Firefox Geliştiricileri
DoH'yi etkinleştirdikten sonra kullanıcıya, istenirse merkezi DoH DNS sunucularıyla iletişim kurmayı reddetmesine ve sağlayıcının DNS sunucusuna şifrelenmemiş sorgular göndermeye yönelik geleneksel şemaya geri dönmesine olanak tanıyan bir uyarı görüntülenir. DoH, dağıtılmış bir DNS çözümleyici altyapısı yerine, tek bir hata noktası olarak değerlendirilebilecek belirli bir DoH hizmetine bağlanma kullanır. Şu anda, çalışma iki DNS sağlayıcısı aracılığıyla sunulmaktadır: CloudFlare (varsayılan) ve
Sağlayıcıyı değiştirin veya DoH'yi devre dışı bırakın
DoH'nin, sağlayıcıların DNS sunucuları aracılığıyla istenen ana bilgisayar adlarıyla ilgili bilgi sızıntılarını önlemek, MITM saldırıları ve DNS trafiği sahtekarlığıyla mücadele etmek (örneğin, halka açık Wi-Fi'ye bağlanırken), DNS düzeyinde (DoH) engellemeye karşı koymak için yararlı olabileceğini hatırlayın. DPI düzeyinde uygulanan engellemeyi atlama alanında VPN'in yerini alamaz) veya DNS sunucularına doğrudan erişmenin imkansız olması durumunda (örneğin, bir proxy aracılığıyla çalışırken) işi organize etmek için. Normalde DNS istekleri doğrudan sistem yapılandırmasında tanımlanan DNS sunucularına gönderilirken, DoH durumunda, ana bilgisayar IP adresini belirleme isteği HTTPS trafiği içinde kapsüllenir ve çözümleyicinin istekleri üzerinden işlediği HTTP sunucusuna gönderilir. Web API'sı. Mevcut DNSSEC standardı, şifrelemeyi yalnızca istemci ve sunucunun kimliğini doğrulamak için kullanır, ancak trafiği müdahaleye karşı korumaz ve isteklerin gizliliğini garanti etmez.
Firefox'ta sunulan DoH sağlayıcılarını seçmek için,
DoH dikkatli kullanılmalıdır. Örneğin, Rusya Federasyonu'nda, Firefox'ta sunulan varsayılan DoH sunucusu mozilla.cloudflare-dns.com ile ilişkili 104.16.248.249 ve 104.16.249.249 IP adresleri,
DoH ayrıca ebeveyn kontrol sistemleri, kurumsal sistemlerde dahili ad alanlarına erişim, içerik dağıtım optimizasyon sistemlerinde rota seçimi ve yasa dışı içerik dağıtımı ve istismarıyla mücadele alanında mahkeme kararlarına uyum gibi alanlarda da sorunlara neden olabilir. küçükler. Bu tür sorunları aşmak için DoH'yi belirli koşullar altında otomatik olarak devre dışı bırakan bir kontrol sistemi uygulandı ve test edildi.
Kurumsal çözümleyicileri tanımlamak için tipik olmayan birinci düzey alanlar (TLD'ler) kontrol edilir ve sistem çözümleyici intranet adreslerini döndürür. Ebeveyn denetimlerinin etkin olup olmadığını belirlemek için exampleadultsite.com adı çözümlenmeye çalışılır ve sonuç gerçek IP ile eşleşmiyorsa DNS düzeyinde yetişkinlere yönelik içerik engellemenin aktif olduğu kabul edilir. Google ve YouTube IP adresleri de, kısıtlama.youtube.com,forcesafesearch.google.com ve kısıtlamamoderate.youtube.com ile değiştirilip değiştirilmediğini görmek için işaret olarak kontrol edilir. Bu kontroller, çözümleyicinin çalışmasını kontrol eden veya trafiğe müdahale edebilen saldırganların, DNS trafiğinin şifrelenmesini devre dışı bırakmak üzere bu tür davranışları simüle etmelerine olanak tanır.
Tek bir DoH hizmeti üzerinden çalışmak, DNS kullanarak trafiği dengeleyen içerik dağıtım ağlarında trafik optimizasyonunda da potansiyel olarak sorunlara yol açabilir (CDN ağının DNS sunucusu, çözümleyici adresini dikkate alarak bir yanıt oluşturur ve içeriği almak için en yakın ana bilgisayarı sağlar). Bu tür CDN'lerde kullanıcıya en yakın çözümleyiciden bir DNS sorgusu göndermek, kullanıcıya en yakın ana bilgisayarın adresinin döndürülmesiyle sonuçlanır, ancak merkezi bir çözümleyiciden bir DNS sorgusunun gönderilmesi, HTTPS üzerinden DNS sunucusuna en yakın ana bilgisayar adresini döndürür. . Uygulamada yapılan testler, CDN kullanırken HTTP üzerinden DNS kullanımının içerik aktarımının başlamasından önce neredeyse hiç gecikmeye yol açmadığını gösterdi (hızlı bağlantılar için gecikmeler 10 milisaniyeyi aşmadı ve yavaş iletişim kanallarında daha da hızlı performans gözlemlendi) ). EDNS İstemci Alt Ağı uzantısının kullanımının, istemci konum bilgilerini CDN çözümleyicisine sağladığı da değerlendirildi.
Kaynak: opennet.ru