Кийинки Google компаниясы Chrome браузери үчүн иштелип жаткан “HTTPS үстүнөн DNS” (DoH, HTTPS үстүнөн DNS) ишке ашырууну сыноо үчүн эксперимент жүргүзүү ниети жөнүндө. 78-октябрга пландаштырылган Chrome 22 демейки боюнча айрым колдонуучулар категорияларына ээ болот DoH колдонуу. Учурдагы тутум жөндөөлөрү DoH менен шайкеш деп таанылган белгилүү DNS провайдерлерин көрсөткөн колдонуучулар гана DoH иштетүү экспериментине катышат.
DNS провайдерлеринин ак тизмеси камтыйт Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112.row), Clean. 185.228.168.168 185.228.169.168 , 185.222.222.222) жана DNS.SB (185.184.222.222, XNUMX). Эгер колдонуучунун DNS жөндөөлөрү жогоруда айтылган DNS серверлеринин бирин көрсөтсө, Chrome'догу DoH демейки боюнча иштетилет. Жергиликтүү Интернет провайдери тарабынан берилген DNS серверлерин колдонгондор үчүн баары өзгөрүүсүз калат жана системаны чечүүчү DNS сурамдары үчүн колдонула берет.
Демейки боюнча акырындык менен DoH иштетилген Firefoxто DoH ишке ашыруудан маанилүү айырма сентябрь айынын аягында, бир DoH кызматына байланыштын жоктугу. Эгерде Firefox демейки боюнча CloudFlare DNS сервери, андан кийин Chrome DNS провайдерин өзгөртпөстөн, DNS менен иштөө ыкмасын эквиваленттүү кызматка жаңылайт. Мисалы, колдонуучу тутум орнотууларында көрсөтүлгөн DNS 8.8.8.8 болсо, анда Chrome болот Google DoH кызматы (“https://dns.google.com/dns-query”), эгер DNS 1.1.1.1 болсо, анда Cloudflare DoH кызматы (“https://cloudflare-dns.com/dns-query”) Жана
Кааласа, колдонуучу “chrome://flags/#dns-over-https” жөндөөсүн колдонуп DoHди иштетип же өчүрө алат. Үч иштөө режими колдоого алынат: коопсуз, автоматтык жана өчүрүү. "Коопсуз" режимде хосттор мурда кэштелген коопсуз маанилердин негизинде гана аныкталат (коопсуз туташуу аркылуу алынган) жана DoH аркылуу кадимки DNSке кайтаруу колдонулбайт; "Автоматтык" режимде, DoH жана коопсуз кэш жеткиликсиз болсо, маалыматтарды кооптуу кэштен чыгарып, салттуу DNS аркылуу кирүүгө болот. "Өчүрүү" режиминде, адегенде жалпы кэш текшерилет жана маалымат жок болсо, суроо-талап системанын DNS аркылуу жөнөтүлөт. режими аркылуу орнотулган kDnsOverHttpsMode , жана kDnsOverHttpsTemplates аркылуу серверди картага түшүрүү шаблону.
DoH'ти иштетүү эксперименти Chrome'до колдоого алынган бардык платформаларда жүргүзүлөт, Linux жана iOS'ту кошпогондо, чечүүчү жөндөөлөрдү талдоо тривиалдуу эмес мүнөзгө ээ жана системанын DNS жөндөөлөрүнө кирүү мүмкүнчүлүгүн чектөө. Эгерде DoH иштетилгенден кийин, DoH серверине суроо-талаптарды жөнөтүүдө көйгөйлөр пайда болсо (мисалы, анын бөгөттөлүшүнөн, тармакка туташуудан же иштебей калгандыктан), браузер автоматтык түрдө системанын DNS орнотууларын кайтарып берет.
Эксперименттин максаты - DoHтин ишке ашырылышын акыркы текшерүү жана DoH колдонуунун натыйжалуулукка тийгизген таасирин изилдөө. Бул иш жүзүндө DoH колдоо экенин белгилей кетүү керек февраль айында Chrome код базасына кириңиз, бирок DoH конфигурациялоо жана иштетүү үчүн өзгөчө желек жана тандоолордун ачык эмес топтому менен Chrome ишке киргизүү.
Эске сала кетсек, DoH провайдерлердин DNS серверлери аркылуу суралган хост аттары тууралуу маалыматтын агып кетишинин алдын алуу, MITM чабуулдарына жана DNS трафиктин спуфингине каршы күрөшүүдө (мисалы, коомдук Wi-Fi тармагына туташууда), DNSте бөгөт коюуга каршы турууда пайдалуу болушу мүмкүн. деңгээл (DoH DPI деңгээлинде ишке ашырылган бөгөттөөлөрдү айланып өтүү чөйрөсүндө VPNди алмаштыра албайт) же DNS серверлерине түздөн-түз кирүү мүмкүн болбосо, ишти уюштуруу үчүн (мисалы, прокси аркылуу иштөөдө). Кадимки кырдаалда DNS суроо-талаптары системанын конфигурациясында аныкталган DNS серверлерине түз жөнөтүлсө, DoH учурда хосттун IP дарегин аныктоо өтүнүчү HTTPS трафигинде инкапсуляцияланат жана HTTP серверине жөнөтүлөт, ал жерде чечүүчү иштеп чыгат. Web API аркылуу суроо-талаптар. Учурдагы DNSSEC стандарты кардардын жана сервердин аутентификациясы үчүн гана шифрлөөнү колдонот, бирок трафикти тосуудан коргобойт жана суроо-талаптардын купуялуулугуна кепилдик бербейт.
Source: opennet.ru