ProHoster > Блог > Nchịkwa > Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)Ibelata ihe egwu dị n'iji DoH na DoT

Nchedo DoH na DoT

Ị na-ejikwa okporo ụzọ DNS gị? Ndị otu na-etinye nnukwu oge, ego na mbọ iji chekwaa netwọkụ ha. Agbanyeghị, otu mpaghara na-anaghị enweta nlebara anya zuru oke bụ DNS.

Ntụle dị mma nke ihe egwu dị na DNS na-eweta bụ Ngosipụta pụtara ìhè na Infosecurity ogbako.

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)31% nke klaasị ransomware nyochara ji DNS maka mgbanwe isi. Nchọpụta ọmụmụ

31% nke klaasị ransomware nyochara ejiri DNS maka mgbanwe igodo.

Nsogbu dị njọ. Dabere na ụlọ nyocha Palo Alto Networks Unit 42, ihe dịka 85% nke malware na-eji DNS guzobe ọwa iwu na njikwa, na-enye ndị na-awakpo ohere itinye malware n'ime netwọkụ gị yana izu ohi data. Kemgbe mmalite ya, okporo ụzọ DNS adịchaghị ezoro ezo ma enwere ike nyochaa ya ngwa ngwa site na usoro nchekwa NGFW. 

Usoro ọhụrụ maka DNS apụtala ndị chọrọ ịbawanye nzuzo nke njikọ DNS. Ndị na-ere ihe nchọgharị na ndị na-ere ngwanro ndị ọzọ na-akwado ha nke ọma. okporo ụzọ DNS ezoro ezo ga-amalite n'oge na-adịghị anya na netwọk ụlọ ọrụ. Okporo ụzọ DNS ezoro ezo nke enyochaghị nke ọma ma dozie ya site na ngwaọrụ na-etinye ihe ize ndụ nchekwa nye ụlọ ọrụ. Dịka ọmụmaatụ, ihe iyi egwu dị otú ahụ bụ cryptolockers na-eji DNS gbanwere igodo nzuzo. Ndị mwakpo na-achọ ihe mgbapụta ọtụtụ nde dollar ugbu a iji weghachi ohere ịnweta data gị. Dịka ọmụmaatụ, Garmin kwụrụ $10 nde.

Mgbe ahaziri nke ọma, NGFW nwere ike ịgọnarị ma ọ bụ chebe iji DNS-over-TLS (DoT) ma nwee ike iji ya jụ iji DNS-over-HTTPS (DoH), na-enye ohere ka nyochaa okporo ụzọ DNS niile na netwọk gị.

Kedu ihe bụ DNS ezoro ezo?

Gịnị bụ DNS

Sistemụ Aha ngalaba (DNS) na-edozi aha ngalaba mmadụ nwere ike ịgụ (dịka ọmụmaatụ, adreesị www.paloaltonetworks.com ) gaa na adreesị IP (dịka ọmụmaatụ, 34.107.151.202). Mgbe onye ọrụ na-abanye aha ngalaba n'ime ihe nchọgharị weebụ, ihe nchọgharị ahụ na-eziga ajụjụ DNS na sava DNS, na-arịọ maka adreesị IP jikọtara na aha ngalaba ahụ. Na nzaghachi, sava DNS weghachi adreesị IP nke ihe nchọgharị a ga-eji.

A na-eziga ajụjụ na nzaghachi DNS n'ofe netwọk ahụ na ederede doro anya, ezoro ezoghị, na-eme ka ọ ghara ịdị mfe nyocha ma ọ bụ gbanwee nzaghachi na ibugharị ihe nchọgharị ahụ na sava ọjọọ. DNS ezoro ezo na-eme ka o sie ike ka esoro ma ọ bụ gbanwee arịrịọ DNS n'oge nnyefe. Izochi arịrịọ na nzaghachi DNS na-echebe gị pụọ na mwakpo Man-in-the-Middle ka ị na-arụ otu ọrụ dị ka ụkpụrụ DNS ederede (Sistemụ Aha Aha) omenala. 

N'ime afọ ole na ole gara aga, ewebatala usoro nzuzo nzuzo DNS abụọ:

  1. DNS-over-HTTPS (DoH)

  2. DNS-over-TLS (DoT)

Usoro ndị a nwere otu ihe jikọrọ: ha na-ama ụma zoo arịrịọ DNS site na nkwụsịtụ ọ bụla ... yana site na ndị nche nchebe nke nzukọ ahụ. Usoro ndị a na-ejikarị TLS (Nchekwa Nchekwa Ụgbọ njem) iji guzobe njikọ ezoro ezo n'etiti onye ahịa na-ajụ ajụjụ yana ihe nkesa na-edozi ajụjụ DNS n'elu ọdụ ụgbọ mmiri nke a na-ejikarị eme ihe maka okporo ụzọ DNS.

Nzuzo nke ajụjụ DNS bụ nnukwu gbakwunyere na protocol ndị a. Otú ọ dị, ha na-ebute nsogbu maka ndị na-eche nche bụ ndị ga-enyocha okporo ụzọ netwọk ma chọpụta ma gbochie njikọ ọjọọ. N'ihi na protocol dị iche na mmejuputa ha, ụzọ nyocha ga-adị iche n'etiti DoH na DoT.

DNS karịrị HTTPS (DoH)

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)DNS n'ime HTTPS

DoH na-eji ọdụ ụgbọ mmiri 443 a ma ama maka HTTPS, nke RFC na-ekwu kpọmkwem na ebumnuche bụ "ịgwakọta okporo ụzọ DoH na okporo ụzọ HTTPS ndị ọzọ n'otu njikọ ahụ", "mee ka o sie ike nyochaa okporo ụzọ DNS" wee si otú ahụ gbanahụ njikwa ụlọ ọrụ. ( RFC 8484 DoH Nkebi 8.1 ). Usoro DoH na-eji izo ya ezo TLS na syntax arịrịọ nke HTTPS na ụkpụrụ HTTP/2 na-enye, na-agbakwunye arịrịọ DNS na nzaghachi n'elu arịrịọ HTTP ọkọlọtọ.

Ihe ize ndụ ndị metụtara DoH

Ọ bụrụ na ịnweghị ike ịmata ọdịiche nke okporo ụzọ HTTPS mgbe niile na arịrịọ DoH, ngwa ndị dị na nzukọ gị nwere ike (ma ga-) gafere ntọala DNS mpaghara site na ibugharị arịrịọ na sava ndị ọzọ na-aza arịrịọ DoH, nke na-agafe nlekota ọ bụla, ya bụ, na-emebi ikike jikwaa okporo ụzọ DNS. Dị ka o kwesịrị, ị ga-ejikwa DoH site na iji ọrụ decryption HTTPS. 

И Google na Mozilla emejuputala ikike DoH na ụdị ihe nchọgharị ha kachasị ọhụrụ, ụlọ ọrụ abụọ a na-arụkwa ọrụ iji DoH na ndabara maka arịrịọ DNS niile. Microsoft na-emepụtakwa atụmatụ na itinye DoH n'ime sistemụ arụmọrụ ha. Ihe dị njọ bụ na ọ bụghị naanị ụlọ ọrụ ngwanrọ a ma ama, kamakwa ndị na-awakpo amalitela iji DoH dị ka ụzọ isi na-agafe usoro firewall ụlọ ọrụ omenala. (Dịka ọmụmaatụ, nyochaa akụkọ ndị a: PsiXBot na-eji Google DoH ugbu a , PsiXBot na-aga n'ihu na-eji akụrụngwa DNS emelitere и Godlua backdoor analysis .) N'ọnọdụ ọ bụla, okporo ụzọ DoH dị mma na nke ọjọọ agaghị achọpụta, na-ahapụ nzukọ ahụ ka ọ kpuo ìsì iji DoH eme ihe dị ka ụzọ iji chịkwaa malware (C2) ma zuo ohi data dị nro.

Na-agba mbọ hụ na ọhụhụ na njikwa okporo ụzọ DoH

Dị ka ihe ngwọta kachasị mma maka njikwa DoH, anyị na-akwado ịhazi NGFW iji mebie okporo ụzọ HTTPS ma gbochie okporo ụzọ DoH (aha ngwa: dns-over-https). 

Nke mbụ, jide n'aka na ahaziri NGFW iji mebie HTTPS, dị ka ntuziaka maka kacha mma decryption usoro.

Nke abụọ, mepụta iwu maka okporo ụzọ ngwa "dns-over-https" dị ka egosiri n'okpuru:

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)Palo Alto Networks iwu NGFW iji gbochie DNS-over-HTTPS

Dị ka nwa oge ọzọ (ọ bụrụ na nzukọ gị emebeghị nke ọma HTTPS decryption), enwere ike ịhazi NGFW ka ọ tinye ihe omume "dns-over-https" na ID ngwa "dns-over-https", mana nsonaazụ ya ga-ejedebe na igbochi ụfọdụ nke ọma- Sava DoH mara amara site na aha ngalaba ha, yabụ kedu na enweghị mwepu HTTPS, enweghị ike inyocha okporo ụzọ DoH (lee.  Applipedia sitere na netwọkụ Palo Alto   wee chọọ "dns-over-https").

DNS karịrị TLS (DoT)

Ibelata ihe egwu dị na iji DNS-over-TLS (DoT) na DNS-over-HTTPS (DoH)DNS n'ime TLS

Ọ bụ ezie na protocol DoH na-achọ ịgwakọta na okporo ụzọ ndị ọzọ n'otu ọdụ ụgbọ mmiri ahụ, DoT na-eme ka ọ ghara iji ọdụ ụgbọ mmiri pụrụ iche echekwabara maka naanị nzube ahụ, ọbụlagodi na-ahapụ otu ọdụ ụgbọ mmiri ka ọ ghara iji okporo ụzọ DNS ezoro ezo. RFC 7858, Nkebi 3.1 ).

Usoro DoT na-eji TLS nye ezoro ezo nke na-ekpuchi ajụjụ protocol DNS ọkọlọtọ, yana okporo ụzọ na-eji ọdụ ụgbọ mmiri 853 ama ama ( RFC 7858 ngalaba 6 ). Emebere ụkpụrụ DoT iji mee ka ọ dịrị ndị otu dị mfe igbochi okporo ụzọ n'ọdụ ụgbọ mmiri, ma ọ bụ nabata okporo ụzọ mana mee ka nkwụsịtụ n'ọdụ ụgbọ mmiri ahụ.

Ihe ize ndụ ndị metụtara DoT

Google emejuputala DoT n'ime onye ahịa ya Android 9 Pie na mgbe e mesịrị , na ndabara ntọala iji DoT na-akpaghị aka ma ọ bụrụ na ọ dị. Ọ bụrụ n’ịtụlela ihe egwu dị na ya ma dị njikere iji DoT na ọkwa nhazi, yabụ ịkwesịrị ịnwe ndị na-ahụ maka netwọkụ kwenye n'ụzọ doro anya okporo ụzọ ọpụpụ na ọdụ ụgbọ mmiri 853 site na mpaghara ha maka usoro ọhụrụ a.

Na-agba mbọ hụ na ọhụhụ na njikwa okporo ụzọ DoT

Dịka omume kachasị mma maka njikwa DoT, anyị na-akwado nke ọ bụla n'ime ihe ndị a dị n'elu, dabere na ihe nzukọ gị chọrọ:

  • Hazie NGFW ka ibelata okporo ụzọ niile maka ọdụ ụgbọ mmiri 853. Site na ibelata okporo ụzọ, DoT ga-apụta dị ka ngwa DNS nke ị nwere ike itinye ihe ọ bụla, dị ka mee ka ndenye aha. Palo Alto netwọk DNS Nchekwa iji jikwaa ngalaba DGA ma ọ bụ nke dị adị Nchịkọta DNS na mgbochi spyware.

  • Nhọrọ ọzọ bụ ịnweta ngwa ngwa-ID kpamkpam na-egbochi okporo ụzọ 'dns-over-tls' na ọdụ ụgbọ mmiri 853. A na-egbochikarị nke a site na ndabara, ọ dịghị ihe achọrọ (ọ gwụla ma ị kwadoro ngwa 'dns-over-tls' ma ọ bụ okporo ụzọ ọdụ ụgbọ mmiri. 853).

isi: www.habr.com

Tinye a comment