„Firefox“ kūrėjai
Suaktyvinus DoH, vartotojui rodomas įspėjimas, kuris leidžia, jei pageidaujama, atsisakyti susisiekti su centralizuotais DoH DNS serveriais ir grįžti prie tradicinės nešifruotų užklausų siuntimo į tiekėjo DNS serverį schemos. Vietoj paskirstytos DNS sprendinių infrastruktūros, DoH naudoja susiejimą su konkrečia DoH paslauga, kurią galima laikyti vienu gedimo tašku. Šiuo metu darbas siūlomas per du DNS tiekėjus – CloudFlare (numatytasis) ir
Pakeiskite teikėją arba išjunkite DoH
Prisiminkime, kad DoH gali būti naudinga siekiant užkirsti kelią informacijos nutekėjimui apie prašomus pagrindinio kompiuterio pavadinimus per teikėjų DNS serverius, kovojant su MITM atakomis ir DNS srauto klastojimu (pavyzdžiui, prisijungiant prie viešojo Wi-Fi), kovojant su blokavimu DNS. lygiu (DoH negali pakeisti VPN DPI lygiu įdiegto blokavimo apėjimo srityje) arba darbo organizavimui, jei neįmanoma tiesiogiai pasiekti DNS serverių (pavyzdžiui, dirbant per tarpinį serverį). Jei įprastoje situacijoje DNS užklausos yra tiesiogiai siunčiamos į sistemos konfigūracijoje nurodytus DNS serverius, tai DoH atveju užklausa nustatyti pagrindinio kompiuterio IP adresą yra inkapsuliuojama į HTTPS srautą ir siunčiama į HTTP serverį, kur sprendiklis apdoroja. užklausų per žiniatinklio API. Esamas DNSSEC standartas naudoja šifravimą tik kliento ir serverio autentifikavimui, tačiau neapsaugo srauto nuo perėmimo ir negarantuoja užklausų konfidencialumo.
Norėdami pasirinkti „Firefox“ siūlomus DoH teikėjus,
DoH reikia vartoti atsargiai. Pavyzdžiui, Rusijos Federacijoje IP adresai 104.16.248.249 ir 104.16.249.249 susieti su numatytuoju DoH serveriu mozilla.cloudflare-dns.com, siūlomu Firefox,
DoH taip pat gali sukelti problemų tokiose srityse kaip tėvų kontrolės sistemos, prieiga prie vidinių vardų erdvių įmonių sistemose, maršruto parinkimas turinio pateikimo optimizavimo sistemose ir teismo įsakymų laikymasis kovos su nelegalaus turinio platinimu ir išnaudojimu nepilnamečių. Siekiant išvengti tokių problemų, buvo įdiegta ir išbandyta patikros sistema, kuri tam tikromis sąlygomis automatiškai išjungia DoH.
Norint identifikuoti įmonės sprendimus, tikrinami netipiniai pirmojo lygio domenai (TLD), o sistemos sprendėjas pateikia intraneto adresus. Norint nustatyti, ar įgalinta tėvų kontrolė, bandoma nustatyti pavadinimą exampleadultsite.com ir, jei rezultatas neatitinka tikrojo IP, laikoma, kad suaugusiesiems skirto turinio blokavimas yra aktyvus DNS lygiu. „Google“ ir „YouTube“ IP adresai taip pat tikrinami kaip ženklai, siekiant išsiaiškinti, ar juos pakeitė limit.youtube.com, forcesafesearch.google.com ir limitmoderate.youtube.com. Šios patikros leidžia užpuolikams, kontroliuojantiems sprendiklio veikimą arba galintiems trukdyti srautui, imituoti tokį elgesį ir išjungti DNS srauto šifravimą.
Naudojant vieną DoH paslaugą taip pat gali kilti problemų dėl srauto optimizavimo turinio pristatymo tinkluose, kurie subalansuoja srautą naudojant DNS (CDN tinklo DNS serveris generuoja atsakymą, atsižvelgdamas į sprendiklio adresą ir pateikia artimiausią pagrindinį kompiuterį, kad gautų turinį). Siunčiant DNS užklausą iš arčiausiai vartotojo esančio sprendiklio tokiuose CDN, bus grąžinamas arčiausiai vartotojo esančio pagrindinio kompiuterio adresas, tačiau siunčiant DNS užklausą iš centralizuoto sprendiklio, bus grąžintas prieglobos adresas, esantis arčiausiai DNS per HTTPS serverio. . Praktikoje atliktas testavimas parodė, kad naudojant DNS-over-HTTP, kai naudojamas CDN, beveik nebuvo uždelsta iki turinio perdavimo pradžios (greito ryšio atveju vėlavimas neviršijo 10 milisekundžių, o lėtuose ryšio kanaluose buvo stebimas dar greitesnis veikimas ). Taip pat buvo manoma, kad naudojant EDNS kliento potinklio plėtinį CDN sprendikliui pateikiama kliento vietos informacija.
Šaltinis: opennet.ru