Firefox хөгжүүлэгчид
DoH-г идэвхжүүлсний дараа хэрэглэгчдэд анхааруулга гарч ирэх бөгөөд энэ нь хэрэв хүсвэл төвлөрсөн DoH DNS серверүүдтэй холбогдохоос татгалзаж, үйлчилгээ үзүүлэгчийн DNS сервер рүү шифрлэгдээгүй асуулга илгээх уламжлалт схем рүү буцах боломжийг олгоно. DNS шийдэгчийн тархсан дэд бүтцийн оронд ЭМГ нь тодорхой нэг DoH үйлчилгээтэй холбох хэрэгслийг ашигладаг бөгөөд үүнийг нэг алдаа гэж үзэж болно. Одоогийн байдлаар ажлыг CloudFlare (анхдагч) болон хоёр DNS үйлчилгээ үзүүлэгчээр дамжуулан санал болгож байна
Үйлчилгээ үзүүлэгчийг өөрчлөх эсвэл DoH-г идэвхгүй болгох
ЭМГ нь үйлчилгээ үзүүлэгчдийн DNS серверүүдээр дамжуулан хүссэн хостын нэрийн талаарх мэдээлэл алдагдахаас сэргийлэх, MITM халдлага болон DNS траффикийг хуурамчаар үйлдэх (жишээлбэл, нийтийн Wi-Fi-д холбогдох үед), DNS түвшинд блоклох (DoH) зэрэгт тустай гэдгийг санаарай. DPI түвшинд хэрэгждэг хаалтыг тойрч гарах хэсэгт VPN-ийг орлуулах боломжгүй) эсвэл DNS серверт шууд хандах боломжгүй тохиолдолд (жишээлбэл, прокси ашиглан ажиллах үед) ажлыг зохион байгуулахад зориулагдсан болно. Ихэвчлэн DNS хүсэлтийг системийн тохиргоонд тодорхойлсон DNS серверүүд рүү шууд илгээдэг бол DoH-ийн хувьд хостын IP хаягийг тодорхойлох хүсэлтийг HTTPS траффик дотор багтааж HTTP сервер рүү илгээдэг бөгөөд үүн дээр шийдвэрлэгч нь хүсэлтийг дамжуулан боловсруулдаг. вэб API. Одоогийн DNSSEC стандарт нь зөвхөн үйлчлүүлэгч болон серверийг баталгаажуулахын тулд шифрлэлтийг ашигладаг боловч траффикийг саатуулахаас хамгаалахгүй бөгөөд хүсэлтийн нууцлалыг баталгаажуулдаггүй.
Firefox дээр санал болгож буй DoH үйлчилгээ үзүүлэгчдийг сонгохын тулд,
DoH-ийг болгоомжтой хэрэглэх хэрэгтэй. Жишээлбэл, ОХУ-д Firefox дээр санал болгож буй mozilla.cloudflare-dns.com үндсэн DoH сервертэй холбоотой 104.16.248.249 ба 104.16.249.249 IP хаягууд,
Мөн ЭМГ нь эцэг эхийн хяналтын систем, корпорацийн систем дэх дотоод нэрийн орон зайд нэвтрэх, контентыг оновчтой болгох систем дэх маршрутын сонголт, хууль бус контент түгээх, ашиглахтай тэмцэх чиглэлээр шүүхийн шийдвэрийг биелүүлэх зэрэг асуудлуудыг үүсгэж болно. насанд хүрээгүй хүүхдүүд. Иймэрхүү бэрхшээлээс зайлсхийхийн тулд тодорхой нөхцөлд DoH-ийг автоматаар идэвхгүй болгодог хяналтын системийг нэвтрүүлж, туршсан.
Байгууллагын шийдэгчдийг тодорхойлохын тулд ердийн бус эхний түвшний домайнуудыг (TLDs) шалгаж, системийн шийдүүлэгч нь дотоод сүлжээний хаягуудыг буцаана. Эцэг эхийн хяналтыг идэвхжүүлсэн эсэхийг тодорхойлохын тулд exampleadultsite.com нэрийг шийдэх оролдлого хийж, үр дүн нь бодит IP-тэй тохирохгүй байвал DNS түвшинд насанд хүрэгчдийн контентыг хориглох ажиллагаа идэвхтэй байна гэж үзнэ. Google болон YouTube-ийн IP хаягууд нь хязгаарлалт.youtube.com, forcesafesearch.google.com болон хязгаарлалтmoderate.youtube.com хаягаар солигдсон эсэхийг шалгах тэмдэг болгон шалгадаг. Эдгээр шалгалтууд нь шийдэгчийн ажиллагааг хянадаг эсвэл урсгалд саад учруулах чадвартай халдагчдад DNS траффикийн шифрлэлтийг идэвхгүй болгохын тулд ийм зан үйлийг дуурайлган хийх боломжийг олгодог.
Нэг ЭМГ-ын үйлчилгээгээр дамжуулан ажиллах нь DNS ашиглан траффикийг тэнцвэржүүлдэг контент дамжуулах сүлжээн дэх урсгалыг оновчтой болгоход асуудал үүсгэж болзошгүй (CDN сүлжээний DNS сервер нь шийдвэрлэх хаягийг харгалзан хариуг үүсгэж, контентыг хүлээн авахад хамгийн ойрын хостоор хангадаг). Ийм CDN-д байгаа хэрэглэгчтэй хамгийн ойр байгаа шийдвэрлэхлэгчээс DNS асуулга илгээснээр хэрэглэгчтэй хамгийн ойр байгаа хостын хаягийг буцаах боловч төвлөрсөн шийдүүлэгчээс DNS асуулга илгээх нь DNS-over-HTTPS сервертэй хамгийн ойр байгаа хост хаягийг буцаана. . Практикт хийсэн туршилтууд нь CDN-г ашиглах үед DNS-over-HTTP ашиглах нь контент дамжуулах эхлэхээс өмнө бараг ямар ч саатал үүсгэдэггүй болохыг харуулсан (хурдан холболтын хувьд саатал 10 миллисекундээс хэтрэхгүй, харилцаа холбооны удаашралтай сувгууд дээр илүү хурдан гүйцэтгэл ажиглагдсан) ). EDNS Client Subnet өргөтгөлийг ашиглах нь CDN шийдүүлэгч рүү үйлчлүүлэгчийн байршлын мэдээллийг өгөхийн тулд мөн авч үзсэн.
Эх сурвалж: opennet.ru