ကြိုက်နှစ်သက်မှုများနှင့် မကြိုက်မှုများ- HTTPS မှ DNS

မကြာသေးမီက အင်တာနက်ဝန်ဆောင်မှုပေးသူများနှင့် ဘရောက်ဆာဆော့ဖ်ဝဲရေးသားသူများကြားတွင် “အငြင်းပွားမှု၏အရိုး” ဖြစ်လာသည့် HTTPS ကျော် DNS ၏အင်္ဂါရပ်များနှင့်ပတ်သက်သည့် ထင်မြင်ယူဆချက်များကို ခွဲခြမ်းစိတ်ဖြာပါသည်။

/Unsplash/ စတိဗ် ဟာလာမာ

သဘောထားကွဲလွဲမှု၏ အနှစ်သာရဖြစ်သည်။

မကြာသေးမီက အဓိကမီဒီယာ и အကြောင်းအရာဆိုင်ရာ ပလပ်ဖောင်းများ (Habr အပါအဝင်)၊ HTTPS (DoH) ပရိုတိုကောတွင် DNS အကြောင်း မကြာခဏ ရေးကြသည်။ ၎င်းသည် DNS ဆာဗာထံ တောင်းဆိုမှုများကို ကုဒ်ဝှက်ပြီး ၎င်းတို့အား တုံ့ပြန်မှုများ ပြုလုပ်သည်။ ဤနည်းလမ်းသည် အသုံးပြုသူဝင်ရောက်သည့် host များ၏အမည်များကို ဖျောက်ထားနိုင်စေပါသည်။ ထုတ်ဝေမှုများမှ ကျွန်ုပ်တို့သည် ပရိုတိုကောအသစ် (IETF တွင်ဖြစ်သည်။ အတည်ပြုခဲ့သည်။ 2018) တွင် အိုင်တီအသိုင်းအဝိုင်းကို စခန်းနှစ်ခုခွဲခဲ့သည်။

ပရိုတိုကောအသစ်သည် အင်တာနက်လုံခြုံရေးကို မြှင့်တင်ပေးပြီး ၎င်းတို့၏အက်ပ်လီကေးရှင်းများနှင့် ဝန်ဆောင်မှုများတွင် အကောင်အထည်ဖော်နေသည်ဟု တစ်ဝက်က ယုံကြည်ကြသည်။ ကျန်တစ်ဝက်မှာ နည်းပညာသည် စနစ်စီမံခန့်ခွဲသူများ၏ အလုပ်ကို ပိုမိုခက်ခဲစေသည်ဟု ယုံကြည်ပါသည်။ ထို့နောက် နှစ်ဖက်စလုံး၏ ငြင်းခုံမှုများကို ခွဲခြမ်းစိတ်ဖြာပါမည်။

DoH အလုပ်လုပ်ပုံ

HTTPS ပေါ်ရှိ DNS ကို ISP များနှင့် အခြားသော စျေးကွက်တွင် ပါဝင်သူများ အဘယ်ကြောင့် ဆန့်ကျင်နေကြသည်ကို ကျွန်ုပ်တို့ မလေ့လာမီ၊ ၎င်းသည် မည်သို့အလုပ်လုပ်သည်ကို အကျဉ်းချုံးကြည့်ကြပါစို့။

DoH ကိစ္စတွင်၊ IP လိပ်စာကို ဆုံးဖြတ်ရန် တောင်းဆိုချက်ကို HTTPS အသွားအလာတွင် ဖုံးအုပ်ထားသည်။ ထို့နောက် ၎င်းသည် API ကို အသုံးပြု၍ လုပ်ဆောင်သည့် HTTP ဆာဗာသို့ သွားပါသည်။ ဤသည်မှာ RFC 8484 မှ ဥပမာတစ်ခု တောင်းဆိုချက် (စာမျက်နှာ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

ထို့ကြောင့်၊ DNS အသွားအလာကို HTTPS အသွားအလာတွင် ဝှက်ထားသည်။ client နှင့် server သည် standard port 443 ကိုကျော်ဆက်သွယ်သည်။ ရလဒ်အနေဖြင့်၊ domain name system သို့တောင်းဆိုမှုများသည်အမည်မသိရှိနေဆဲဖြစ်သည်။

ဘာကြောင့် သူ့ကို မျက်နှာသာမပေးတာလဲ။

HTTPS ထက် DNS ၏ ဆန့်ကျင်ဘက်များ သူတို့ပြောပရိုတိုကောအသစ်သည် ချိတ်ဆက်မှုများ၏ လုံခြုံရေးကို လျှော့ချပေးမည် ဖြစ်သည်။ အားဖြင့် အရ DNS ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့၏အဖွဲ့ဝင် Paul Vixie သည် စနစ်စီမံခန့်ခွဲသူများအတွက် အန္တရာယ်ဖြစ်နိုင်သောဆိုက်များကိုပိတ်ဆို့ရန် ပိုမိုခက်ခဲစေမည်ဖြစ်သည်။ သာမန်အသုံးပြုသူများသည် ဘရောက်ဆာများတွင် အခြေအနေအရ မိဘအထိန်းအချုပ်များကို စနစ်ထည့်သွင်းနိုင်မှု ဆုံးရှုံးပါမည်။

Paul ၏အမြင်များကို UK အင်တာနက်ဝန်ဆောင်မှုပေးသူများကမျှဝေသည်။ တိုင်းပြည်ဥပဒေ တာဝန်များ တားမြစ်ထားသော အကြောင်းအရာများဖြင့် ၎င်းတို့အား အရင်းအမြစ်များမှ ပိတ်ဆို့ပါ။ သို့သော် ဘရောက်ဆာများတွင် DoH အတွက် ပံ့ပိုးမှုသည် အသွားအလာ စစ်ထုတ်ခြင်း၏ လုပ်ငန်းတာဝန်ကို ရှုပ်ထွေးစေသည်။ ပရိုတိုကောအသစ်ကို ဝေဖန်သူများက အင်္ဂလန်ရှိ အစိုးရဆက်သွယ်ရေးဌာန (GCHQ) နှင့် Internet Watch Foundation (IMF က) ပိတ်ဆို့ထားသော အရင်းအမြစ်များ၏ မှတ်ပုံတင်ကို ထိန်းသိမ်းထားသည့်။

Habré ရှိ ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်-

• ယူအက်စ်မှာ စက်ရုပ်တွေနဲ့ စစ်ပွဲမှာ ဘယ်သူက အနိုင်ရပြီး ဘာကြောင့်လဲ။
• ဗြိတိန်တယ်လီကွန်းများသည် ဝန်ဆောင်မှု ပြတ်တောက်မှုအတွက် စာရင်းသွင်းသူများကို လျော်ကြေးပေးမည်ဖြစ်သည်။

HTTPS မှ DNS သည် ဆိုက်ဘာလုံခြုံရေး ခြိမ်းခြောက်မှု ဖြစ်လာနိုင်သည်ဟု ကျွမ်းကျင်သူများက မှတ်ချက်ပြုသည်။ ဇူလိုင်လအစတွင် Netlab မှ သတင်းအချက်အလက် လုံခြုံရေး ကျွမ်းကျင်သူများ ရှာဖွေတွေ့ရှိခဲ့သည် DDoS တိုက်ခိုက်မှုများကိုလုပ်ဆောင်ရန် ပရိုတိုကောအသစ်ကိုအသုံးပြုသည့် ပထမဆုံးဗိုင်းရပ်စ်- Godlua. Malware သည် စာသားမှတ်တမ်းများ (TXT) ကို ရယူရန်နှင့် ဆာဗာ URL များကို ထုတ်ယူရန်နှင့် ထိန်းချုပ်ရန်အတွက် Malware သည် DoH ကို ဝင်ရောက်ခဲ့သည်။

ကုဒ်ဝှက်ထားသော DoH တောင်းဆိုမှုများကို ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲမှ အသိအမှတ်မပြုပါ။ သတင်းအချက်အလက်လုံခြုံရေးကျွမ်းကျင်သူများ ကြောက်ကြသည်။Godlua ပြီးနောက် အခြားသော Malware များသည် passive DNS စောင့်ကြည့်ခြင်းကို မမြင်နိုင်တော့ပါ။

ဒါပေမယ့် လူတိုင်းက မဆန့်ကျင်ပါဘူး။

သူ့ဘလော့ဂ်ပေါ်ရှိ HTTPS ကျော် DNS ကို ကာကွယ်သည်။ ထုတ်ပြောခဲ့သည်။ APNIC အင်ဂျင်နီယာ Geoff Houston ။ သူ့အဆိုအရ၊ ပရိုတိုကောအသစ်သည် မကြာသေးမီက ပိုမိုအဖြစ်များလာသည့် DNS အပိုင်စီးတိုက်ခိုက်မှုများကို တိုက်ဖျက်ရန် ဖြစ်နိုင်ချေရှိစေမည်ဖြစ်သည်။ ဒီအချက်ကို အတည်ပြုသည် ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီ FireEye မှ ဇန်နဝါရီလ အစီရင်ခံစာ။ အိုင်တီကုမ္ပဏီများသည် ပရိုတိုကော ဖွံ့ဖြိုးတိုးတက်ရေးကို ပံ့ပိုးပေးသည်။

ပြီးခဲ့သည့်နှစ်အစတွင် DoH ကို Google တွင်စတင်စမ်းသပ်ခဲ့သည်။ လွန်ခဲ့တဲ့ တစ်လလောက်က ကုမ္ပဏီက တင်ဆက် ၎င်း၏ DoH ဝန်ဆောင်မှု၏ အထွေထွေရရှိနိုင်မှုဗားရှင်း။ Google တွင် မျှော်လင့်ချက်ကွန်ရက်ပေါ်ရှိ ကိုယ်ရေးကိုယ်တာဒေတာလုံခြုံရေးကို တိုးမြှင့်ပေးပြီး MITM တိုက်ခိုက်မှုများကို ကာကွယ်နိုင်မည်ဖြစ်သည်။

အခြား browser developer - Mozilla - အထောက်အပံ့များ ပြီးခဲ့သည့်နွေရာသီကတည်းက HTTPS ကျော် DNS တစ်ချိန်တည်းမှာပင်၊ ကုမ္ပဏီသည် IT ပတ်ဝန်းကျင်တွင် နည်းပညာအသစ်များကို တက်ကြွစွာ မြှင့်တင်လျက်ရှိသည်။ ယင်းအတွက်၊ အင်တာနက်ဝန်ဆောင်မှုပေးသူများအသင်း (ISPA)၊ အမည်စာရင်းတင်သွင်းခြင်းပင် Mozilla သည် တစ်နှစ်တာအကောင်းဆုံး အင်တာနက်ဗီလိန်ဆုကို ရရှိခဲ့သည်။ ကုမ္ပဏီ ကိုယ်စားလှယ်များက တုံ့ပြန်သည်။ မှတ်ချက်ချသည်။တယ်လီကွန်းအော်ပရေတာများ၏ ခေတ်နောက်ကျသောအင်တာနက်အခြေခံအဆောက်အအုံကို မြှင့်တင်ရန် တွန့်ဆုတ်နေခြင်းကြောင့် စိတ်ပျက်နေပါသည်။

/Unsplash/ TETrebbien

Mozilla ကိုထောက်ခံသည်။ မီဒီယာကြီးများက ထုတ်ပြောကြသည်။ အချို့သော အင်တာနက်ဝန်ဆောင်မှုပေးသူများ။ အထူးသဖြင့် British Telecom တွင်ဖြစ်သည်။ ထည့်သွင်းစဉ်းစားပရိုတိုကောအသစ်သည် အကြောင်းအရာစစ်ထုတ်ခြင်းကို မထိခိုက်စေဘဲ UK အသုံးပြုသူများ၏ လုံခြုံရေးကို မြှင့်တင်ပေးမည် ဖြစ်သည်။ ISPA ၏ဖိအားအောက်တွင် ပြန်ခေါ်ရတယ်။ "လူကြမ်း" အမည်စာရင်းတင်သွင်းခြင်း။

ဥပမာအားဖြင့် Cloud ဝန်ဆောင်မှုပေးသူများသည် HTTPS မှတဆင့် DNS ၏နိဒါန်းကို ထောက်ခံအားပေးခဲ့သည်။ CloudFlare. ၎င်းတို့သည် ပရိုတိုကောအသစ်ကို အခြေခံ၍ DNS ဝန်ဆောင်မှုများကို ပေးနေပြီဖြစ်သည်။ DoH ကို ပံ့ပိုးသည့် ဘရောက်ဆာများနှင့် ဖောက်သည်များ စာရင်းအပြည့်အစုံကို တွင် ရရှိနိုင်ပါသည်။ GitHub.

မည်သို့ပင်ဆိုစေကာမူ စခန်းနှစ်ခုကြား ထိပ်တိုက်ရင်ဆိုင်မှု အဆုံးသတ်ကို ပြောရန် မဖြစ်နိုင်သေးပါ။ အကယ်၍ HTTPS ထက် DNS သည် ပင်မအင်တာနက်နည်းပညာအစုအဝေး၏ တစ်စိတ်တစ်ပိုင်းဖြစ်လာရန် ရည်မှန်းထားပါက ၎င်းသည် အချိန်ယူရလိမ့်မည်ဟု IT ပညာရှင်များက ခန့်မှန်းထားသည်။ ဆယ်စုနှစ်တစ်ခုကျော်.

ကျွန်ုပ်တို့၏ကော်ပိုရိတ်ဘလော့ဂ်တွင် ကျွန်ုပ်တို့ ဘာအကြောင်းရေးထားသေးသည်-

• အင်တာနက်ဝန်ဆောင်မှုပေးသည့်ကွန်ရက်ကို မည်သို့တည်ဆောက်ထားသနည်း။
• အင်တာနက်ဝန်ဆောင်မှုပေးသည့်ကွန်ရက်များတွင် အခြေခံဝန်ဆောင်မှုများ
• ပေါင်းစည်းခြင်းနှင့် ပေါင်းစည်းခြင်း - စက်တစ်ခုတွင် လုပ်ဆောင်စရာများစွာ

source: www.habr.com