فائر فاکس ڊولپرز
DoH کي چالو ڪرڻ کان پوءِ، صارف کي ھڪ خبرداري ڏيکاري ويندي آھي، جيڪا اجازت ڏئي ٿي، جيڪڏھن گھري ٿي، مرڪزي DoH DNS سرورز سان رابطو ڪرڻ کان انڪار ڪرڻ ۽ مهيا ڪندڙ جي DNS سرور ڏانھن غير انڪريپ ٿيل سوالن کي موڪلڻ جي روايتي اسڪيم ڏانھن موٽڻ جي اجازت ڏئي ٿي. DNS حل ڪندڙن جي ورهايل انفراسٽرڪچر جي بدران، DoH هڪ مخصوص DoH سروس لاءِ پابند استعمال ڪري ٿو، جنهن کي سمجهي سگهجي ٿو ناڪاميءَ جو هڪ واحد نقطو. في الحال، ڪم ٻن DNS فراهم ڪندڙن جي ذريعي پيش ڪيو ويو آهي - CloudFlare (ڊفالٽ) ۽
فراهم ڪندڙ کي تبديل ڪريو يا DoH کي غير فعال ڪريو
اچو ته ياد ڏياريون ته DoH مهيا ڪندڙن جي DNS سرورز ذريعي درخواست ڪيل ميزبان نالن بابت معلومات جي ليڪ کي روڪڻ لاءِ ڪارائتو ٿي سگهي ٿو، MITM حملن کي منهن ڏيڻ ۽ DNS ٽرئفڪ جي اسپفنگ (مثال طور، جڏهن عوامي وائي فائي سان ڳنڍڻ)، ڊي اين ايس تي بلاڪنگ کي منهن ڏيڻ. سطح (DoH DPI سطح تي لاڳو ٿيل بلاڪنگ بائي پاسنگ جي علائقي ۾ VPN کي تبديل نٿو ڪري سگهي) يا ڪم کي منظم ڪرڻ لاءِ جيڪڏهن اهو ناممڪن آهي ته سڌي طرح DNS سرور تائين رسائي حاصل ڪرڻ (مثال طور، جڏهن پراڪسي ذريعي ڪم ڪري). جيڪڏهن عام صورتحال ۾ DNS درخواستون سڌو سنئون DNS سرورز ڏانهن موڪليا وڃن ٿيون جيڪي سسٽم جي ترتيب ۾ بيان ڪيل آهن، پوء DoH جي صورت ۾، ميزبان جي IP پتي کي طئي ڪرڻ جي درخواست HTTPS ٽرئفڪ ۾ شامل ڪئي وئي آهي ۽ HTTP سرور ڏانهن موڪليو ويو آهي، جتي حل ڪندڙ عمل ڪندو آهي. درخواستون ويب API ذريعي. موجوده DNSSEC معيار صرف ڪلائنٽ ۽ سرور جي تصديق ڪرڻ لاءِ انڪرپشن استعمال ڪري ٿو، پر ٽرئفڪ کي مداخلت کان نٿو بچائي ۽ درخواستن جي رازداري جي ضمانت نٿو ڏئي.
فائر فاکس ۾ پيش ڪيل DoH مهيا ڪندڙن کي چونڊڻ لاءِ،
DoH احتياط سان استعمال ڪيو وڃي. مثال طور، روسي فيڊريشن ۾، IP پتي 104.16.248.249 ۽ 104.16.249.249 ڊفالٽ DoH سرور سان لاڳاپيل آهن mozilla.cloudflare-dns.com فائر فاکس ۾ پيش ڪيل،
DoH انهن علائقن ۾ پڻ مسئلا پيدا ڪري سگهي ٿو جهڙوڪ والدين ڪنٽرول سسٽم، ڪارپوريٽ سسٽم ۾ اندروني نالن تائين رسائي، مواد جي ترسيل اصلاح واري نظام ۾ رستي جي چونڊ، ۽ غير قانوني مواد جي ورڇ کي منهن ڏيڻ جي ميدان ۾ عدالتي حڪمن جي تعميل ۽ استحصال. نابالغ اهڙين مسئلن کي روڪڻ لاء، هڪ چيڪ سسٽم لاڳو ڪيو ويو آهي ۽ آزمائشي آهي جيڪو خودڪار طور تي DoH کي ڪجهه حالتن ۾ غير فعال ڪري ٿو.
انٽرپرائز حل ڪندڙ کي سڃاڻڻ لاءِ، غير معمولي فرسٽ-ليول ڊومينز (TLDs) چيڪ ڪيا ويندا آهن ۽ سسٽم حل ڪندڙ انٽرنيٽ ايڊريس موٽائي ٿو. اهو طئي ڪرڻ لاءِ ته ڇا والدين ڪنٽرول فعال آهن، هڪ ڪوشش ڪئي وئي آهي حل ڪرڻ جي نالي جو مثال exampleadultsite.com ۽ جيڪڏهن نتيجو اصل IP سان نه ٿو ملي، اهو سمجهيو وڃي ٿو ته بالغ مواد بلاڪ ڪرڻ DNS سطح تي سرگرم آهي. گوگل ۽ يوٽيوب جي IP پتي کي پڻ نشانين طور چيڪ ڪيو ويو آهي ته ڇا اهي restrict.youtube.com،forceafesearch.google.com ۽ restrictmoderate.youtube.com سان تبديل ڪيا ويا آهن. اهي چيڪ حملي ڪندڙن کي اجازت ڏين ٿا جيڪي حل ڪندڙ جي آپريشن کي ڪنٽرول ڪن ٿا يا ٽرئفڪ سان مداخلت ڪرڻ جي قابل آهن اهڙي رويي کي نقل ڪرڻ لاءِ DNS ٽرئفڪ جي انڪرپشن کي غير فعال ڪرڻ لاءِ.
هڪ واحد DoH سروس ذريعي ڪم ڪرڻ سان شايد مواد جي ترسيل نيٽ ورڪن ۾ ٽرئفڪ جي اصلاح سان مسئلا پيدا ٿي سگهن ٿا جيڪي DNS استعمال ڪندي ٽرئفڪ کي بيلنس ڪن ٿا (CDN نيٽ ورڪ جو DNS سرور هڪ جواب پيدا ڪري ٿو جيڪو حل ڪندڙ ايڊريس کي مدنظر رکي ٿو ۽ مواد حاصل ڪرڻ لاءِ ويجهي ميزبان مهيا ڪري ٿو). اهڙي CDNs ۾ استعمال ڪندڙ جي ويجھو حل ڪندڙ کان DNS سوال موڪلڻ جي نتيجي ۾ صارف جي ويجھي ميزبان جو پتو موٽايو ويندو، پر مرڪزي حل ڪندڙ کان DNS سوال موڪلڻ سان ھوسٽ ايڊريس واپس ايندي DNS-over-HTTPS سرور جي ويجھو. . عملي طور تي جاچ پڌرو ٿيو ته DNS-over-HTTP جو استعمال جڏهن CDN استعمال ڪندي مواد جي منتقلي جي شروعات کان اڳ عملي طور تي ڪا به دير نه ڪئي (تيز ڪنيڪشن لاءِ، دير 10 ملي سيڪنڊن کان وڌيڪ نه هئي، ۽ اڃا به تيز ڪارڪردگي سست ڪميونيڪيشن چينلز تي ڏسڻ ۾ آئي. ). EDNS ڪلائنٽ سبنيٽ ايڪسٽينشن جو استعمال پڻ CDN حل ڪندڙ کي ڪلائنٽ جي جڳھ جي معلومات مهيا ڪرڻ تي غور ڪيو ويو.
جو ذريعو: opennet.ru