Firefox dasturchilar
DoH faollashtirilgandan so'ng, foydalanuvchiga ogohlantirish ko'rsatiladi, bu agar xohlasa, markazlashtirilgan DoH DNS serverlari bilan bog'lanishni rad etish va provayderning DNS serveriga shifrlanmagan so'rovlarni yuborishning an'anaviy sxemasiga qaytish imkonini beradi. DNS-rezolyutsiyalarining taqsimlangan infratuzilmasi o'rniga, DoH ma'lum bir DoH xizmatiga bog'lanishdan foydalanadi, bu yagona nosozlik nuqtasi deb hisoblanishi mumkin. Hozirgi vaqtda ish ikkita DNS provayderi orqali taklif etiladi - CloudFlare (standart) va
Provayderni o'zgartiring yoki DoHni o'chiring
Eslatib o'tamiz, DoH provayderlarning DNS serverlari orqali so'ralgan xost nomlari haqidagi ma'lumotlarning sizib chiqishini oldini olish, MITM hujumlari va DNS trafigini aldashga qarshi (masalan, umumiy Wi-Fi tarmog'iga ulanishda), DNS blokirovkasiga qarshi kurashishda foydali bo'lishi mumkin. darajasida (DoH DPI darajasida amalga oshirilgan blokirovkani chetlab o'tish sohasida VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmasa (masalan, proksi-server orqali ishlashda) ishlarni tashkil qilish uchun. Agar normal holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DoH holatida xostning IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi, bu erda hal qiluvchi qayta ishlanadi. Web API orqali so'rovlar. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Firefox-da taqdim etilgan DoH provayderlarini tanlash uchun,
DoH ehtiyotkorlik bilan ishlatilishi kerak. Masalan, Rossiya Federatsiyasida Firefox-da taqdim etilgan standart DoH serveri mozilla.cloudflare-dns.com bilan bog'langan 104.16.248.249 va 104.16.249.249 IP manzillari,
DoH shuningdek, ota-ona nazorati tizimlari, korporativ tizimlardagi ichki nom maydonlariga kirish, kontentni etkazib berishni optimallashtirish tizimlarida marshrut tanlash va noqonuniy kontentni tarqatish va ulardan foydalanishga qarshi kurashish sohasida sud qarorlarini bajarish kabi sohalarda muammolarni keltirib chiqarishi mumkin. voyaga etmaganlar. Bunday muammolarni chetlab o'tish uchun ma'lum sharoitlarda DoHni avtomatik ravishda o'chirib qo'yadigan tekshirish tizimi joriy etildi va sinovdan o'tkazildi.
Korxona hal qiluvchilarni aniqlash uchun atipik birinchi darajali domenlar (TLD) tekshiriladi va tizim rezolyutsiyasi intranet manzillarini qaytaradi. Ota-ona nazorati yoqilganligini aniqlash uchun exampleadultsite.com nomini hal qilishga harakat qilinadi va natija haqiqiy IPga mos kelmasa, DNS darajasida kattalar uchun kontentni blokirovka qilish faol deb hisoblanadi. Google va YouTube IP-manzillari, shuningdek, cheklovlar.youtube.com, forcesafesearch.google.com va Restrictmoderate.youtube.com bilan almashtirilganligini aniqlash uchun belgi sifatida tekshiriladi. Ushbu tekshiruvlar rezolyutorning ishlashini boshqaradigan yoki trafikka aralashishga qodir bo'lgan tajovuzkorlarga DNS trafigini shifrlashni o'chirish uchun bunday xatti-harakatni simulyatsiya qilish imkonini beradi.
Yagona DoH xizmati orqali ishlash DNS-dan foydalangan holda trafikni muvozanatlashtiradigan kontent yetkazib berish tarmoqlarida trafikni optimallashtirish bilan bog'liq muammolarga ham olib kelishi mumkin (CDN tarmog'ining DNS serveri hal qiluvchi manzilni hisobga olgan holda javob ishlab chiqaradi va kontentni qabul qilish uchun eng yaqin xostni taqdim etadi). Bunday CDN-larda foydalanuvchiga eng yaqin bo'lgan rezolyutordan DNS so'rovini yuborish foydalanuvchiga eng yaqin xost manzilini qaytarishga olib keladi, ammo markazlashtirilgan hal qiluvchidan DNS so'rovini yuborish DNS-over-HTTPS serveriga eng yaqin xost manzilini qaytaradi. . Amaliyotdagi sinov shuni ko'rsatdiki, CDN-dan foydalanganda DNS-over-HTTP-dan foydalanish kontentni uzatish boshlanishidan oldin deyarli kechikishlarga olib kelmadi (tez ulanishlar uchun kechikishlar 10 millisekunddan oshmadi va sekin aloqa kanallarida undan ham tezroq ishlash kuzatildi. ). EDNS Client Subnet kengaytmasidan foydalanish CDN-resolveriga mijozning joylashuvi haqidagi ma'lumotlarni taqdim etish uchun ham ko'rib chiqildi.
Manba: opennet.ru