火狐開發者
啟動 DoH 後,系統會向使用者顯示警告,如果需要,使用者可以拒絕聯繫集中式 DoH DNS 伺服器,並返回到向提供者的 DNS 伺服器發送未加密查詢的傳統方案。 DoH 使用與特定 DoH 服務的綁定,而不是 DNS 解析器的分散式基礎設施,這可以被視為單點故障。 目前,工作是透過兩個 DNS 提供者提供的 - CloudFlare(預設)和
更改提供者或停用 DoH
讓我們回想一下,DoH 可用於防止透過提供者的 DNS 伺服器洩漏有關所請求主機名稱的資訊、對抗 MITM 攻擊和 DNS 流量欺騙(例如,在連接到公共 Wi-Fi 時)、對抗 DNS 阻塞如果無法直接存取DNS 伺服器(例如,透過代理程式工作時),DoH 無法在繞過DPI 層級實施的封鎖方面取代VPN)或用於組織工作。 如果在正常情況下 DNS 請求直接傳送到系統設定中定義的 DNS 伺服器,那麼在 DoH 的情況下,確定主機 IP 位址的請求將封裝在 HTTPS 流量中並傳送到 HTTP 伺服器,解析器在其中處理透過Web API 發出請求。 現有的DNSSEC標準僅使用加密來驗證客戶端和伺服器,但不能保護流量不被攔截,也不能保證請求的機密性。
若要選擇 Firefox 中提供的 DoH 供應商,
應謹慎使用 DoH。 例如,在俄羅斯聯邦,IP 位址 104.16.248.249 和 104.16.249.249 與 Firefox 中提供的預設 DoH 伺服器 mozilla.cloudflare-dns.com 關聯,
衛生部還可能在諸如家長控制系統、訪問公司係統中的內部名稱空間、內容交付優化系統中的路由選擇以及在打擊非法內容分發和利用非法內容方面遵守法院命令等領域造成問題。未成年人。 為了避免此類問題,我們實作並測試了一個檢查系統,該系統會在某些條件下自動停用 DoH。
為了識別企業解析器,會檢查非典型的一階域 (TLD),系統解析器會傳回 Intranet 位址。 為了確定是否啟用了家長控制,會嘗試解析名稱 exampleadultsite.com,如果結果與實際 IP 不匹配,則認為成人內容阻止在 DNS 層級處於活動狀態。 Google 和 YouTube IP 位址也會作為標誌進行檢查,以查看它們是否已被restrict.youtube.com、forcesafesearch.google.com 和restrictmoderate.youtube.com 取代。 這些檢查允許控制解析器操作或能夠幹擾流量的攻擊者模擬此類行為以停用 DNS 流量加密。
透過單一 DoH 服務工作也可能導致使用 DNS 平衡流量的內容分發網路中的流量最佳化問題(CDN 網路的 DNS 伺服器會考慮解析器位址產生回應,並提供最近的主機來接收內容)。 從此類 CDN 中最接近使用者的解析器發送 DNS 查詢會導致傳回最接近使用者的主機位址,但從集中式解析器發送 DNS 查詢將傳回最接近 DNS-over-HTTPS 伺服器的主機位址。 實踐測試表明,在使用CDN 時使用DNS-over-HTTP 幾乎不會導致內容傳輸開始前出現任何延遲(對於快速連接,延遲不會超過10 毫秒,在慢速通訊通道上甚至可以觀察到更快的性能) )。 也考慮使用 EDNS 客戶端子網擴充來向 CDN 解析器提供客戶端位置資訊。
來源: opennet.ru