ఇష్టాలు మరియు అయిష్టాలు: HTTPS ద్వారా DNS

ఇంటర్నెట్ ప్రొవైడర్లు మరియు బ్రౌజర్ డెవలపర్‌లలో ఇటీవల "వివాదానికి సంబంధించిన ఎముక"గా మారిన HTTPS ద్వారా DNS యొక్క లక్షణాలకు సంబంధించిన అభిప్రాయాలను మేము విశ్లేషిస్తాము.

/అన్‌స్ప్లాష్/ స్టీవ్ హలామా

అసమ్మతి యొక్క సారాంశం

ఇటీవల, ప్రధాన మీడియా и నేపథ్య వేదికలు (Habrతో సహా), వారు తరచుగా HTTPS (DoH) ప్రోటోకాల్ ద్వారా DNS గురించి వ్రాస్తారు. ఇది DNS సర్వర్‌కు అభ్యర్థనలను మరియు వాటికి ప్రతిస్పందనలను గుప్తీకరిస్తుంది. ఈ విధానం వినియోగదారు యాక్సెస్ చేసే హోస్ట్‌ల పేర్లను దాచడానికి మిమ్మల్ని అనుమతిస్తుంది. ప్రచురణల నుండి మనం కొత్త ప్రోటోకాల్ (IETFలో దానిని ఆమోదించారు 2018లో) IT సంఘాన్ని రెండు శిబిరాలుగా విభజించారు.

కొత్త ప్రోటోకాల్ ఇంటర్నెట్ భద్రతను మెరుగుపరుస్తుందని మరియు తమ అప్లికేషన్లు మరియు సేవలలో దానిని అమలు చేస్తుందని సగం మంది నమ్ముతున్నారు. సాంకేతికత సిస్టమ్ అడ్మినిస్ట్రేటర్‌ల పనిని మరింత కష్టతరం చేస్తుందని మిగిలిన సగం ఒప్పించింది. తరువాత, మేము రెండు వైపుల వాదనలను విశ్లేషిస్తాము.

DoH ఎలా పనిచేస్తుంది

ISPలు మరియు ఇతర మార్కెట్ పార్టిసిపెంట్‌లు HTTPS ద్వారా DNSకి ఎందుకు అనుకూలంగా లేదా వ్యతిరేకంగా ఉన్నారో తెలుసుకునే ముందు, అది ఎలా పని చేస్తుందో క్లుప్తంగా చూద్దాం.

DoH విషయంలో, IP చిరునామాను గుర్తించాలనే అభ్యర్థన HTTPS ట్రాఫిక్‌లో ఉంటుంది. ఇది HTTP సర్వర్‌కు వెళుతుంది, ఇక్కడ ఇది APIని ఉపయోగించి ప్రాసెస్ చేయబడుతుంది. ఇక్కడ RFC 8484 నుండి ఒక ఉదాహరణ అభ్యర్థన ఉంది (పేజీ 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

అందువలన, DNS ట్రాఫిక్ HTTPS ట్రాఫిక్‌లో దాచబడుతుంది. క్లయింట్ మరియు సర్వర్ ప్రామాణిక పోర్ట్ 443 ద్వారా కమ్యూనికేట్ చేస్తాయి. ఫలితంగా, డొమైన్ నేమ్ సిస్టమ్‌కు అభ్యర్థనలు అనామకంగా ఉంటాయి.

అతను ఎందుకు ఆదరించడం లేదు?

HTTPS ద్వారా DNS వ్యతిరేకులు చెప్పండికొత్త ప్రోటోకాల్ కనెక్షన్ల భద్రతను తగ్గిస్తుంది. ద్వారా ప్రకారం DNS డెవలప్‌మెంట్ టీమ్ సభ్యుడు పాల్ విక్సీ, సిస్టమ్ అడ్మినిస్ట్రేటర్‌లకు హానికరమైన సైట్‌లను బ్లాక్ చేయడం మరింత కష్టతరం చేస్తుంది. సాధారణ వినియోగదారులు బ్రౌజర్‌లలో షరతులతో కూడిన తల్లిదండ్రుల నియంత్రణలను సెటప్ చేసే సామర్థ్యాన్ని కోల్పోతారు.

పాల్ అభిప్రాయాలను UK ఇంటర్నెట్ ప్రొవైడర్లు పంచుకున్నారు. దేశ చట్టం విధిస్తుంది నిషేధించబడిన కంటెంట్‌తో వనరుల నుండి వారిని బ్లాక్ చేయండి. కానీ బ్రౌజర్‌లలో DoH కోసం మద్దతు ట్రాఫిక్‌ను ఫిల్టర్ చేసే పనిని క్లిష్టతరం చేస్తుంది. కొత్త ప్రోటోకాల్‌ను విమర్శించేవారిలో ఇంగ్లండ్‌లోని గవర్నమెంట్ కమ్యూనికేషన్స్ సెంటర్ కూడా ఉంది (GCHQ) మరియు ఇంటర్నెట్ వాచ్ ఫౌండేషన్ (IMF), ఇది నిరోధించబడిన వనరుల రిజిస్టర్‌ను నిర్వహిస్తుంది.

హబ్రేలో మా బ్లాగులో:

• USAలో రోబోకాల్స్‌పై యుద్ధం - ఎవరు గెలిచారు మరియు ఎందుకు
• సర్వీస్ అంతరాయాలకు బ్రిటీష్ టెలికాంలు చందాదారులకు పరిహారం చెల్లిస్తాయి

HTTPS ద్వారా DNS సైబర్‌ సెక్యూరిటీ ముప్పుగా మారుతుందని నిపుణులు గమనించారు. జూలై ప్రారంభంలో, Netlab నుండి సమాచార భద్రతా నిపుణులు కనుగొన్నారు DDoS దాడులను నిర్వహించడానికి కొత్త ప్రోటోకాల్‌ను ఉపయోగించిన మొదటి వైరస్ - గాడ్లువా. మాల్వేర్ టెక్స్ట్ రికార్డ్‌లను (TXT) పొందేందుకు మరియు కమాండ్ మరియు కంట్రోల్ సర్వర్ URLలను సంగ్రహించడానికి DoHని యాక్సెస్ చేసింది.

యాంటీవైరస్ సాఫ్ట్‌వేర్ ద్వారా ఎన్‌క్రిప్టెడ్ DoH అభ్యర్థనలు గుర్తించబడలేదు. సమాచార భద్రతా నిపుణులు భయపడుతున్నారుGodlua తర్వాత ఇతర మాల్వేర్ వస్తుంది, నిష్క్రియ DNS పర్యవేక్షణకు కనిపించదు.

కానీ అందరూ దీనికి వ్యతిరేకం కాదు

అతని బ్లాగ్‌లో HTTPS ద్వారా DNS రక్షణ కోసం మాట్లాడాడు APNIC ఇంజనీర్ జియోఫ్ హ్యూస్టన్. అతని ప్రకారం, కొత్త ప్రోటోకాల్ DNS హైజాకింగ్ దాడులను ఎదుర్కోవడం సాధ్యపడుతుంది, ఇది ఇటీవల చాలా సాధారణం. ఈ నిజం నిర్ధారించారని సైబర్‌ సెక్యూరిటీ కంపెనీ FireEye నుండి జనవరి నివేదిక. పెద్ద ఐటి కంపెనీలు కూడా ప్రోటోకాల్ అభివృద్ధికి మద్దతు ఇచ్చాయి.

గత సంవత్సరం ప్రారంభంలో, DoH గూగుల్‌లో పరీక్షించడం ప్రారంభించింది. మరియు ఒక నెల క్రితం కంపెనీ సమర్పించారు దాని DoH సేవ యొక్క సాధారణ లభ్యత వెర్షన్. Googleలో ఆశిస్తున్నాము, ఇది నెట్‌వర్క్‌లోని వ్యక్తిగత డేటా యొక్క భద్రతను పెంచుతుంది మరియు MITM దాడుల నుండి రక్షిస్తుంది.

మరొక బ్రౌజర్ డెవలపర్ - మొజిల్లా - మద్దతు ఇస్తుంది గత వేసవి నుండి HTTPS ద్వారా DNS. అదే సమయంలో, కంపెనీ IT వాతావరణంలో కొత్త సాంకేతికతను చురుకుగా ప్రోత్సహిస్తుంది. ఇందుకోసం ఇంటర్నెట్ సర్వీసెస్ ప్రొవైడర్స్ అసోసియేషన్ (ISPA) నామినేట్ కూడా ఇంటర్నెట్ విలన్ ఆఫ్ ది ఇయర్ అవార్డుకు మొజిల్లా. ప్రతిస్పందనగా, కంపెనీ ప్రతినిధులు గమనించారు, టెలికాం ఆపరేటర్లు తమ కాలం చెల్లిన ఇంటర్నెట్ అవస్థాపనను మెరుగుపరచడంలో విముఖతతో విసుగు చెందారు.

/అన్‌స్ప్లాష్/ TETrebbien

మొజిల్లాకు మద్దతుగా ప్రధాన మీడియా మాట్లాడింది మరియు కొందరు ఇంటర్నెట్ ప్రొవైడర్లు. ముఖ్యంగా, బ్రిటిష్ టెలికాం వద్ద పరిగణలోకికొత్త ప్రోటోకాల్ కంటెంట్ ఫిల్టరింగ్‌ను ప్రభావితం చేయదు మరియు UK వినియోగదారుల భద్రతను మెరుగుపరుస్తుంది. ప్రజల ఒత్తిడి ISPA కింద రీకాల్ చేయాల్సి వచ్చింది "విలన్" నామినేషన్.

క్లౌడ్ ప్రొవైడర్లు కూడా ఉదాహరణకు, HTTPS ద్వారా DNSను ప్రవేశపెట్టాలని సూచించారు cloudflare. వారు ఇప్పటికే కొత్త ప్రోటోకాల్ ఆధారంగా DNS సేవలను అందిస్తున్నారు. DoHకి మద్దతిచ్చే బ్రౌజర్‌లు మరియు క్లయింట్‌ల పూర్తి జాబితా ఇక్కడ అందుబాటులో ఉంది గ్యాలరీలు.

ఏది ఏమైనప్పటికీ, రెండు శిబిరాల మధ్య ఘర్షణ ముగింపు గురించి మాట్లాడటం ఇంకా సాధ్యం కాదు. HTTPS ద్వారా DNS ప్రధాన స్రవంతి ఇంటర్నెట్ టెక్నాలజీ స్టాక్‌లో భాగమైతే, అది పడుతుంది అని IT నిపుణులు అంచనా వేస్తున్నారు. ఒక దశాబ్దానికి పైగా.

మేము మా కార్పొరేట్ బ్లాగులో ఇంకా ఏమి వ్రాస్తాము:

• ఇంటర్నెట్ ప్రొవైడర్ నెట్‌వర్క్ ఎలా నిర్మించబడింది
• ఇంటర్నెట్ ప్రొవైడర్ నెట్‌వర్క్‌లలో ప్రాథమిక సేవలు
• కన్వర్జెన్స్ మరియు ఏకీకరణ - ఒక పరికరంలో బహుళ పనులు

మూలం: www.habr.com