Pamekar Firefox
Saatos ngaktipkeun DoH, peringatan dipintonkeun ka pangguna, anu ngamungkinkeun, upami hoyong, nolak ngahubungi server DNS DoH anu terpusat sareng uih deui ka skéma tradisional pikeun ngirim patarosan anu teu énkripsi ka server DNS panyadia. Gantina hiji infrastruktur disebarkeun DNS resolvers, DoH ngagunakeun mengikat ka layanan DoH husus, nu bisa dianggap titik tunggal gagal. Ayeuna, karya ditawarkeun ngaliwatan dua panyadia DNS - CloudFlare (standar) jeung
Ganti panyadia atanapi nonaktipkeun DoH
Hayu urang émut yén DoH tiasa mangpaat pikeun nyegah bocor inpormasi ngeunaan nami host anu dipénta ngalangkungan server DNS panyadia, merangan serangan MITM sareng spoofing lalu lintas DNS (contona, nalika nyambungkeun ka Wi-Fi umum), ngalawan blokir dina DNS. tingkat (DoH teu bisa ngaganti VPN di wewengkon bypassing meungpeuk dilaksanakeun di tingkat DPI) atawa pikeun pangatur pagawean lamun teu mungkin pikeun langsung ngakses server DNS (contona, nalika digawé ngaliwatan proxy). Upami dina kaayaan normal, pamundut DNS langsung dikirim ka server DNS anu ditetepkeun dina konfigurasi sistem, maka dina kasus DoH, pamenta pikeun nangtukeun alamat IP host dibungkus dina lalu lintas HTTPS sareng dikirim ka server HTTP, dimana solver prosés. requests via Web API. Standar DNSSEC anu aya nganggo enkripsi ngan ukur pikeun ngabuktoskeun kaaslianana klien sareng server, tapi henteu ngajagi lalu lintas tina interception sareng henteu ngajamin karusiahan pamundut.
Pikeun milih panyadia DoH anu ditawarkeun dina Firefox,
DoH kedah dianggo kalayan ati-ati. Salaku conto, di Féderasi Rusia, alamat IP 104.16.248.249 sareng 104.16.249.249 pakait sareng server standar DoH mozilla.cloudflare-dns.com anu ditawarkeun dina Firefox,
DoH ogé tiasa nyababkeun masalah di daérah sapertos sistem kontrol parental, aksés ka rohangan ngaran internal dina sistem perusahaan, pilihan rute dina sistem optimasi pangiriman eusi, sareng patuh kana paréntah pengadilan di daérah merangan panyebaran eusi ilegal sareng eksploitasi. budak leutik. Pikeun ngahindarkeun masalah sapertos kitu, sistem cek parantos dilaksanakeun sareng diuji anu otomatis nganonaktipkeun DoH dina kaayaan anu tangtu.
Pikeun ngaidentipikasi solvers perusahaan, domain tingkat kahiji atypical (TLDs) dipariksa sareng solver sistem mulihkeun alamat intranet. Pikeun nangtukeun naha kadali parental diaktipkeun, usaha dilakukeun pikeun ngabéréskeun nami exampleadultsite.com sareng upami hasilna henteu cocog sareng IP anu saleresna, éta dianggap yén meungpeuk eusi sawawa aktip dina tingkat DNS. Alamat IP Google sareng YouTube ogé dipariksa salaku tanda pikeun ningali upami aranjeunna parantos diganti ku restrict.youtube.com, forcesafesearch.google.com sareng restrictmoderate.youtube.com. Cék ieu ngamungkinkeun panyerang anu ngadalikeun operasi solver atanapi sanggup ngaganggu lalu lintas pikeun nyontokeun paripolah sapertos nganonaktipkeun enkripsi lalu lintas DNS.
Gawé ngaliwatan layanan DoH tunggal ogé berpotensi ngabalukarkeun masalah sareng optimasi lalulintas dina jaringan pangiriman eusi nu saimbang lalulintas ngagunakeun DNS (server DNS jaringan CDN urang ngahasilkeun respon nyokot akun alamat resolver jeung nyadiakeun host pangdeukeutna pikeun nampa eusi). Ngirim query DNS ti resolver pangdeukeutna ka pamaké dina CDNs sapertos ngakibatkeun balik alamat host pangdeukeutna ka pamaké, tapi ngirim query DNS ti resolver terpusat bakal balik alamat host pangdeukeutna ka server DNS-over-HTTPS. . Tés dina prakték nunjukkeun yén pamakean DNS-over-HTTP nalika nganggo CDN nyababkeun ampir teu aya telat sateuacan ngamimitian transfer kontén (pikeun sambungan gancang, telat henteu langkung ti 10 milliseconds, sareng kinerja anu langkung gancang dititénan dina saluran komunikasi anu laun. ). Pamakéan ekstensi Subnet Klién EDNS ogé dianggap nyayogikeun inpormasi lokasi klien ka solver CDN.
sumber: opennet.ru