Firefox izstrÄdÄtÄji
PÄc DoH aktivizÄÅ”anas lietotÄjam tiek parÄdÄ«ts brÄ«dinÄjums, kas ļauj, ja vÄlas, atteikties sazinÄties ar centralizÄtiem DoH DNS serveriem un atgriezties pie tradicionÄlÄs shÄmas, kad pakalpojumu sniedzÄja DNS serverim tiek nosÅ«tÄ«ti neÅ”ifrÄti vaicÄjumi. IzkliedÄtÄs DNS atrisinÄtÄju infrastruktÅ«ras vietÄ DoH izmanto saistÄ«Å”anu ar konkrÄtu DoH pakalpojumu, ko var uzskatÄ«t par vienu atteices punktu. Å obrÄ«d darbs tiek piedÄvÄts caur diviem DNS nodroÅ”inÄtÄjiem ā CloudFlare (noklusÄjums) un
Mainiet pakalpojumu sniedzÄju vai atspÄjojiet DoH
AtgÄdinÄsim, ka DoH var bÅ«t noderÄ«ga, lai novÄrstu informÄcijas noplÅ«di par pieprasÄ«tajiem resursdatora nosaukumiem caur pakalpojumu sniedzÄju DNS serveriem, apkarotu MITM uzbrukumus un DNS trafika viltoÅ”anu (piemÄram, pieslÄdzoties publiskajam Wi-Fi), apkarotu bloÄ·ÄÅ”anu DNS. lÄ«menÄ« (DoH nevar aizstÄt VPN DPI lÄ«menÄ« ieviestÄs bloÄ·ÄÅ”anas apieÅ”anas jomÄ) vai darba organizÄÅ”anai, ja nav iespÄjams tieÅ”i piekļūt DNS serveriem (piemÄram, strÄdÄjot caur starpniekserveri). Ja normÄlÄ situÄcijÄ DNS pieprasÄ«jumi tiek tieÅ”i nosÅ«tÄ«ti uz sistÄmas konfigurÄcijÄ definÄtajiem DNS serveriem, tad DoH gadÄ«jumÄ pieprasÄ«jums noteikt saimniekdatora IP adresi tiek iekapsulÄts HTTPS trafikÄ un nosÅ«tÄ«ts uz HTTP serveri, kur atrisinÄtÄjs apstrÄdÄ. pieprasÄ«jumus, izmantojot Web API. EsoÅ”ais DNSSEC standarts izmanto Å”ifrÄÅ”anu tikai klienta un servera autentifikÄcijai, taÄu neaizsargÄ trafiku no pÄrtverÅ”anas un negarantÄ pieprasÄ«jumu konfidencialitÄti.
Lai atlasÄ«tu pÄrlÅ«kprogrammÄ Firefox piedÄvÄtos DoH pakalpojumu sniedzÄjus,
DoH jÄlieto piesardzÄ«gi. PiemÄram, Krievijas FederÄcijÄ IP adreses 104.16.248.249 un 104.16.249.249 ir āāsaistÄ«tas ar noklusÄjuma DoH serveri mozilla.cloudflare-dns.com, kas tiek piedÄvÄts pÄrlÅ«kprogrammÄ Firefox,
DoH var radÄ«t problÄmas arÄ« tÄdÄs jomÄs kÄ vecÄku kontroles sistÄmas, piekļuve iekÅ”ÄjÄm nosaukumu telpÄm korporatÄ«vajÄs sistÄmÄs, marÅ”ruta izvÄle satura piegÄdes optimizÄcijas sistÄmÄs un tiesas rÄ«kojumu izpilde nelegÄla satura izplatÄ«Å”anas un izmantoÅ”anas apkaroÅ”anas jomÄ. nepilngadÄ«gie. Lai apietu Å”Ädas problÄmas, ir ieviesta un pÄrbaudÄ«ta pÄrbaudes sistÄma, kas noteiktos apstÄkļos automÄtiski atspÄjo DoH.
Lai identificÄtu uzÅÄmuma atrisinÄtÄjus, tiek pÄrbaudÄ«ti netipiski pirmÄ lÄ«meÅa domÄni (TLD), un sistÄmas risinÄtÄjs atgriež iekÅ”tÄ«kla adreses. Lai noteiktu, vai ir iespÄjota vecÄku kontrole, tiek mÄÄ£inÄts atrisinÄt nosaukumu exampleadultsite.com un, ja rezultÄts neatbilst faktiskajam IP, tiek uzskatÄ«ts, ka DNS lÄ«menÄ« ir aktÄ«va pieauguÅ”ajiem paredzÄtÄ satura bloÄ·ÄÅ”ana. Google un YouTube IP adreses arÄ« tiek pÄrbaudÄ«tas kÄ zÄ«mes, lai noskaidrotu, vai tÄs ir aizstÄtas ar limit.youtube.com, forcesafesearch.google.com un limitmoderate.youtube.com. Å Ä«s pÄrbaudes ļauj uzbrucÄjiem, kuri kontrolÄ atrisinÄtÄja darbÄ«bu vai spÄj traucÄt trafiku, simulÄt Å”Ädu darbÄ«bu, lai atspÄjotu DNS trafika Å”ifrÄÅ”anu.
Darbs, izmantojot vienu DoH pakalpojumu, var arÄ« radÄ«t problÄmas ar trafika optimizÄciju satura piegÄdes tÄ«klos, kas lÄ«dzsvaro trafiku, izmantojot DNS (CDN tÄ«kla DNS serveris Ä£enerÄ atbildi, Åemot vÄrÄ atrisinÄtÄja adresi un nodroÅ”ina tuvÄko resursdatoru satura saÅemÅ”anai). . NosÅ«tot DNS vaicÄjumu no lietotÄjam tuvÄkÄ atrisinÄtÄja Å”Ädos CDN, tiek atgriezta lietotÄjam vistuvÄk esoÅ”Ä resursdatora adrese, bet, nosÅ«tot DNS vaicÄjumu no centralizÄtÄ atrisinÄtÄja, tiks atgriezta resursdatora adrese, kas ir vistuvÄk DNS-over-HTTPS serverim. . PÄrbaude praksÄ parÄdÄ«ja, ka DNS-over-HTTP izmantoÅ”ana, izmantojot CDN, praktiski neradÄ«ja aizkavi pirms satura pÄrsÅ«tÄ«Å”anas sÄkuma (Ätriem savienojumiem aizkave nepÄrsniedza 10 milisekundes, un vÄl ÄtrÄka darbÄ«ba tika novÄrota lÄnos sakaru kanÄlos ). Tika apsvÄrta arÄ« EDNS klienta apakÅ”tÄ«kla paplaÅ”inÄjuma izmantoÅ”ana, lai CDN atrisinÄtÄjam nodroÅ”inÄtu klienta atraÅ”anÄs vietas informÄciju.
Avots: opennet.ru