Бақылау
DNS провайдерлерінің ақ тізіміне кіреді
Әдепкі бойынша DoH бірте-бірте қосылған Firefox-та DoH енгізуден маңызды айырмашылық
Қажет болса, пайдаланушы «chrome://flags/#dns-over-https» параметрін пайдаланып DoH қосуы немесе өшіруі мүмкін. Үш жұмыс режиміне қолдау көрсетіледі: қауіпсіз, автоматты және өшірулі. «Қауіпсіз» режимде хосттар тек бұрын кэштелген қауіпсіз мәндер негізінде анықталады (қауіпсіз қосылым арқылы алынған) және DoH арқылы тұрақты DNS-ке қайтару қолданылмайды; «Автоматты» режимде DoH және қауіпсіз кэш қол жетімді болмаса, деректерді қауіпті кэштен шығарып алуға және дәстүрлі DNS арқылы қол жеткізуге болады. «Өшірулі» режимде алдымен ортақ кэш тексеріледі және деректер болмаса, сұрау DNS жүйесі арқылы жіберіледі. Режим арқылы орнатылады
DoH мүмкіндігін қосу эксперименті шешуші параметрлерін талдаудың тривиальды емес сипатына және жүйелік DNS параметрлеріне кіруді шектеуге байланысты Linux және iOS жүйесін қоспағанда, Chrome жүйесінде қолдау көрсетілетін барлық платформаларда орындалады. Егер DoH қосылғаннан кейін DoH серверіне сұрауларды жіберуде ақаулар туындаса (мысалы, оның бұғатталуына, желіге қосылуына немесе ақаулығына байланысты), шолғыш жүйенің DNS параметрлерін автоматты түрде қайтарады.
Эксперименттің мақсаты - DoH енгізуді түпкілікті тексеру және DoH пайдаланудың өнімділікке әсерін зерттеу. Айта кету керек, іс жүзінде DoH қолдауы болды
Еске салайық, DoH провайдерлердің DNS серверлері арқылы сұралған хост атаулары туралы ақпараттың ағып кетуіне жол бермеу, MITM шабуылдарымен және DNS трафигі спуфингімен күресу (мысалы, жалпыға ортақ Wi-Fi желісіне қосылу кезінде), DNS-те блоктауға қарсы тұру үшін пайдалы болуы мүмкін. деңгейі (DoH DPI деңгейінде жүзеге асырылатын бұғаттауды айналып өту аймағында VPN-ді алмастыра алмайды) немесе DNS серверлеріне тікелей қол жеткізу мүмкін болмаса, жұмысты ұйымдастыру үшін (мысалы, прокси арқылы жұмыс істегенде). Егер қалыпты жағдайда DNS сұраулары жүйе конфигурациясында анықталған DNS серверлеріне тікелей жіберілсе, DoH жағдайында хосттың IP мекенжайын анықтауға сұрау HTTPS трафигінде инкапсуляцияланады және шешуші өңдейтін HTTP серверіне жіберіледі. Web API арқылы сұраулар. Қолданыстағы DNSSEC стандарты тек клиент пен сервердің аутентификациясы үшін шифрлауды пайдаланады, бірақ трафикті ұстап қалудан қорғамайды және сұраулардың құпиялылығына кепілдік бермейді.
Ақпарат көзі: opennet.ru