSSEC ստանդարտը օգտագործում է կոդավորումը միայն հաճախորդի և սերվերի նույնականացման համար, սակայն չի պաշտպանում երթևեկությունը գաղտնալսումից և չի երաշխավորում հարցումների գաղտնիությունը:
Firefox-ում առաջարկվող DoH մատակարարներին ընտրելու համար,
DoH-ը պետք է օգտագործվի զգուշությամբ: Օրինակ՝ Ռուսաստանի Դաշնությունում 104.16.248.249 և 104.16.249.249 IP հասցեները կապված են Firefox-ում առաջարկվող mozilla.cloudflare-dns.com լռելյայն DoH սերվերի հետ,
DoH-ը կարող է նաև խնդիրներ առաջացնել այնպիսի ոլորտներում, ինչպիսիք են ծնողական հսկողության համակարգերը, կորպորատիվ համակարգերի ներքին անվանատարածքների հասանելիությունը, բովանդակության առաքման օպտիմալացման համակարգերում երթուղու ընտրությունը և դատական կարգադրություններին համապատասխանելը ապօրինի բովանդակության տարածման և շահագործման դեմ պայքարի ոլորտում: անչափահասներ. Նման խնդիրները շրջանցելու համար ներդրվել և փորձարկվել է ստուգման համակարգ, որը որոշակի պայմաններում ավտոմատ կերպով անջատում է DoH-ը:
Ձեռնարկությունների լուծիչները հայտնաբերելու համար ստուգվում են առաջին մակարդակի ատիպիկ տիրույթները (TLD), և համակարգի լուծիչը վերադարձնում է ներցանցային հասցեները: Որոշելու համար, թե արդյոք ծնողական վերահսկողությունը միացված է, փորձ է արվում լուծել exampleadultsite.com անունը, և եթե արդյունքը չի համապատասխանում իրական IP-ին, ապա համարվում է, որ մեծահասակների համար նախատեսված բովանդակության արգելափակումն ակտիվ է DNS մակարդակում: Google-ի և YouTube-ի IP հասցեները նույնպես ստուգվում են որպես նշաններ՝ տեսնելու, թե արդյոք դրանք փոխարինվել են limited.youtube.com, forceafesearch.google.com և limitedmoderate.youtube.com-ով: Այս ստուգումները թույլ են տալիս հարձակվողներին, ովքեր վերահսկում են լուծիչի աշխատանքը կամ ունակ են խանգարել երթևեկությանը, նմանակել նման վարքագիծը՝ անջատելու DNS տրաֆիկի կոդավորումը:
DoH մեկ ծառայության միջոցով աշխատելը կարող է նաև հանգեցնել բովանդակության առաքման ցանցերում տրաֆիկի օպտիմալացման հետ կապված խնդիրների, որոնք հավասարակշռում են երթևեկությունը DNS-ի միջոցով (CDN ցանցի DNS սերվերը առաջացնում է պատասխան՝ հաշվի առնելով լուծիչի հասցեն և տրամադրում է ամենամոտ հոսթին բովանդակությունը ստանալու համար): Նման CDN-ներում օգտագործողին ամենամոտ լուծիչից DNS հարցում ուղարկելը հանգեցնում է օգտատիրոջն ամենամոտ գտնվող հոսթի հասցեն, սակայն կենտրոնացված լուծիչից DNS հարցում ուղարկելը կվերադարձնի հոսթի հասցեն ամենամոտ DNS-over-HTTPS սերվերին: . Գործնականում թեստավորումը ցույց է տվել, որ CDN-ի օգտագործման ժամանակ DNS-over-HTTP-ի օգտագործումը գործնականում չի հանգեցրել բովանդակության փոխանցման մեկնարկի հետաձգման (արագ կապերի դեպքում ուշացումները չեն գերազանցել 10 միլիվայրկյանները, և նույնիսկ ավելի արագ կատարում է նկատվել դանդաղ կապի ուղիներում: ) Դիտարկվել է նաև EDNS Client Subnet ընդլայնման օգտագործումը` CDN լուծիչին հաճախորդի գտնվելու վայրի մասին տեղեկատվություն տրամադրելու համար:
Source: opennet.ru