DoH ááŸáá·áº DoT á¡áá¯á¶ážááŒá¯ááŒááºážá á¡áá¹ááá¬ááºáá»á¬ážááᯠáá»áŸá±á¬á·áá»ááŒááºážá
DoH ááŸáá·áº DoT áá¬ááœááºááŸá¯
áááºá DNS á¡ááœá¬ážá¡áá¬ááᯠáááºááááºážáá»á¯ááºáá«ááá¬ážá á¡ááœá²á·á¡á ááºážáá»á¬ážááẠáááºážááá¯á·áááœááºáááºáá»á¬ážááᯠáá¯á¶ááŒá¯á¶á á±áááºá¡ááœáẠá¡áá»áááºá ááœá±ááŸáá·áº á¡á¬ážáá¯ááºááŸá¯áá»á¬ážá áœá¬ááᯠáááºážááŸá®ážááŒáŸá¯ááºááŸá¶ááŒáááºá ááá¯á·áá±á¬áºáááºáž áá¯á¶áá±á¬ááºáá±á¬ á¡á¬áá¯á¶á áá¯ááºááŸá¯áááá±á¬ á§áááá¬áá áºáá¯ááŸá¬ DNS ááŒá áºáááºá
DNS áá±ážáá±á¬ááºáá±á¬ á¡áá¹ááá¬ááºáá»á¬ážá¡ááŒá±á¬ááºáž áá±á¬ááºážáá±á¬ ááŒá¯á¶áá¯á¶áá¯á¶ážáááºáá»ááºááŸá¬
á á áºáááºážáá±á¬ááºáá°áá¬ážáá±á¬ ransomware á¡áááºážáá»á¬ážá 31% ááẠáá±á¬á·áá²ááŸááºááŸá¯á¡ááœáẠDNS ááá¯á¡áá¯á¶ážááŒá¯áááºá áá±á·áá¬ááŸá¯ááœá±á·ááŸááá»ááºáá»á¬áž
á á áºáááºážáá±á¬ááºáá°áá²á·ááá·áº ransomware á¡áááºážáá»á¬ážá 31% ááẠáá±á¬á·áá²ááŸááºááŸá¯á¡ááœáẠDNS ááᯠá¡áá¯á¶ážááŒá¯áá²á·áááºá
ááŒá¿áá¬á ááŒááºážáááºáááºá Palo Alto Networks Unit 42 áá¯áá±áááá¬ááºááœá²áááºážá¡áá ááá·áºááŸááºážááŒá±á¡á¬ážááŒáá·áº malware 85% ááẠcommand ááŸáá·áº control channel áá áºáá¯áááºáá±á¬ááºááẠDNS ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá·áºááœááºáááºáá²ááá¯á· malware áá»á¬ážá¡ááœááºááá°ááá·áºááœááºážááá¯ááºááá·áºá¡ááŒáẠdata áá»á¬ážááá¯ááá¯ážáá°ááá¯ááºá á±áá«áááºá á áááºáááºáá±á¬ááºáá»áááºááŸá áá DNS á¡ááœá¬ážá¡áá¬ááᯠááŒá®ážááŒá®ážáá¬ážáá¬áž áá¯ááºááŸááºááá¬ážáá² NGFW áá¯á¶ááŒá¯á¶áá±ážááá¹ááá¬ážáá»á¬ážááŒáá·áº á¡ááœááºááá° ááœá²ááŒááºážá áááºááŒá¬ááá¯ááºáááºá
DNS á¡ááœáẠáááá¯ááá¯áá±á¬á¡áá áºáá»á¬ážááẠDNS áá»áááºáááºááŸá¯áá»á¬ážá áá»áŸáá¯á·ááŸááºááŸá¯ááᯠááá¯ážááŒáŸáá·áºáááºá¡ááœáẠáááºááœááºá ááœááºáá±á«áºáá¬ááŒááºážááŒá áºáááºá áááºážááá¯á·ááᯠáŠážáá±á¬ááºááá±á¬ááºáá¬áá±á¬ááºážáá»áá°áá»á¬ážááŸáá·áº á¡ááŒá¬ážáá±á¬á·ááºáá²áá±á¬ááºážáá»áá°áá»á¬ážá០áááºááŒáœá áœá¬áá¶á·ááá¯ážáá±ážáá«áááºá áá¯ááºááŸááºáá¬ážáá±á¬ DNS áááºážááŒá±á¬ááºážááẠáááŒá¬áá®ááœáẠáá±á¬áºááá¯ááááºááœááºáááºáá»á¬ážááœáẠá áááºááŒá®ážááœá¬ážáá¬áá«áááºá áááááá¬áá»á¬ážááŒáá·áº áá±á¬ááºážá áœá¬ááœá²ááŒááºážá áááºááŒá¬ááŒá®áž ááŒá±ááŸááºážááá¬ážáá±á¬ áá¯ááºááŸááºáá¬ážáá±á¬ DNS áááºážááŒá±á¬ááºážááẠáá¯áá¹ááá®áá áºáá¯á¡ááœáẠáá¯á¶ááŒá¯á¶áá±ážá¡áá¹ááá¬ááºááŒá áºá á±áááºá á¥ááá¬á¡á¬ážááŒáá·áºá ááá¯ááá¯á·áá±á¬ááŒáááºážááŒá±á¬ááºááŸá¯ááẠáá¯ááºááŸááºááŒááºážáá±á¬á·áá»á¬ážáá²ááŸááºááẠDNS ááá¯á¡áá¯á¶ážááŒá¯ááá·áº cryptolockers ááŒá áºáááºá ááá¯á¡áá« ááá¯ááºááá¯ááºáá°áá»á¬ážááẠááá·áºáá±áá¬ááᯠááŒááºáááºááá°ááẠáá±á«áºáá¬áááºážáá±á«ááºážáá»á¬ážá áœá¬ ááœá±ážáá¯ááºááá¯ážááᯠáá±á¬ááºážááá¯áá±ááŒáááºá á¥ááá¬á¡á¬ážááŒáá·áº Garmin ááẠ$10 million áá±ážáá²á·áááºá
á áá áºááá»ááŒááºáááºáááºááŸááºáá¬ážááá·áºá¡áá« NGFW áá»á¬ážááẠDNS-over-TLS (DoT) á¡áá¯á¶ážááŒá¯ááŸá¯ááᯠááŒááºážááá¯áẠááá¯á·ááá¯áẠáá¬ááœááºááá¯ááºááŒá®áž DNS-over-HTTPS (DoH) á¡áá¯á¶ážááŒá¯ááŸá¯ááᯠááŒááºážáááºáááºá ááá·áºááœááºáááºáá±á«áºááŸá DNS á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠááœá²ááŒááºážá áááºááŒá¬ááẠááœáá·áºááŒá¯ááá¯ááºáááºá
áá¯ááºááŸááºáá¬ážáá±á¬ DNS ááá¯áááºááŸá¬ á¡áááºáááºážá
DNS ááá¯áá¬áá¬áá²
Domain Name System (DNS) ááẠáá°áá¬ážáááºááá¯ááºáá±á¬ ááá¯ááááºážá¡áááºáá»á¬ážááᯠááŒá±ááŸááºážáá±ážááẠ(á¥ááá¬á ááááºá
á¬
DNS á á¯á¶á ááºážáá±ážááŒááºážáá»ááºáá»á¬ážááŸáá·áº áá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠááá¯ážááŸááºážáá±á¬á á¬áá¬ážááŒáá·áº ááœááºáááºáá áºáá»áŸá±á¬áẠáá±ážááá¯á·áááºá áá¯ááºááŸááºááá¬ážáá²á áááºážááẠáá°áá»áŸáá¯áá¯ááºááŒááºáž ááá¯á·ááá¯áẠáá¯á¶á·ááŒááºááŸá¯ááᯠááŒá±á¬ááºážáá²ááŒááºážááŸáá·áº ááá±á¬ááºáá¬á¡á¬áž á¡áá¹ááá¬ááºááŸááá±á¬ áá¬áá¬áá»á¬ážááá¯á· ááŒááºááœáŸááºážááẠá¡á¬ážáááºážá á±áááºá DNS áá¯ááºááŸááºááŒááºážááẠáá¯ááºááœáŸáá·áºáá±á ááºá¡ááœááºáž DNS áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠááŒá±áá¬áá¶ááẠááá¯á·ááá¯áẠááŒá±á¬ááºážáá²ááẠáááºáá²á á±áááºá DNS áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááŸáá·áº áá¯á¶á·ááŒááºááŸá¯áá»á¬ážááᯠáá¯ááºááŸááºááŒááºážááẠááá¯ážáᬠplaintext DNS (Domain Name System) áááá¯ááá¯áá±á¬áá²á·ááá¯á· áá°áá®áá±á¬áá¯ááºáá±á¬ááºááá¯ááºá áœááºážááᯠáá¯ááºáá±á¬ááºáá±á áẠMan-in-the-Middle ááá¯ááºááá¯ááºááŸá¯áá»á¬ážá០ááá·áºááᯠáá¬ááœááºáá±ážáá«áááºá
ááœááºáá²á·ááá·áºááŸá áºá¡áááºážáááºá¡ááœááºážá DNS áá¯ááºááŸááºááŒááºáž áááá¯ááá¯áá±á¬ááŸá áºáá¯ááᯠááááºáááºáá²á·áááº-
-
DNS-over-HTTPS (DoH)
-
DNS-over-TLS (DoT)
á€áááá¯ááá¯áá±á¬áá»á¬ážááœáẠáá°áá®áá±á¬á¡áá¬áá áºáá¯ááŸááááº- áááºážááá¯á·ááẠááŒá¬ážááŒááºááá·áºáá¬ážááŒááºážá០DNS áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááááºááᬠááŸááºáá¬ážáááº... ááŸáá·áº á¡ááœá²á·á¡á ááºážá áá¯á¶ááŒá¯á¶áá±ážá¡á á±á¬áá·áºáá»á¬ážáá¶ááŸáááºáž ááŸááºáá¬ážáááºá áááá¯ááá¯áá±á¬áá»á¬ážááẠáá¯á¶ááŸááºááá¯ááºáá±á¬ DNS áááºážááŒá±á¬ááºážá¡ááœáẠáá¯á¶ááŸááºá¡áá¯á¶ážáááŒá¯áá±á¬ ááá¯á·ááºáá áºáá¯áá±á«áºááŸá áááá¯ááºážááá·áºáá áºáá¯á០á á¯á¶á ááºážáá±ážááŒááºážááŸá¯áá»á¬ážááŒá¯áá¯ááºááá·áº client ááŸáá·áº DNS áá±ážááŒááºážááŸá¯áá»á¬ážááᯠááŒá±ááŸááºážááá·áºáá¬áá¬ááŒá¬ážááœáẠáá¯ááºááŸááºáá¬ážáá±á¬áá»áááºáááºááŸá¯áá áºáá¯áááºáá±á¬ááºááẠáááá¯ááá¯áá±á¬áá»á¬ážááẠTLS (áááºáá°ááá¯á·áá±á¬ááºáá±ážá¡ááœáŸá¬áá¯á¶ááŒá¯á¶áá±áž) ááᯠá¡áááá¡áá¯á¶ážááŒá¯áááºá
DNS á á¯á¶á ááºážááŸá¯áá»á¬ážá áá»áŸáá¯á·ááŸááºáá¬ážááŸá¯ááẠá€áááá¯ááá¯áá±á¬áá»á¬ážá ááŒá®ážáá¬ážáá±á¬áá±á«ááºážá ááºááŸá¯áá áºáá¯ááŒá áºáááºá ááá¯á·áá±á¬áºáááºáž áááºážááá¯á·ááẠááœááºáááºá¡ááœá¬ážá¡áá¬ááᯠá á±á¬áá·áºááŒáá·áºáᬠá¡áá¹ááá¬ááºááŸááá±á¬ áááºááœááºááŸá¯áá»á¬ážááᯠááŸá¬ááœá±ááŒá®áž ááááºááá¯á·áááá·áº áá¯á¶ááŒá¯á¶áá±ážá¡á á±á¬áá·áºáá»á¬ážá¡ááœáẠááŒá¿áá¬áá»á¬áž ááŒá áºáá±á«áºá á±áááºá áááá¯ááá¯áá±á¬áá»á¬ážááẠáááºážááá¯á·á á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯ááœáẠááœá²ááŒá¬ážáá±á¬ááŒá±á¬áá·áºá ááœá²ááŒááºážá áááºááŒá¬ááŸá¯áááºážáááºážáá»á¬ážááẠDoH ááŸáá·áº DoT á¡ááŒá¬áž ááœá²ááŒá¬ážáááºááŒá áºáááºá
HTTPS (DoH) áá»á±á¬áº DNS
HTTPS á¡ááœááºážááŸá DNS
DoH ááẠHTTPS á¡ááœáẠáá°áááá»á¬ážáá±á¬ ááá¯á·áẠ443 ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž RFC ááẠ"áá°áá®áá±á¬áá»áááºáááºááŸá¯ááœáẠá¡ááŒá¬áž HTTPS á¡ááœá¬ážá¡áá¬ááŸáá·áº DoH á¡ááœá¬ážá¡áá¬ááᯠáá±á¬ááŸá±á¬áááº" áá°áá±á¬ áááºááœááºáá»ááºááŒáá·áº "DNS á¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒááºážá
áááºááŒá¬ááẠáááºáá²á
á±áááº" ááŸáá·áº áá±á¬áºááá¯ááááºááááºážáá»á¯ááºááŸá¯áá»á¬ážááᯠááŸá±á¬ááºááááºážááẠáááºááœááºáá¬ážáááºá (
DoH ááŸáá·áºáááºá ááºáá±á¬á¡áá¹ááá¬ááºáá»á¬áž
DoH áá±á¬ááºážááá¯ááŸá¯áá»á¬ážá០áá¯á¶ááŸáẠHTTPS á¡ááœá¬ážá¡áá¬ááᯠááœá²ááŒá¬ážááááá«áá ááá·áºá¡ááœá²á·á¡á ááºážá¡ááœááºážááŸá á¡ááá®áá±ážááŸááºážáá»á¬ážááẠDoH áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºááá·áº ááŒááºááá¬áá¬áá»á¬ážááá¯á· áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŒááºáááºááœáŸááºážáá±ážááŒááºážááŒáá·áºá áááºáá¡ááœá²á·á¡á ááºážá¡ááœááºážááŸá á¡ááá®áá±ážááŸááºážáá»á¬ážááẠDoH áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠáá¯á¶á·ááŒááºááá·áº ááŒááºááá¬áá¬áá»á¬ážááá¯á· áááºážááŒá±á¬ááºážááœá²áá±ážááŒááºážááŒáá·áºá DNS áááºážááŒá±á¬ááºážááᯠááááºážáá»á¯ááºáá«á á¡áá±á¬ááºážáá¯á¶ážááá±á¬á· HTTPS áá¯ááºááŸááºááŒááºážáá¯ááºáá±á¬ááºáá»ááºááœá±ááᯠá¡áá¯á¶ážááŒá¯ááŒá®áž DoH ááᯠááááºážáá»á¯ááºááá·áºáá«áááºá
Ð
DoH á¡ááœá¬ážá¡áá¬ááᯠááŒááºááá¯ááºá áœááºážááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá±áá»á¬á á±ááŒááºážá
DoH ááááºážáá»á¯ááºááŸá¯á¡ááœáẠá¡áá±á¬ááºážáá¯á¶ážááŒá±ááŸááºážáá»ááºá¡áá±ááŒáá·áº HTTPS á¡ááœá¬ážá¡áá¬ááᯠáá¯ááºááŸááºáááºááŸáá·áº DoH á¡ááœá¬ážá¡áᬠ(á¡ááá®áá±ážááŸááºážá¡áááº- dns-over-https).
áŠážá
áœá¬á á¡ááá¯á¡á NGFW ááẠHTTPS ááᯠáá¯ááºááŸááºááẠááŒááºáááºáá¬ážááŒá±á¬ááºáž áá±áá»á¬áá«á
á±á
áá¯áááá á¡á±á¬ááºáá±á¬áºááŒáá«á¡ááá¯ááºáž á¡ááá®áá±ážááŸááºážá¡ááœá¬ážá¡áᬠ"dns-over-https" á¡ááœáẠá ááºážáá»ááºážáá áºáᯠáááºáá®ážáá«á
DNS-over-HTTPS ááá¯ááááºááá¯á·ááẠPalo Alto Networks NGFW á ááºážáá»ááºáž
ááŒá¬ážááŒááºá¡ááŒá¬ážááœá±ážáá»ááºá
áá¬áá
áºáá¯á¡áá±ááŒáá·áº (áááºáá¡ááœá²á·á¡á
ááºážááẠHTTPS áá¯ááºááŸááºááŒááºážááᯠá¡ááŒáá·áºá¡áá¡áá±á¬ááºá¡áááºááá±á¬áºáá«á)á NGFW ááẠ"dns-over-https" á¡ááºááºá¡áá¯ááºáá®ááá¯á· "ááŒááºážááá¯ááŒááºáž" áá¯ááºáá±á¬ááºáá»ááºááᯠá¡áá¯á¶ážááŒá¯ááẠNGFW ááᯠááŒááºáááºáááºááŸááºááá¯ááºáá±á¬áºáááºáž á¡áá»áá¯ážáááºáá±á¬ááºááŸá¯á¡áá»áá¯á·ááᯠááááºááá¯á·áááºá¡ááœáẠááá·áºáááºáá¬ážáááºááŒá
áºáááºá DoH áá¬áá¬áá»á¬ážááᯠáááºážááá¯á·á ááá¯ááááºážá¡áááºááŒáá·áº áááá¬ážáá±á¬ááŒá±á¬áá·áº HTTPS áá¯ááºááŸááºááŒááºážáááŸááá² DoH á¡ááœá¬ážá¡áá¬ááᯠá¡ááŒáá·áºá¡á á
á
áºáá±ážááá¯ááºááẠááá¯ááºáá« (ááŒáá·áºááŸá¯áá«á
TLS (DoT) áá»á±á¬áº DNS
TLS á¡ááœááºážááŸá DNS
DoH áááá¯ááá¯áá±á¬ááẠáá°áá®áá±á¬ááááºáááºážááŸá á¡ááŒá¬ážá¡ááœá¬ážá¡áá¬áá»á¬ážááŸáá·áº áá±á¬ááŸá±á¬áá±á·ááŸááá±á¬áºáááºážá DoT ááẠá¡ááá¯áá«áá
áºáá¯áááºážáá±á¬áááºááœááºáá»ááºá¡ááœáẠáá®ážááá·áºááááºáááºážááᯠá¡áá¯á¶ážááŒá¯ááẠáá¯á¶áá±áááºááŸááºáá¬ážááŒá®áž áá°áá®áá±á¬ááááºáááºážááᯠááá¯ážáá¬áá¯ááºááá¬ážáá±á¬ DNS á¡ááœá¬ážá¡áá¬á០á¡áá¯á¶ážááŒá¯ááŒááºážá០áá¬ážááŒá
áºáá¬ážááẠ(
DoT áááá¯ááá¯áá±á¬ááẠáá°áááá»á¬ážáá±á¬ ááá¯á·áẠ853 (ááá¯á·) á¡áá¯á¶ážááŒá¯á ááœá¬ážáá¬ááŸá¯ááŸáá·áºá¡áá° á
ᶠDNS áááá¯ááá¯áá±á¬ áá±ážááŒááºážáá»ááºáá»á¬ážááᯠáá¯á¶ážááœááºáá¬ážááá·áº áá¯ááºááŸááºááŒááºážááᯠáá¶á·ááá¯ážáá±ážááẠTLS ááᯠá¡áá¯á¶ážááŒá¯áááºá
DoT ááŸáá·áºáááºá ááºáá±á¬á¡áá¹ááá¬ááºáá»á¬áž
Google ááẠáááºážá client ááœáẠDoT ááᯠá¡áá±á¬ááºá¡áááºáá±á¬áºáá²á·áááºá
DoT á¡ááœá¬ážá¡áá¬ááᯠááŒááºááá¯ááºá áœááºážááŸáá·áº ááááºážáá»á¯ááºááŸá¯áá±áá»á¬á á±ááŒááºážá
DoT ááááºážáá»á¯ááºááŸá¯á¡ááœáẠá¡áá±á¬ááºážáá¯á¶áž á¡áá±á·á¡áá»áá·áºáá áºáá¯á¡áá±ááŒáá·áº ááá·áºá¡ááœá²á·á¡á ááºážá ááá¯á¡ááºáá»ááºáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á á¡áááºáá±á¬áºááŒáá«áá»á¬ážáá²á០áá áºáá¯áá¯ááᯠá¡ááŒá¶ááŒá¯ááá¯áááº-
-
áŠážáááºáᬠááá¯á·áẠ853 á¡ááœáẠá¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠáá¯ááºááŸááºááẠNGFW ááᯠá á®á ááºáááºááŸááºáá«á á¡ááœá¬ážá¡áá¬ááᯠáá¯ááºááŸááºááŒááºážááŒáá·áº DoT ááẠá á¬áááºážááœááºážááŸá¯ááœáá·áºááŒááºážáá²á·ááá¯á· áááºááá·áºáá¯ááºáá±á¬ááºáá»ááºááá¯áááᯠáááºá¡áá¯á¶ážááŒá¯ááá¯ááºááá·áº DNS á¡ááá®áá±ážááŸááºážáá áºáá¯á¡ááŒá Ạáá±á«áºáá¬áá«áááºá
Palo Alto Networks DNS áá¯á¶ááŒá¯á¶áá±áž DGA ááá¯ááááºážáá»á¬áž ááá¯á·ááá¯áẠááŸáááŒá®ážáá¬ážáá áºáá¯ááᯠááááºážáá»á¯ááºáááºDNS Sinkholing ááŸáá·áº anti-Spyware -
á¡ááŒá¬ážááœá±ážáá»ááºá áá¬áá áºáá¯ááŸá¬ App-ID á¡ááºáá»ááºááẠport 853 ááœáẠ'dns-over-tls' á¡ááœá¬ážá¡áá¬ááᯠáá¯á¶ážáááááºááá¯á·áá¬ážáááºááŒá áºáááºá áááºážááᯠáá¯á¶ááŸááºá¡á¬ážááŒáá·áº ááááºááá¯á·áá¬ážááŒá®áž áááºááá·áºáá¯ááºáá±á¬ááºáá»ááºáá»áŸ áááá¯á¡ááºáá« ('dns-over-tls' á¡ááá®áá±ážááŸááºáž ááá¯á·ááá¯áẠááááºáááºážá¡ááœá¬ážá¡áá¬ááᯠá¡áá°ážááœáá·áºááŒá¯ááá¬ážáá«áá áá á)á
source: www.habr.com