Маъқул ва нописандӣ: DNS тавассути HTTPS

Мо фикру ақидаҳоро дар бораи хусусиятҳои DNS тавассути HTTPS таҳлил мекунем, ки ба наздикӣ дар байни провайдерҳои интернет ва таҳиягарони браузер ба “устухони баҳс” табдил ёфтаанд.

/Unsplash/ Стив Ҳалама

Моҳияти ихтилоф

Бояд гуфт, ВАО-и асосӣ и платформаҳои мавзӯӣ (аз ҷумла Habr), онҳо аксар вақт дар бораи протоколи DNS тавассути HTTPS (DoH) менависанд. Он дархостҳоро ба сервери DNS ва посухҳоро ба онҳо рамзгузорӣ мекунад. Ин равиш ба шумо имкон медиҳад, ки номи ҳостҳоеро, ки корбар дастрас мекунад, пинҳон кунед. Аз нашрияҳо мо метавонем ба хулосае омадем, ки протоколи нав (дар IETF тасдик кард дар соли 2018) ҷомеаи IT-ро ба ду лагер тақсим кард.

Нисфи онҳо боварӣ доранд, ки протоколи нав амнияти интернетро беҳтар мекунад ва онро дар замимаҳо ва хидматҳои худ татбиқ мекунад. Нисфи дигар мӯътақид аст, ки технология танҳо кори маъмурони системаро мушкилтар мекунад. Минбаъд мо далелҳои ҳарду ҷонибро таҳлил хоҳем кард.

Чӣ тавр DoH кор мекунад

Пеш аз он ки мо бифаҳмем, ки чаро провайдерҳо ва дигар иштирокчиёни бозор аз тариқи HTTPS DNS тарафдорӣ мекунанд ё муқобиланд, биёед мухтасар дида бароем, ки он чӣ гуна кор мекунад.

Дар мавриди DoH, дархост барои муайян кардани суроғаи IP дар трафики HTTPS фаро гирифта шудааст. Он гоҳ ба сервери HTTP меравад, ки дар он бо истифода аз API коркард мешавад. Дар ин ҷо як дархости намунавӣ аз RFC 8484 (саҳифаи 6):

   :method = GET
   :scheme = https
   :authority = dnsserver.example.net
   :path = /dns-query?
           dns=AAABAAABAAAAAAAAAWE-NjJjaGFyYWN0ZXJsYWJl
           bC1tYWtlcy1iYXNlNjR1cmwtZGlzdGluY3QtZnJvbS1z
           dGFuZGFyZC1iYXNlNjQHZXhhbXBsZQNjb20AAAEAAQ
   accept = application/dns-message

Ҳамин тариқ, трафики DNS дар трафики HTTPS пинҳон аст. Мизоҷ ва сервер тавассути бандари стандартии 443 муошират мекунанд. Дар натиҷа, дархостҳо ба системаи номи домен беном боқӣ мемонанд.

Чаро ӯро дӯст намедоранд?

Мухолифони DNS аз болои HTTPS мегӯяндки протоколи нав бехатарии алокаро кам мекунад. Аз ҷониби мувофиқи Пол Викси, узви дастаи таҳияи DNS, барои маъмурони система бастани сайтҳои эҳтимолан зарароварро мушкилтар мекунад. Корбарони оддӣ қобилияти насб кардани назорати шартии волидайнро дар браузерҳо аз даст медиҳанд.

Андешаҳои Полро провайдерҳои интернетии Бритониё мубодила мекунанд. Қонунгузории кишвар вазифадор мекунад онҳоро аз захираҳои дорои мундариҷаи мамнӯъ манъ кунед. Аммо дастгирии DoH дар браузерҳо вазифаи филтр кардани трафикро мушкил мекунад. Мунаққидони протоколи нав инчунин Маркази коммуникатсияи ҳукуматии Англияро дар бар мегиранд (GCHQ) ва Фонди тамошои Интернет (ХБА), ки феҳристи захираҳои басташударо нигоҳ медорад.

Дар блоги мо дар Habré:

• Ҷанг бо зангҳои роботӣ дар ИМА - кӣ ғолиб меояд ва чаро
• Ширкатҳои телекоммуникатсионӣ ба муштариён барои қатъи хидмат ҷуброн пардохт хоҳанд кард

Коршиносон қайд мекунанд, ки DNS тавассути HTTPS метавонад як таҳдиди киберамният гардад. Дар аввали моҳи июл мутахассисони амнияти иттилоотӣ аз Netlab кашф аввалин вирусе, ки протоколи навро барои ҳамлаҳои DDoS истифода бурд - Годлуа. Нармафзори зараровар барои ба даст овардани сабтҳои матнӣ (TXT) ва истихроҷи URL-ҳои сервери фармон ва назорати DoH дастрасӣ пайдо кард.

Дархостҳои рамзгузоришудаи DoH аз ҷониби нармафзори антивирус эътироф карда нашуданд. Мутахассисони амнияти иттилоотӣ тарски пас аз Godlua дигар нармафзори зараровар меояд, ки барои мониторинги пассивии DNS ноаён.

Аммо на ҳама зидди он ҳастанд

Дар ҳифзи DNS тавассути HTTPS дар блоги худ баромад кард Муҳандиси APNIC Ҷефф Хьюстон. Ба гуфтаи ӯ, протоколи нав имкон медиҳад, ки бо ҳамлаҳои рабудани DNS, ки вақтҳои охир бештар маъмул гаштааст, мубориза барад. Ин факт тасдик мекунад Гузориши моҳи январ аз ширкати киберамният FireEye. Ширкатҳои бузурги IT низ таҳияи протоколро дастгирӣ карданд.

Дар ибтидои соли гузашта DoH дар Google озмоиш карда шуд. Ва як моҳ пеш ширкат муаррифӣ кард Версияи дастрасии умумии хидмати DoH он. Дар Google умед, ки он амнияти маълумоти шахсиро дар шабака афзоиш медиҳад ва аз ҳамлаҳои MITM муҳофизат мекунад.

Дигар таҳиягари браузер - Mozilla - дастгирӣ мекунад DNS тавассути HTTPS аз тобистони гузашта. Ҳамзамон, ширкат технологияҳои навро дар муҳити IT фаъолона пеш мебарад. Барои ин, Ассотсиатсияи провайдерҳои хидматрасонии Интернет (ISPA) хатто пешбарй кардаанд Mozilla барои ҷоизаи бадкирдори интернетии сол. Дар чавоб намояндагони ширкат қайд кард, ки аз майл надоштани операторони алоқа барои беҳбуди зерсохтори кӯҳнашудаи интернетии худ ноумед шудаанд.

/Unsplash/ ТЕТреббиен

Барои дастгирии Mozilla матбуоти асосй баромад кард ва баъзе провайдерҳои интернетӣ. Аз ҷумла, дар British Telecom баррасӣ кунедки протоколи нав ба филтркунии мундариҷа таъсир намерасонад ва амнияти корбарони Бритониёро беҳтар мекунад. Дар зери фишори ҷамъиятӣ ISPA ба хотир овардан лозим буд номзадии "бад".

Провайдерҳои абрӣ инчунин ҷорӣ кардани DNS тавассути HTTPS, масалан, ҷонибдорӣ карданд Cloudflare. Онҳо аллакай хидматҳои DNS-ро дар асоси протоколи нав пешниҳод мекунанд. Рӯйхати пурраи браузерҳо ва муштариёне, ки DoH-ро дастгирӣ мекунанд, дастрас аст GitHub.

Ба хар хол дар бораи ба охир расидани зиддиятхои байни ду лагерь сухан рондан хануз мумкин нест. Коршиносони IT пешгӯӣ мекунанд, ки агар DNS тавассути HTTPS як қисми стеки технологияи асосии интернетӣ шавад, он вақт мегирад зиёда аз як дахсола.

Дар блоги корпоративии худ мо боз чӣ менависем:

• Чӣ тавр шабакаи провайдери интернет сохта шудааст
• Хидматҳои асосӣ дар шабакаҳои провайдери интернет
• Конвергенсия ва муттаҳидшавӣ - вазифаҳои сершумор дар як дастгоҳ

Манбаъ: will.com