DNS поверх HTTPS

DNS поверх HTTPS (DoH) — экспериментальный протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа «Атака посредника»^[1]. По состоянию на март 2018 года, Google и Mozilla Foundation тестируют версии DNS по протоколу HTTPS^[2]^[3].

В дополнение к повышению безопасности ещё одна цель DNS поверх HTTPS — повысить производительность: тестирование DNS-резолверов ISP показало, что во многих случаях они имеют неожиданно медленное время отклика, что может быть дополнительно умножено на необходимость получения адресов многих доменов, например, при загрузке веб-страницы^[1].

В публично реализованной версии этого протокола Google использует HTTP GET-запросы (через HTTPS) для доступа к информации DNS с использованием кодировки DNS-запроса и параметров результата, представленных в нотации JSON^[2].

Другая аналогичная спецификация находится в статусе интернет-проекта под эгидой IETF. В этой версии протокола используются протоколы HTTP/2 и HTTPS, а исходная версия поддерживает данные ответа DNS в виде «проводного формата», которые возвращаются в существующих ответах UDP, в полезной нагрузке с HTTPS — application/dns-udpwireformat, с MIME — application/dns-udpwireformat^[4]. Если используется HTTP/2, сервер может также использовать HTTP/2-серверный push для отправки значений, которые, скорее всего, понадобятся клиенту^[4].

В июле 2019 года специалисты компании Qihoo 360 обнаружили первый в мире образец вредоносного ПО, использующий протокол DNS поверх HTTPS^[5].

DNS поверх HTTPS — общедоступные DNS-серверы[править | править код]

Реализации серверов DNS по HTTPS уже доступны бесплатно некоторыми публичными поставщиками DNS^[6]. Предлагаются три реализации для производственных услуг^[7]:

Провайдер	IP-адреса	Блокирование	Особенности
Cloudflare	1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001	нет	Конечная точка DNS поверх HTTPS^[8].
Google Public DNS	8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844	нет	Конечная точка DNS поверх HTTPS^[9].
CleanBrowsing	185.228.168.168 185.228.169.168 2a0d:2a00:1:: 2a0d:2a00:2::	Взрослый контент.	Конечная точка DNS поверх HTTPS^[10].
Adguard	176.103.130.130 176.103.130.131 2a00:5a60::ad1:0ff 2a00:5a60::ad2:0ff	Рекламный контент.	Конечная точка DNS поверх HTTPS^[11].
Quad9	9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::9	Вредоносный контент.
OpenDNS	208.67.222.222 208.67.220.220 2620:119:35::35 2620:119:53::53	нет

Поддержка клиентов[править | править код]

Firefox с версии 62 — поддержка браузера^[12]
DNSCrypt-proxy — локальный DNS → прокси DoH^[13]
doh-php-client — реализация PHP^[14]
KeeneticOS - прошивка для роутеров KEENETIC^[15]

Альтернативы[править | править код]

DNSCrypt шифрует немодифицированный трафик DNS между клиентом и DNS-резолвером для предотвращения атак типа «Атака посредника», но не прошедший процесс IETF RFC. Тогда как DNS поверх TLS описан в RFC 7858.

См. также[править | править код]

DNS поверх TLS

Примечания[править | править код]

↑ ¹ ² IETF protects privacy and helps net neutrality with DNS over HTTPS • The Register
↑ ¹ ² DNS-over-HTTPS | Public DNS | Google Developers
↑ Mozilla Is Testing «DNS over HTTPS» Support in Firefox
↑ ¹ ² draft-ietf-doh-dns-over-https-07 — DNS Queries over HTTPS
↑ ALEX.TURING, YEGENSHEN, An Analysis of Godlua Backdoor, 1 JULY 2019, netlab 360.com blog (англ.)
↑ DNS over HTTPS · curl/curl Wiki · GitHub
↑ DNS Security and Privacy — Choosing the right provider
↑ https://cloudflare-dns.com/dns-query (недоступная ссылка)
↑ https://dns.google.com
↑ https://doh.cleanbrowsing.org/doh/family-filter/ (недоступная ссылка)
↑ https://dns.adguard.com/dns-query
↑ Improving DNS Privacy in Firefox — Firefox Nightly News
↑ GitHub — jedisct1/dnscrypt-proxy: DNSCrypt Proxy — A flexible DNS proxy, with support for encrypted DNS protocols.
↑ GitHub — dcid/doh-php-client: DoH (DNS over HTTPS) PHP Client
↑ Серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов (рус.). Keenetic. Дата обращения 15 февраля 2020.

[register-1] ¹ ² IETF protects privacy and helps net neutrality with DNS over HTTPS • The Register

[google-2] ¹ ² DNS-over-HTTPS | Public DNS | Google Developers

[3] Mozilla Is Testing «DNS over HTTPS» Support in Firefox

[datatracker-4] ¹ ² draft-ietf-doh-dns-over-https-07 — DNS Queries over HTTPS

[5] ALEX.TURING, YEGENSHEN, An Analysis of Godlua Backdoor, 1 JULY 2019, netlab 360.com blog (англ.)

[6] DNS over HTTPS · curl/curl Wiki · GitHub

[7] DNS Security and Privacy — Choosing the right provider

[8] ttps://cloudflare-dns.com/dns-query (недоступная ссылка)

[9] ttps://dns.google.com

[10] ttps://doh.cleanbrowsing.org/doh/family-filter/ (недоступная ссылка)

[11] ttps://dns.adguard.com/dns-query

[12] Improving DNS Privacy in Firefox — Firefox Nightly News

[13] GitHub — jedisct1/dnscrypt-proxy: DNSCrypt Proxy — A flexible DNS proxy, with support for encrypted DNS protocols.

[14] GitHub — dcid/doh-php-client: DoH (DNS over HTTPS) PHP Client

[15] Серверы DNS-over-TLS и DNS-over-HTTPS для шифрования DNS-запросов (рус.). Keenetic. Дата обращения 15 февраля 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

DNS поверх HTTPS

Содержание

DNS поверх HTTPS — общедоступные DNS-серверы[править | править код]

Поддержка клиентов[править | править код]

Альтернативы[править | править код]

См. также[править | править код]

Примечания[править | править код]

Навигация

Персональные инструменты

Пространства имён

Варианты

Просмотры

Ещё

Поиск

Навигация

Участие

Инструменты

Печать/экспорт

На других языках