Kuzatish Google kompaniyasi Chrome brauzeri uchun ishlab chiqilayotgan “HTTPS orqali DNS” (DoH, HTTPS orqali DNS) ilovasini sinab ko‘rish bo‘yicha tajriba o‘tkazish niyati haqida. 78-oktabrga rejalashtirilgan Chrome 22 sukut bo‘yicha ba’zi foydalanuvchilar toifalariga ega bo‘ladi DoH dan foydalanish. DoHni yoqish uchun tajribada faqat joriy tizim sozlamalari DoH bilan mos deb tan olingan ba'zi DNS provayderlarini ko'rsatgan foydalanuvchilar ishtirok etadilar.
DNS provayderlarining oq ro'yxati o'z ichiga oladi Google (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, Clean (149.112.112.112.row), 185.228.168.168.row . 185.228.169.168, 185.222.222.222) va DNS.SB (185.184.222.222, XNUMX). Agar foydalanuvchining DNS sozlamalari yuqorida qayd etilgan DNS serverlaridan birini belgilasa, Chrome'dagi DoH sukut bo'yicha faollashtiriladi. Mahalliy Internet-provayder tomonidan taqdim etilgan DNS serverlaridan foydalanadiganlar uchun hamma narsa o'zgarishsiz qoladi va tizimni hal qiluvchi DNS so'rovlari uchun foydalanishda davom etadi.
Firefox-da DoH-ni joriy qilishdan muhim farq, bu asta-sekin DoH-ni sukut bo'yicha yoqdi allaqachon sentyabr oyining oxirida, bitta DoH xizmatiga ulanishning yo'qligi. Agar sukut bo'yicha Firefox-da bo'lsa CloudFlare DNS serveri, keyin Chrome DNS provayderini o'zgartirmasdan DNS bilan ishlash usulini faqat ekvivalent xizmatga yangilaydi. Misol uchun, agar foydalanuvchi tizim sozlamalarida ko'rsatilgan DNS 8.8.8.8 bo'lsa, Chrome shunday qiladi Google DoH xizmati (“https://dns.google.com/dns-query”), agar DNS 1.1.1.1 bo'lsa, u holda Cloudflare DoH xizmati (“https://cloudflare-dns.com/dns-query”) va
Agar so'ralsa, foydalanuvchi "chrome://flags/#dns-over-https" sozlamasidan foydalanib, DoH-ni yoqishi yoki o'chirib qo'yishi mumkin. Uchta ish rejimi qo'llab-quvvatlanadi: xavfsiz, avtomatik va o'chirilgan. "Xavfsiz" rejimda xostlar faqat oldindan keshlangan xavfsiz qiymatlar (xavfsiz ulanish orqali olingan) va DoH orqali so'rovlar asosida aniqlanadi; oddiy DNS-ga qaytish qo'llanilmaydi. "Avtomatik" rejimda, agar DoH va xavfsiz kesh mavjud bo'lmasa, ma'lumotlarni xavfsiz keshdan olish va an'anaviy DNS orqali kirish mumkin. "O'chirish" rejimida birinchi navbatda umumiy kesh tekshiriladi va agar ma'lumot bo'lmasa, so'rov tizim DNS orqali yuboriladi. Rejim orqali o'rnatiladi kDnsOverHttpsMode , va kDnsOverHttpsTemplates orqali server xaritalash shablonini.
DoH-ni yoqish tajribasi Chrome-da qo'llab-quvvatlanadigan barcha platformalarda amalga oshiriladi, Linux va iOS-dan tashqari, rezolyutsiya sozlamalarini tahlil qilish va tizim DNS sozlamalariga kirishni cheklashning ahamiyatsizligi sababli. Agar DoH-ni yoqgandan so'ng, DoH serveriga so'rovlarni yuborishda muammolar yuzaga kelsa (masalan, uning bloklanishi, tarmoq ulanishi yoki ishlamay qolishi sababli), brauzer avtomatik ravishda tizimning DNS sozlamalarini qaytaradi.
Tajribaning maqsadi DoH ning amalga oshirilishini yakuniy sinovdan o'tkazish va DoH dan foydalanishning ishlashga ta'sirini o'rganishdir. Shuni ta'kidlash kerakki, aslida DoH qo'llab-quvvatlagan Fevral oyida Chrome kod bazasiga kiring, lekin DoHni sozlash va yoqish uchun Chrome-ni maxsus bayroq va noaniq variantlar to'plami bilan ishga tushirish.
Eslatib o'tamiz, DoH provayderlarning DNS serverlari orqali so'ralgan xost nomlari haqidagi ma'lumotlarning sizib chiqishini oldini olish, MITM hujumlari va DNS trafigini aldash (masalan, umumiy Wi-Fi tarmog'iga ulanishda), DNS blokirovkasiga qarshi kurashish uchun foydali bo'lishi mumkin. darajasida (DoH DPI darajasida amalga oshirilgan blokirovkani chetlab o'tish sohasida VPN o'rnini bosa olmaydi) yoki DNS serverlariga to'g'ridan-to'g'ri kirish imkoni bo'lmasa (masalan, proksi-server orqali ishlashda) ishlarni tashkil qilish uchun. Agar normal holatda DNS so'rovlari to'g'ridan-to'g'ri tizim konfiguratsiyasida belgilangan DNS serverlariga yuborilsa, DoH holatida xostning IP-manzilini aniqlash so'rovi HTTPS trafigiga qamrab olinadi va HTTP serveriga yuboriladi, bu erda hal qiluvchi qayta ishlanadi. Web API orqali so'rovlar. Mavjud DNSSEC standarti faqat mijoz va serverni autentifikatsiya qilish uchun shifrlashdan foydalanadi, lekin trafikni ushlab qolishdan himoya qilmaydi va so'rovlarning maxfiyligini kafolatlamaydi.
Manba: opennet.ru