ទិដ្ឋភាពផ្សេងៗនៃប្រតិបត្តិការ DNS ត្រូវបានអ្នកនិពន្ធប៉ះម្តងហើយម្តងទៀតនៅក្នុងចំនួននៃ អត្ថបទ បោះពុម្ពជាផ្នែកនៃប្លក់។ ទន្ទឹមនឹងនេះដែរ ការសង្កត់ធ្ងន់ចម្បងគឺតែងតែមានការបង្កើនសុវត្ថិភាពនៃសេវាអ៊ីនធឺណិតដ៏សំខាន់នេះ។

រហូតមកដល់ពេលថ្មីៗនេះ ទោះបីជាភាពងាយរងគ្រោះជាក់ស្តែងនៃចរាចរណ៍ DNS ដែលភាគច្រើននៅតែត្រូវបានបញ្ជូនយ៉ាងច្បាស់លាស់ទៅនឹងសកម្មភាពព្យាបាទលើផ្នែកនៃអ្នកផ្តល់សេវាដែលស្វែងរកការបង្កើនប្រាក់ចំណូលរបស់ពួកគេដោយការបង្កប់ការផ្សាយពាណិជ្ជកម្មនៅក្នុងខ្លឹមសារ ភ្នាក់ងារសន្តិសុខរដ្ឋាភិបាល និងការចាប់ពិរុទ្ធ។ ក៏ដូចជាឧក្រិដ្ឋជនសាមញ្ញ ដំណើរការ ការពង្រឹងការការពាររបស់វា។ទោះបីជាមានវត្តមានបច្ចេកវិទ្យាផ្សេងៗដូចជា DNSSEC/DANE, DNScrypt, DNS-over-TLS និង DNS-over-HTTPS ត្រូវបានជាប់គាំងក៏ដោយ។ ហើយប្រសិនបើដំណោះស្រាយរបស់ម៉ាស៊ីនមេ និងមួយចំនួននៃពួកវាមានតាំងពីយូរយារណាស់មកហើយ ត្រូវបានគេស្គាល់យ៉ាងទូលំទូលាយ និងអាចរកបាន ការគាំទ្ររបស់ពួកគេពីកម្មវិធីអតិថិជនទុកជាច្រើនដែលចង់បាន។

ជាសំណាងល្អស្ថានភាពកំពុងផ្លាស់ប្តូរ។ ជាពិសេសអ្នកបង្កើតកម្មវិធីរុករក Firefox ដ៏ពេញនិយម បានបញ្ជាក់ អំពីផែនការដើម្បីបើករបៀបគាំទ្រតាមលំនាំដើម DNS-over-HTTPS ។ (DoH) ឆាប់ៗនេះ។ នេះគួរតែជួយការពារចរាចរ DNS របស់អ្នកប្រើ WWW ពីការគំរាមកំហែងខាងលើ ប៉ុន្តែអាចណែនាំព័ត៌មានថ្មីៗបាន។

1. បញ្ហា DNS-over-HTTPS

នៅ glance ដំបូង ការចាប់ផ្តើមដ៏ធំនៃ DNS-over-HTTPS ទៅក្នុងកម្មវិធីអ៊ីនធឺណិតបណ្តាលឱ្យមានប្រតិកម្មវិជ្ជមានប៉ុណ្ណោះ។ ទោះជាយ៉ាងណាក៏ដោយអារក្សដូចដែលពួកគេនិយាយគឺស្ថិតនៅក្នុងព័ត៌មានលម្អិត។

បញ្ហាដំបូងដែលកំណត់វិសាលភាពនៃការប្រើប្រាស់យ៉ាងទូលំទូលាយរបស់ DoH គឺការផ្តោតតែលើចរាចរណ៍គេហទំព័រប៉ុណ្ណោះ។ ជាការពិតណាស់ ពិធីការ HTTP និងកំណែបច្ចុប្បន្នរបស់វា HTTP/2 ដែល DoH មានមូលដ្ឋាន គឺជាមូលដ្ឋាននៃ WWW ។ ប៉ុន្តែ​អ៊ីនធឺណិត​មិន​មែន​ត្រឹម​តែ​បណ្ដាញ​ទេ។ មានសេវាកម្មពេញនិយមជាច្រើនដូចជា អ៊ីមែល សារបន្ទាន់ផ្សេងៗ ប្រព័ន្ធផ្ទេរឯកសារ ស្ទ្រីមពហុមេឌៀ ជាដើម ដែលមិនប្រើ HTTP។ ដូច្នេះ ទោះបីជាមានការយល់ឃើញដោយ DoH ជាច្រើនថាជា panacea ក៏ដោយ វាប្រែថាមិនអាចអនុវត្តបានដោយមិនមានកិច្ចខិតខំប្រឹងប្រែងបន្ថែម (និងមិនចាំបាច់) សម្រាប់អ្វីផ្សេងទៀតក្រៅពីបច្ចេកវិទ្យាកម្មវិធីរុករក។ និយាយអីញ្ចឹង DNS-over-TLS មើលទៅដូចជាបេក្ខជនដែលសក្ដិសមជាងសម្រាប់តួនាទីនេះ ដែលអនុវត្តការបិទបាំងនៃចរាចរណ៍ DNS ស្តង់ដារនៅក្នុងពិធីការ TLS ស្តង់ដារសុវត្ថិភាព។

បញ្ហាទី 2 ដែលមានសក្ដានុពលខ្លាំងជាងបញ្ហាទីមួយគឺការបោះបង់ចោលពិតប្រាកដនៃវិមជ្ឈការនៃ DNS ដោយការរចនាក្នុងការពេញចិត្តនៃការប្រើប្រាស់ម៉ាស៊ីនមេ DoH តែមួយដែលបានបញ្ជាក់នៅក្នុងការកំណត់កម្មវិធីរុករក។ ជាពិសេស Mozilla ស្នើឱ្យប្រើសេវាកម្មពី Cloudflare ។ សេវាកម្មស្រដៀងគ្នានេះក៏ត្រូវបានដាក់ឱ្យដំណើរការដោយឥស្សរជនអ៊ីនធឺណិតដ៏លេចធ្លោផ្សេងទៀតផងដែរ ជាពិសេស Google ។ វាប្រែថាការអនុវត្ត DNS-over-HTTPS នៅក្នុងទម្រង់ដែលវាត្រូវបានស្នើឡើងនាពេលបច្ចុប្បន្ននេះគ្រាន់តែបង្កើនការពឹងផ្អែករបស់អ្នកប្រើប្រាស់ចុងក្រោយលើសេវាកម្មធំបំផុតប៉ុណ្ណោះ។ វាមិនមែនជាអាថ៌កំបាំងទេដែលព័ត៌មានដែលការវិភាគនៃសំណួរ DNS អាចផ្តល់អាចប្រមូលទិន្នន័យកាន់តែច្រើនអំពីវា ក៏ដូចជាបង្កើនភាពត្រឹមត្រូវនិងភាពពាក់ព័ន្ធរបស់វា។

ក្នុងន័យនេះ អ្នកនិពន្ធនៅតែជាអ្នកគាំទ្រការអនុវត្តដ៏ធំមិនមែន DNS-over-HTTPS ទេ ប៉ុន្តែ DNS-over-TLS រួមជាមួយនឹង DNSSEC/DANE ជាសកល សុវត្ថិភាព និងមិនអំណោយផលដល់ការធ្វើមជ្ឈិមបន្ថែមទៀតនៃអ៊ីនធឺណិតមានន័យថា សម្រាប់ធានាសុវត្ថិភាពនៃចរាចរ DNS ។ ជាអកុសល សម្រាប់ហេតុផលជាក់ស្តែង មនុស្សម្នាក់មិនអាចរំពឹងថានឹងមានការណែនាំយ៉ាងឆាប់រហ័សនៃការគាំទ្រដ៏ធំសម្រាប់ជម្រើស DoH ទៅក្នុងកម្មវិធីអតិថិជន ហើយវានៅតែជាដែននៃអ្នកចូលចិត្តបច្ចេកវិទ្យាសុវត្ថិភាព។

ប៉ុន្តែចាប់តាំងពីពេលនេះយើងមាន DoH ហេតុអ្វីបានជាមិនប្រើវាបន្ទាប់ពីគេចចេញពីការឃ្លាំមើលសក្តានុពលដោយសាជីវកម្មតាមរយៈម៉ាស៊ីនមេរបស់ពួកគេទៅកាន់ម៉ាស៊ីនមេ DNS-over-HTTPS ផ្ទាល់ខ្លួនរបស់យើង?

2. ពិធីការ DNS-over-HTTPS

ប្រសិនបើអ្នកក្រឡេកមើលស្តង់ដារ RFC8484 ដោយពណ៌នាអំពីពិធីការ DNS-over-HTTPS អ្នកអាចមើលឃើញថាតាមពិតវាគឺជា web API ដែលអនុញ្ញាតឱ្យអ្នកបញ្ចូលកញ្ចប់ DNS ស្តង់ដារនៅក្នុងពិធីការ HTTP/2 ។ វាត្រូវបានអនុវត្តតាមរយៈបឋមកថា HTTP ពិសេស ក៏ដូចជាការបំប្លែងទ្រង់ទ្រាយគោលពីរនៃទិន្នន័យ DNS ដែលបានបញ្ជូន (សូមមើល។ RFC1035 និងឯកសារជាបន្តបន្ទាប់) ទៅក្នុងទម្រង់ដែលអនុញ្ញាតឱ្យអ្នកបញ្ជូន និងទទួលពួកវា ក៏ដូចជាធ្វើការជាមួយទិន្នន័យមេតាចាំបាច់។

យោងតាមស្ដង់ដារ មានតែ HTTP/2 និងការតភ្ជាប់ TLS សុវត្ថិភាពប៉ុណ្ណោះដែលត្រូវបានគាំទ្រ។

ការផ្ញើសំណើ DNS អាចត្រូវបានធ្វើដោយប្រើវិធីសាស្ត្រ GET និង POST ស្តង់ដារ។ ក្នុងករណីទីមួយ សំណើត្រូវបានបំប្លែងទៅជាខ្សែអក្សរដែលបានអ៊ិនកូដ base64URL ហើយនៅក្នុងទីពីរ តាមរយៈតួនៃសំណើ POST ក្នុងទម្រង់គោលពីរ។ ក្នុងករណីនេះ ប្រភេទទិន្នន័យ MIME ពិសេសត្រូវបានប្រើក្នុងអំឡុងពេលសំណើ DNS និងការឆ្លើយតប កម្មវិធី/dns-message.

root@eprove:~ # curl -H 'accept: application/dns-message' 'https://my.domaint/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE' -v
*   Trying 2001:100:200:300::400:443...
* TCP_NODELAY set
* Connected to eprove.net (2001:100:200:300::400) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /usr/local/share/certs/ca-root-nss.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (IN), TLS handshake, CERT verify (15):
* TLSv1.3 (IN), TLS handshake, Finished (20):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Finished (20):
* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN, server accepted to use h2
* Server certificate:
*  subject: CN=my.domain
*  start date: Jul 22 00:07:13 2019 GMT
*  expire date: Oct 20 00:07:13 2019 GMT
*  subjectAltName: host "my.domain" matched cert's "my.domain"
*  issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
*  SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x801441000)
> GET /dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE HTTP/2
> Host: eprove.net
> User-Agent: curl/7.65.3
> accept: application/dns-message
>
* TLSv1.3 (IN), TLS handshake, Newsession Ticket (4):
* Connection state changed (MAX_CONCURRENT_STREAMS == 100)!
< HTTP/2 200
< server: h2o/2.3.0-beta2
< content-type: application/dns-message
< cache-control: max-age=86274
< date: Thu, 12 Sep 2019 13:07:25 GMT
< strict-transport-security: max-age=15768000; includeSubDomains; preload
< content-length: 45
<
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
* Failed writing body (0 != 45)
* stopped the pause stream!
* Connection #0 to host eprove.net left intact

យកចិត្តទុកដាក់ផងដែរចំពោះចំណងជើង ការគ្រប់គ្រងឃ្លាំងសម្ងាត់៖ នៅក្នុងការឆ្លើយតបពីម៉ាស៊ីនមេគេហទំព័រ។ នៅក្នុងប៉ារ៉ាម៉ែត្រ អាយុអតិបរមា មានតម្លៃ TTL សម្រាប់កំណត់ត្រា DNS ដែលត្រូវបានបញ្ជូនមកវិញ (ឬតម្លៃអប្បបរមាប្រសិនបើសំណុំនៃពួកវាកំពុងត្រូវបានបញ្ជូនមកវិញ)

ដោយផ្អែកលើខាងលើ ដំណើរការនៃម៉ាស៊ីនមេ DoH មានដំណាក់កាលជាច្រើន។

• ទទួលសំណើ HTTP ។ ប្រសិនបើនេះជា GET បន្ទាប់មកឌិកូដកញ្ចប់ព័ត៌មានពីការអ៊ិនកូដ base64URL ។
• ផ្ញើកញ្ចប់ព័ត៌មាននេះទៅម៉ាស៊ីនមេ DNS ។
• ទទួលបានការឆ្លើយតបពីម៉ាស៊ីនមេ DNS
• ស្វែងរកតម្លៃ TTL អប្បបរមានៅក្នុងកំណត់ត្រាដែលទទួលបាន។
• ត្រឡប់ការឆ្លើយតបទៅអតិថិជនតាមរយៈ HTTP ។

3. ម៉ាស៊ីនមេ DNS-over-HTTPS ផ្ទាល់ខ្លួនរបស់អ្នក។

វិធីសាមញ្ញបំផុត លឿនបំផុត និងមានប្រសិទ្ធភាពបំផុតដើម្បីដំណើរការម៉ាស៊ីនមេ DNS-over-HTTPS ផ្ទាល់ខ្លួនរបស់អ្នកគឺត្រូវប្រើម៉ាស៊ីនមេគេហទំព័រ HTTP/2 H2Oដែលអ្នកនិពន្ធបានសរសេរយ៉ាងខ្លីរួចហើយ (សូមមើល “ម៉ាស៊ីនមេគេហទំព័រ H2O ដំណើរការខ្ពស់។«) ។

ជម្រើសនេះត្រូវបានគាំទ្រដោយការពិតដែលថាកូដទាំងអស់នៃម៉ាស៊ីនមេ DoH ផ្ទាល់ខ្លួនរបស់អ្នកអាចត្រូវបានអនុវត្តយ៉ាងពេញលេញដោយប្រើអ្នកបកប្រែរួមបញ្ចូលទៅក្នុង H2O ខ្លួនវាផ្ទាល់។ mruby. បន្ថែមពីលើបណ្ណាល័យស្តង់ដារ ដើម្បីផ្លាស់ប្តូរទិន្នន័យជាមួយម៉ាស៊ីនមេ DNS អ្នកត្រូវការបណ្ណាល័យរន្ធ (mrbgem) ដែលជាសំណាងល្អត្រូវបានរួមបញ្ចូលរួចហើយនៅក្នុងកំណែអភិវឌ្ឍន៍បច្ចុប្បន្ននៃ H2O 2.3.0-beta2 បច្ចុប្បន្ន នៅក្នុងច្រក FreeBSD ។ ទោះយ៉ាងណាក៏ដោយ វាមិនពិបាកក្នុងការបន្ថែមវាទៅកំណែមុនណាមួយដោយក្លូនឃ្លាំងនោះទេ។ បណ្ណាល័យរន្ធ ទៅកាតាឡុក / deps មុនពេលចងក្រង។

root@beta:~ # uname -v
FreeBSD 12.0-RELEASE-p10 GENERIC
root@beta:~ # cd /usr/ports/www/h2o
root@beta:/usr/ports/www/h2o # make extract
===>  License MIT BSD2CLAUSE accepted by the user
===>   h2o-2.2.6 depends on file: /usr/local/sbin/pkg - found
===> Fetching all distfiles required by h2o-2.2.6 for building
===>  Extracting for h2o-2.2.6.
=> SHA256 Checksum OK for h2o-h2o-v2.2.6_GH0.tar.gz.
===>   h2o-2.2.6 depends on file: /usr/local/bin/ruby26 - found
root@beta:/usr/ports/www/h2o # cd work/h2o-2.2.6/deps/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # git clone https://github.com/iij/mruby-socket.git
Клонирование в «mruby-socket»…
remote: Enumerating objects: 385, done.
remote: Total 385 (delta 0), reused 0 (delta 0), pack-reused 385
Получение объектов: 100% (385/385), 98.02 KiB | 647.00 KiB/s, готово.
Определение изменений: 100% (208/208), готово.
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # ll
total 181
drwxr-xr-x   9 root  wheel  18 12 авг.  16:09 brotli/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 cloexec/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 golombset/
drwxr-xr-x   4 root  wheel  35 12 авг.  16:09 klib/
drwxr-xr-x   2 root  wheel   5 12 авг.  16:09 libgkc/
drwxr-xr-x   4 root  wheel  26 12 авг.  16:09 libyrmcds/
drwxr-xr-x  13 root  wheel  32 12 авг.  16:09 mruby/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-digest/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-dir/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-env/
drwxr-xr-x   4 root  wheel   9 12 авг.  16:09 mruby-errno/
drwxr-xr-x   5 root  wheel  14 12 авг.  16:09 mruby-file-stat/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-iijson/
drwxr-xr-x   5 root  wheel  11 12 авг.  16:09 mruby-input-stream/
drwxr-xr-x   6 root  wheel  11 12 авг.  16:09 mruby-io/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-onig-regexp/
drwxr-xr-x   4 root  wheel  10 12 авг.  16:09 mruby-pack/
drwxr-xr-x   5 root  wheel  10 12 авг.  16:09 mruby-require/
drwxr-xr-x   6 root  wheel  10 12 сент. 16:10 mruby-socket/
drwxr-xr-x   2 root  wheel   9 12 авг.  16:09 neverbleed/
drwxr-xr-x   2 root  wheel  13 12 авг.  16:09 picohttpparser/
drwxr-xr-x   2 root  wheel   4 12 авг.  16:09 picotest/
drwxr-xr-x   9 root  wheel  16 12 авг.  16:09 picotls/
drwxr-xr-x   4 root  wheel   8 12 авг.  16:09 ssl-conservatory/
drwxr-xr-x   8 root  wheel  18 12 авг.  16:09 yaml/
drwxr-xr-x   2 root  wheel   8 12 авг.  16:09 yoml/
root@beta:/usr/ports/www/h2o/work/h2o-2.2.6/deps # cd ../../..
root@beta:/usr/ports/www/h2o # make install clean
...

ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេបណ្តាញជាទូទៅមានលក្ខណៈស្តង់ដារ។

root@beta:/usr/ports/www/h2o #  cd /usr/local/etc/h2o/
root@beta:/usr/local/etc/h2o # cat h2o.conf
# this sample config gives you a feel for how h2o can be used
# and a high-security configuration for TLS and HTTP headers
# see https://h2o.examp1e.net/ for detailed documentation
# and h2o --help for command-line options and settings

# v.20180207 (c)2018 by Max Kostikov http://kostikov.co e-mail: [email protected]

user: www
pid-file: /var/run/h2o.pid
access-log:
    path: /var/log/h2o/h2o-access.log
    format: "%h %v %l %u %t "%r" %s %b "%{Referer}i" "%{User-agent}i""
error-log: /var/log/h2o/h2o-error.log

expires: off
compress: on
file.dirlisting: off
file.send-compressed: on

file.index: [ 'index.html', 'index.php' ]

listen:
    port: 80
listen:
    port: 443
    ssl:
        cipher-suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
        cipher-preference: server
        dh-file: /etc/ssl/dhparams.pem
        certificate-file: /usr/local/etc/letsencrypt/live/eprove.net/fullchain.pem
        key-file: /usr/local/etc/letsencrypt/live/my.domain/privkey.pem

hosts:
    "*.my.domain":
        paths: &go_tls
            "/":
                redirect:
                    status: 301
                    url: https://my.domain/
    "my.domain:80":
        paths: *go_tls
    "my.domain:443":
        header.add: "Strict-Transport-Security: max-age=15768000; includeSubDomains; preload"
        paths:
            "/dns-query":
               mruby.handler-file: /usr/local/etc/h2o/h2odoh.rb

ករណីលើកលែងតែមួយគត់គឺកម្មវិធីគ្រប់គ្រង URL /dns-សំណួរ ដែលម៉ាស៊ីនមេ DNS-over-HTTPS របស់យើងដែលសរសេរជា mruby និងហៅតាមរយៈជម្រើស handler គឺពិតជាទទួលខុសត្រូវ mruby.handler-ឯកសារ.

root@beta:/usr/local/etc/h2o # cat h2odoh.rb
# H2O HTTP/2 web server as DNS-over-HTTP service
# v.20190908 (c)2018-2019 Max Kostikov https://kostikov.co e-mail: [email protected]

proc {|env|
    if env['HTTP_ACCEPT'] == "application/dns-message"
        case env['REQUEST_METHOD']
            when "GET"
                req = env['QUERY_STRING'].gsub(/^dns=/,'')
                # base64URL decode
                req = req.tr("-_", "+/")
                if !req.end_with?("=") && req.length % 4 != 0
                    req = req.ljust((req.length + 3) & ~3, "=")
                end
                req = req.unpack1("m")
            when "POST"
                req = env['rack.input'].read
            else
                req = ""
        end
        if req.empty?
            [400, { 'content-type' => 'text/plain' }, [ "Bad Request" ]]
        else
            # --- ask DNS server
            sock = UDPSocket.new
            sock.connect("localhost", 53)
            sock.send(req, 0)
            str = sock.recv(4096)
            sock.close
            # --- find lowest TTL in response
            nans = str[6, 2].unpack1('n') # number of answers
            if nans > 0 # no DNS failure
                shift = 12
                ttl = 0
                while nans > 0
                    # process domain name compression
                    if str[shift].unpack1("C") < 192
                        shift = str.index("x00", shift) + 5
                        if ttl == 0 # skip question section
                            next
                        end
                    end
                    shift += 6
                    curttl = str[shift, 4].unpack1('N')
                    shift += str[shift + 4, 2].unpack1('n') + 6 # responce data size
                    if ttl == 0 or ttl > curttl
                        ttl = curttl
                    end
                    nans -= 1
                 end
                 cc = 'max-age=' + ttl.to_s
            else
                 cc = 'no-cache'
            end
            [200, { 'content-type' => 'application/dns-message', 'content-length' => str.size, 'cache-control' => cc }, [ str ] ]
        end
    else
        [415, { 'content-type' => 'text/plain' }, [ "Unsupported Media Type" ]]
    end
}

សូមចំណាំថាម៉ាស៊ីនមេឃ្លាំងសម្ងាត់មូលដ្ឋានទទួលខុសត្រូវសម្រាប់ដំណើរការកញ្ចប់ DNS ក្នុងករណីនេះ unbound ពីការចែកចាយ FreeBSD ស្តង់ដារ។ តាមទស្សនៈសុវត្ថិភាព នេះគឺជាដំណោះស្រាយដ៏ល្អបំផុត។ ទោះយ៉ាងណាក៏ដោយ គ្មានអ្វីរារាំងអ្នកពីការជំនួសទេ។ localhost ទៅអាសយដ្ឋាន DNS ផ្សេងដែលអ្នកមានបំណងប្រើ។

root@beta:/usr/local/etc/h2o # local-unbound verison
usage:  local-unbound [options]
        start unbound daemon DNS resolver.
-h      this help
-c file config file to read instead of /var/unbound/unbound.conf
        file format is described in unbound.conf(5).
-d      do not fork into the background.
-p      do not create a pidfile.
-v      verbose (more times to increase verbosity)
Version 1.8.1
linked libs: mini-event internal (it uses select), OpenSSL 1.1.1a-freebsd  20 Nov 2018
linked modules: dns64 respip validator iterator
BSD licensed, see LICENSE in source package for details.
Report bugs to [email protected]
root@eprove:/usr/local/etc/h2o # sockstat -46 | grep unbound
unbound  local-unbo 69749 3  udp6   ::1:53                *:*
unbound  local-unbo 69749 4  tcp6   ::1:53                *:*
unbound  local-unbo 69749 5  udp4   127.0.0.1:53          *:*
unbound  local-unbo 69749 6  tcp4   127.0.0.1:53          *:*

អ្វីដែលនៅសេសសល់គឺត្រូវចាប់ផ្តើម H2O ឡើងវិញ ហើយមើលថាតើវាមកពីអ្វី។

root@beta:/usr/local/etc/h2o # service h2o restart
Stopping h2o.
Waiting for PIDS: 69871.
Starting h2o.
start_server (pid:70532) starting now...

4. ការធ្វើតេស្ត

ដូច្នេះ សូមពិនិត្យមើលលទ្ធផលដោយផ្ញើសំណើសាកល្បងម្តងទៀត ហើយពិនិត្យមើលចរាចរបណ្តាញដោយប្រើឧបករណ៍ប្រើប្រាស់ tcpdump.

root@beta/usr/local/etc/h2o # curl -H 'accept: application/dns-message' 'https://my.domain/dns-query?dns=q80BAAABAAAAAAAAB2V4YW1wbGUDY29tAAABAAE'
Warning: Binary output can mess up your terminal. Use "--output -" to tell
Warning: curl to output it to your terminal anyway, or consider "--output
Warning: <FILE>" to save to a file.
...
root@beta:~ # tcpdump -n -i lo0 udp port 53 -xx -XX -vv
tcpdump: listening on lo0, link-type NULL (BSD loopback), capture size 262144 bytes
16:32:40.420831 IP (tos 0x0, ttl 64, id 37575, offset 0, flags [none], proto UDP (17), length 57, bad cksum 0 (->e9ea)!)
    127.0.0.1.21070 > 127.0.0.1.53: [bad udp cksum 0xfe38 -> 0x33e3!] 43981+ A? example.com. (29)
        0x0000:  0200 0000 4500 0039 92c7 0000 4011 0000  ....E..9....@...
        0x0010:  7f00 0001 7f00 0001 524e 0035 0025 fe38  ........RN.5.%.8
        0x0020:  abcd 0100 0001 0000 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01         mple.com.....
16:32:40.796507 IP (tos 0x0, ttl 64, id 37590, offset 0, flags [none], proto UDP (17), length 73, bad cksum 0 (->e9cb)!)
    127.0.0.1.53 > 127.0.0.1.21070: [bad udp cksum 0xfe48 -> 0x43fa!] 43981 q: A? example.com. 1/0/0 example.com. A 93.184.216.34 (45)
        0x0000:  0200 0000 4500 0049 92d6 0000 4011 0000  ....E..I....@...
        0x0010:  7f00 0001 7f00 0001 0035 524e 0035 fe48  .........5RN.5.H
        0x0020:  abcd 8180 0001 0001 0000 0000 0765 7861  .............exa
        0x0030:  6d70 6c65 0363 6f6d 0000 0100 01c0 0c00  mple.com........
        0x0040:  0100 0100 0151 8000 045d b8d8 22         .....Q...].."
^C
2 packets captured
23 packets received by filter
0 packets dropped by kernel

លទ្ធផលបង្ហាញពីរបៀបដែលសំណើដើម្បីដោះស្រាយអាសយដ្ឋាន example.com ត្រូវបានទទួល និងដំណើរការដោយជោគជ័យដោយម៉ាស៊ីនមេ DNS ។

ឥឡូវនេះអ្វីៗដែលនៅសល់គឺត្រូវបើកដំណើរការម៉ាស៊ីនមេរបស់យើងនៅក្នុងកម្មវិធីរុករក Firefox ។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវផ្លាស់ប្តូរការកំណត់ជាច្រើននៅលើទំព័រកំណត់រចនាសម្ព័ន្ធ អំពី: config.

ទីមួយ នេះគឺជាអាសយដ្ឋាន API របស់យើង ដែលកម្មវិធីរុករកនឹងស្នើសុំព័ត៌មាន DNS ចូល network.trr.uri. វាត្រូវបានផ្ដល់អនុសាសន៍ផងដែរដើម្បីបញ្ជាក់ IP ដែនពី URL នេះសម្រាប់ការដោះស្រាយ IP ប្រកបដោយសុវត្ថិភាពដោយប្រើកម្មវិធីរុករកខ្លួនវាដោយមិនចាំបាច់ចូលប្រើ DNS ចូល network.trr.bootstrap អាស័យដ្ឋាន. ហើយទីបំផុតប៉ារ៉ាម៉ែត្រខ្លួនឯង network.trr.mode រួមទាំងការប្រើប្រាស់ DoH ។ ការកំណត់តម្លៃទៅ "3" នឹងបង្ខំឱ្យកម្មវិធីរុករកតាមអ៊ីនធឺណិតប្រើ DNS-over-HTTPS ទាំងស្រុងសម្រាប់ដំណោះស្រាយឈ្មោះ ខណៈពេលដែល "2" ដែលអាចទុកចិត្តបាន និងសុវត្ថិភាពជាងនឹងផ្តល់អាទិភាពដល់ DoH ដោយទុកការរកមើល DNS ស្តង់ដារជាជម្រើសជំនួសវិញ។

5. ចំណេញ!

តើអត្ថបទមានប្រយោជន៍ទេ? បន្ទាប់មកសូមកុំខ្មាស់អៀន និងគាំទ្រដោយប្រាក់តាមរយៈទម្រង់អំណោយ (ខាងក្រោម)។

ប្រភព: www.habr.com