ααΆαααααααα αΆαα·αααααααΆαααααΎααααΆαα DoH αα·α DoT
ααΆαααΆαααΆα DoH αα·α DoT
ααΎα’ααααααααααααα ααΆα ααα DNS ααααα’ααααα? ααααΆαααααΆααΆαα·αα·ααααααααααΆ ααααΆαα αα·αααΆααα·αααααααΉααααααααΆα αααΎααααα»αααΆαααΆααΆαααααΆααααααα½αααα ααααααΆαααΆααααα ααααααα½ααααααΆααΏαααα·αααα½αααΆαααΆαααα α·ααααα»αααΆαααααααααααΆααααΊ DNS α
αα·αααααΆαααΌαα
ααααα’ααα αΆαα·αααααα DNS ααΆαααααΊ
31% ααααααΆαα ransomware αααααΆααααααααα·ααΆαααααΎ DNS αααααΆααααΆαααααΆααααααΌααααααΉαα ααΆαααααΆαααααΆα
31% ααααααΆαα ransomware αααααΆααααααααα·ααΆαααααΎ DNS αααααΆααααΆαααααΆααααααΌαααα
αααα αΆααΊαααααααααα αααααΆααααααΈααα·αααααααααΆαααααΆα Palo Alto Networks Unit 42 αααα αα 85% αααααααααααΎααααΆαα DNS ααΎααααΈαααααΎααααααΆααααααΆ αα·αααααααααα αααα’αα»ααααΆαα±ααα’αααααΆααααα αΆααααα αΌαααααααααΆαααΆααααα½αα αΌααα αααα»ααααααΆαααααα’ααα ααααΌα ααΆαα½α αα·αααααααααααα α αΆααααΆααααΈααΆαα αΆααααααΎαααααααΆ α ααΆα α DNS αα·αααααΌαααΆαα’αα·αααααΈααααΆαααΌααααΌααΆα α αΎαα’αΆα ααααΌαααΆααα·ααΆααααΆαααΆααααα½ααααααααααΆααα»ααααα·ααΆα NGFW α
αα·ααΈααΆαααααΈαααααΆαα DNS ααΆαααα α‘αΎααααα»αααααααααααααΎαααΆααααααΆααααααΆααααααΆαα DNS α αα½αααααααΌαααΆαααΆαααααααΆαααααααααα’αααααααααααα·ααΈαα»αααααΆααα»ααα αα·αα’αααααααααααα·ααΈααααααααα α ααΆα ααα DNS αααααΆαα’αα·αααααΈαααΉαα αΆααααααΎαααΈαα ααααΎαααΆαααααααα αααα»ααααααΆαααΆααΈαααααα α ααΆα ααα DNS αααααΆαα’αα·αααααΈαααααα·αααααΌαααΆααα·ααΆα αα·ααααααααΆαα±ααααΆαααααΉαααααΌααααα§ααααα ααααα αΆαα·ααααα»ααααα·ααΆαααααααα»αα αα»αα α§ααΆα ααα ααΆαααααΆαααα ααααααααααΊ cryptolockers αααααααΎ DNS ααΎααααΈααααΆααααααΌαααα’αα·αααααΈαα α₯α‘αΌαααα α’αααααΆααααα αΆααααα»αααΆαααΆαααααααααααΆα αααΎαααΆααα»ααααΆα ααΎααααΈααααΆαααΆαα αΌαααααΎαα·ααααααααααα’αααα ααΆα§ααΆα ααα Garmin ααΆααααααααΆααα ααα½α 10 ααΆααα»ααααΆαα
αα ααααααααΆαααααααα ααΆααααααααααααΉαααααΌα NGFWs α’αΆα ααα·ααα α¬ααΆαααΆαααΆαααααΎααααΆαα DNS-over-TLS (DoT) αα·αα’αΆα ααααΌαααΆαααααΎααΎααααΈααα·αααααΆαααααΎααααΆαα DNS-over-HTTPS (DoH) αααα’αα»ααααΆαα±ααα ααΆα α DNS ααΆααα’αααα ααΎαααααΆαααααα’αααααααΌαααΆααα·ααΆαα
ααΎ DNS αααααΆαα’αα·αααααΈαααΊααΆα’αααΈ?
ααΎ DNS ααΆα’αααΈ
αααααααααααααααα (DNS) αααααααΆααααααααααααα’αΆα
α’αΆαααΆαααααααα»ααα (α§ααΆα ααα α’αΆαααααααΆα
αααα½α αα·αααΆαααααΎααα DNS ααααΌαααΆαααααΎααααααΆαααααααΆαααΆα’αααααααααααΆ αα·αααΆαα’αα·αααααΈα αααααααΎα±ααααΆααΆαααααααααααα»αααΆαααααΎα αΆααααα α¬ααααΆααααααΌαααΆαααααΎααα αα·αααΆααααααΌααααααααααα·ααΈαα»ααααα αααΆαααΈααααααααΆααααα·αα’αΆαααααα ααΆαα’αα·αααααΈα DNS ααααΎα±ααααΆαααΆααα·ααΆααααααΆααααααΎ DNS αααα»αααΆαααΆαααΆα α¬ααααΆααααααΌαααα‘α»αααααααααΌαα ααΆαα’αα·αααααΈαααααΎ αα·αααΆαααααΎααα DNS ααΆαααΆαα’αααααΈααΆαααΆααααα αΆα Man-in-the-Middle αααααααααααααΎαααΆααα»αααΆαααΌα ααααΆαα ααΉααα·ααΈααΆα DNS plaintext (Domain Name System) protocolα
ααα»ααααΆαααααΆαα α»ααααααααα αα·ααΈααΆαα’αα·αααααΈα DNS ααΈαααααΌαααΆαααααΆαα
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
αα·ααΈααΆαααΆαααααααΆαααΏααα½αααΌα ααααΆα αα½αααααΆααααααΎ DNS αααα ααααΆααΈααΆαααααΆααα αΆααααΆαα½α... αα·αααΈααααα·αα»αααααααααΆααααααααα αα·ααΈααΆαααααΎααααΆααααΆα αααα TLS (Transport Layer Security) ααΎααααΈαααααΎαααΆααααααΆαααααααΆαα’αα·αααααΈααααΆααααΆαααΈααααααααααααααΎααααα½α αα·ααααΆαααΈαααααααααααααΆααααα½α DNS ααΎα αααααααα·αααααΌαααΆαααααΎααΆααααααΆαααααΆααα ααΆα α DNS α
ααΆααααααΆαααααααα½α DNS ααΊααΆααΆαααΌααααααα·ααΈααΆαααΆαααααα αααααΆαααΆαααΆααααα αα½ααααααααααα αΆαααααααα·αα»ααααααααΌααααααα½ααα·αα·αααα ααΆα ααααααααΆα αα·αααααΎα αα·αααΆααΆααααΆααααααΆαααααααΆααααα·αα’αΆαααααα αααααΆααααα·ααΈααΆαααΆαααΆααα»αααααΆαααα»αααΆαα’αα»αααααααααα½ααα αα·ααΈααΆααααααα·ααΆαααΉααα»αααααΆαααΆα DoH αα·α DoT α
DNS ααΎ HTTPS (DoH)
DNS αα ααΆααααα»α HTTPS
DoH ααααΎα
αααααααααΈ 443 αααααΆαα HTTPS ααα RFC αααααΆαααααΆαααΆααααΆααααΆ α
ααααΆααΊααΎααααΈ "ααΆαα
ααΆα
α DoH ααΆαα½αα
ααΆα
ααα HTTPS αααααααααα
ααΎααΆααααααΆααααΌα
ααααΆ", "ααααΎα±ααααΆαααΆαααααΆααααα»αααΆααα·ααΆαα
ααΆα
α DNS" α αΎαααΌα
αααααααααΆαααΆααααααααααααΆααΈαααααα (
α αΆαα·ααααααααΆααααααΉα DoH
ααααα·αααΎα’ααααα·αα’αΆα αααα ααα ααΆα ααα HTTPS ααααααΆααΈααααΎ DoH ααΆααα ααααααααα·ααΈαα αααα»αααααΆαααααααα’αααα’αΆα (α αΎαααΉα) ααααααΆαααααα DNS αααα»ααααααααααααααΌαααααααααΎαα ααΆαααααΆαααΈαααααΆααΈααΈααΈαααααααΎαααααΉαααααΎ DoH αααααααααΆααααΆααααα½ααα·αα·αααααΆαα½α αααααΊααααααΆααααααααΆααααα»αααΆα αααααααααα ααΆα ααα DNS α ααΆαα§ααααααα· α’ααααα½αααααααααααα DoH αααααααΎαα»αααΆααα·ααααΈα HTTPSα
Π
ααΆααΆααΌαααΆαααΎαααΎα αα·αααΆααααααααααα ααΆα ααα DoH
ααΆαααααααααΆαααααα’αααα»ααααααΆααααΆαααααααααα DoH ααΎαααΌαααααΆαα±ααααααααα ααΆαααααααα NGFW ααΎααααΈαα·ααααΈαα ααΆα ααα HTTPS αα·αααΆααΆααα ααΆα ααα DoH (ααααααααααα·ααΈα dns-over-https)α
ααααΌα ααααΌαααααΆααααΆ NGFW ααααΌαααΆαααααααα
ααΆααααααααααΎααααΈαα·ααααΈα HTTPS αααααΆα
ααΈααΈα αααααΎαα αααΆαααααααΆααα ααΆα ααααααααα·ααΈ "dns-over-https" ααΌα αααα αΆαααΆααααααα
Palo Alto Networks α αααΆαα NGFW ααΎααααΈαααααααΆαα DNS-over-HTTPS
ααΆαααααΎαααααααα’αΆαααα (ααααα·αααΎααααΆαααααααα’ααααα·αααΆααααΆαα’αα»ααααααΆααα·ααααΈα HTTPS αααααααα) NGFW α’αΆα
ααααΌαααΆαααααααα
ααΆααααααααααΎααααΈα’αα»αααααααααααΆα "ααα·ααα" αα
ααΆααααααααααΆαααααααα·ααΈ "dns-over-https" ααα»ααααα₯αααα·ααααΉαααααΌαααΆααααααα
ααααααΆααααααααΆααα’ααααΌααα½αα
ααα½αα αααΆαααΈααα DoH αααααααααΆααααααααααααααααααα½ααα ααΌα
ααααααΎααααΆαααΆααα·ααααΈα HTTPS α
ααΆα
α DoH αα·αα’αΆα
ααααΌαααΆααααα½ααα·αα·ααααααααααα (ααΌαααΎα
DNS ααΎ TLS (DoT)
DNS αα ααΆααααα»α TLS
ααααααααααα·ααΈααΆα DoH ααΆαααααααα
ααΆαααΆαα½αααΉαα
ααΆα
ααααααααααα
ααΎα
αααααΌα
ααααΆ αααα½ααααα·α DoT αααααααααΆαααΎααααα»αααΆαααααΎααααΆααα
ααααα·ααααααααΆαααααα»ααα»ααααααΆααααααααααααα½ααααααα ααΌααααΈααααΆαα·ααααα·αα’αα»ααααΆαα±ααα
αααααΌα
ααααΆααΈααΆαααααΎααααΆαααααα
ααΆα
α DNS ααααα·αααΆαααΆαα’αα·αααααΈαααααααααααΈ (
αα·ααΈααΆα DoT ααααΎ TLS ααΎααααΈαααααααΌαααΆαα’αα·αααααΈααααααααααααΌααααα½ααααααααΆα DNS protocol ααΆαα½αααΉαα
ααΆα
ααααααααΎα
αααααααΈ 853 (
α αΆαα·ααααααααΆααααααΉα DoT
Google ααΆαα’αα»αααα DoT αα
αααα»αα’αα·αα·αααααααααα½αα
ααΆααΆααΆαααΎαααΎα αα·αααΆααααααααααα ααΆα ααα DoT
ααΆααΆαα’αα»ααααααα’αααα»ααααααΆααααΆαααααααααα DoT ααΎαααΌαααααΆαααΌαα ααα»α ααΆαα½αααΆαααΎ αααααα’ααααΎαααααΌαααΆαααααααααΆαααα’αααα
-
ααααααα ααΆαααααααα NGFW ααΎααααΈαα·ααααΈαα ααΆα αααααΆααα’αααααααΆααα αααααααα 853α ααΆααααααΆααα·ααααΈαα ααΆα ααα DoT ααΉααααα αΆαααΆαααααα·ααΈ DNS αααα’αααα’αΆα α’αα»αααααααααααΆαααΆαα½α ααΌα ααΆααΎαααΆαααΆαα
Palo Alto Networks DNS Security ααΎααααΈαααααααααααα DGA α¬ααααααααΆαααααΆααDNS Sinkholing αα·ααααααΆαα spyware α -
αααααΎααα½ααααααΊααααΌαααΆααααΆαααΈα App-ID αααααααΆααα ααΆα ααα 'dns-over-tls' ααΆαααααα»ααα ααΎα ααα 853α ααΆααααααΆααΆααααΌαααΆαααΆααΆααααΆαααααΆαααΎα ααααΆααααααααΆαααΆαα½αααααΌαααΆαααΆαααΆααα (αα»αααααΆααα’αααα’αα»ααααΆαααΆαα·ααααααααα·ααΈ α¬α ααα 'dns-over-tls' α ααΆα ααα α¨α₯α£) α
ααααα: www.habr.com