Firefox Developers
DoH активдештиргенден кийин колдонуучуга эскертүү көрсөтүлөт, ал кааласа борборлоштурулган DoH DNS серверлери менен байланышуудан баш тартууга жана провайдердин DNS серверине шифрленбеген суроо-талаптарды жөнөтүүнүн салттуу схемасына кайтууга мүмкүндүк берет. DNS чечүүчүлөрдүн бөлүштүрүлгөн инфраструктурасынын ордуна, DoH белгилүү бир DoH кызматына туташтырууну колдонот, аны бир эле иштен чыгуу чекити катары кароого болот. Учурда, иш эки DNS провайдерлери аркылуу сунушталат - CloudFlare (демейки) жана
Провайдерди өзгөртүңүз же DoHди өчүрүңүз
Эске сала кетсек, DoH провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафиктин спуфингине (мисалы, коомдук Wi-Fiга туташууда), DNS'де бөгөт коюуга каршы турууда пайдалуу болушу мүмкүн. деңгээл (DoH DPI деңгээлинде ишке ашырылган бөгөттөөлөрдү айланып өтүү чөйрөсүндө VPNди алмаштыра албайт) же DNS серверлерине түздөн-түз кирүү мүмкүн болбосо (мисалы, прокси аркылуу иштөөдө) ишти уюштуруу үчүн. Эгерде кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, анда DoH учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде инкапсуляцияланат жана HTTP серверине жөнөтүлөт, ал жерде чечүүчү иштеп чыгат. Web API аркылуу суроо-талаптар. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
Firefox-та сунушталган DoH провайдерлерин тандоо үчүн,
DoH этияттык менен колдонулушу керек. Мисалы, Россия Федерациясында Firefox-та сунушталган mozilla.cloudflare-dns.com демейки DoH сервери менен байланышкан 104.16.248.249 жана 104.16.249.249 IP даректери,
DoH ошондой эле ата-энелик көзөмөл тутумдары, корпоративдик системалардагы ички аттар мейкиндигине кирүү, мазмунду жеткирүү оптималдаштыруу системаларында маршруттарды тандоо жана мыйзамсыз мазмунду жайылтууга жана эксплуатациялоого каршы күрөшүү чөйрөсүндө соттун буйруктарын аткаруу сыяктуу көйгөйлөрдү жаратышы мүмкүн. жашы жете элек балдар. Мындай көйгөйлөрдү четтетүү үчүн, белгилүү бир шарттарда DoHди автоматтык түрдө өчүрүүчү текшерүү системасы ишке ашырылган жана сыналган.
Ишкана чечүүчүлөрдү аныктоо үчүн, типтүү эмес биринчи деңгээлдеги домендер (TLDs) текшерилет жана система чечүүчү интранет даректерин кайтарат. Ата-эненин көзөмөлү иштетилгенин аныктоо үчүн exampleadultsite.com аталышын чечүүгө аракет жасалат жана натыйжа чыныгы IPге дал келбесе, DNS деңгээлинде чоңдор үчүн мазмунду бөгөттөө активдүү деп эсептелет. Google жана YouTube IP даректери да чектөө.youtube.com, forcesafesearch.google.com жана чектөөmoderate.youtube.com менен алмаштырылганын билүү үчүн белгилер катары текшерилет. Бул текшерүүлөр чечүүчүнүн ишин көзөмөлдөгөн же трафикке кийлигише алган чабуулчуларга DNS трафиктин шифрлөөсүн өчүрүү үчүн ушундай жүрүм-турумду окшоштурууга мүмкүндүк берет.
Бир DoH кызматы аркылуу иштөө DNS аркылуу трафикти тең салмактаган контент жеткирүү тармактарында трафикти оптималдаштырууда көйгөйлөргө алып келиши мүмкүн (CDN тармагынын DNS сервери чечүүчү даректи эске алуу менен жоопту жаратат жана мазмунду кабыл алуу үчүн эң жакын хостту камсыз кылат) . Мындай CDNдердеги колдонуучуга эң жакын чечүүчүдөн DNS суроосун жөнөтүү колдонуучуга эң жакын хосттун дарегин кайтарууга алып келет, бирок борборлоштурулган чечүүчүдөн DNS суроосун жөнөтүү DNS-over-HTTPS серверине эң жакын хост дарегин кайтарат. . Практикадагы тестирлөө көрсөткөндөй, CDNди колдонууда DNS-over-HTTP колдонуу контентти өткөрүп берүү башталганга чейин дээрлик эч кандай кечигүүлөргө алып келген эмес (тез туташуулар үчүн кечигүү 10 миллисекунддан ашкан эмес, ал эми жай байланыш каналдарында андан да тезирээк көрсөткүчтөр байкалган) ). EDNS Client Subnet кеңейтүүсүн колдонуу CDN чечүүчүгө кардардын жайгашкан жери тууралуу маалымат берүү үчүн да каралган.
Source: opennet.ru