LINUX.ORG.RU
ФорумTalks

DoH это эталонное ненужно?

 


0

2

Я вот думаю, dns же не дураки делали. Резолвинг имён должен быть простой и быстрой операцией. А тут мало того, что по tcp, так ещё и https. Стоит ли внедрять эту фичу в своей сети? Какой профит от этой технологии, кроме сокрытия доменного имени? Дискасс, короче.


Всё верно, оно не нужно. Это выдумки криптофанатиков. Ну и монополисты этому рады, ведь они надеются что теперь весь днс трафик через них пойдёт.

сокрытия доменного имени?

Сокрытие доменного имени работает только вместе с другой идиотской выдумкой криптофанатиков - шифрованием SNI, а также только при условии того, что сервер хостится у всё тех же монополистов, которые 1 айпи-адрес шарят между кучей клиентов в т.ч. крупных.

Какой профит от этой технологии

Ну очевидно: трафик идёт к монополистам и централизуется. Как днс так и обычный, по указанным выше причинам.

Стоит ли внедрять эту фичу в своей сети?

Скорее стоит заблокировать известные doh-адреса (1.1.1.1 там и что ещё), чтобы браузеры тайком туда не лазили.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 6)

Я вот думаю, dns же не дураки делали

А ты вообще файлы зон видел? Про поломки связанные с eDNS ничего не слышал? Про амплификацию DoS атак? Смотрел какой процент зон на самом деле влезает в UDP пакет? Паникод видел? Его делали не просто дураки, а конченые имбецилы. Шучу, просто он делался в других реалиях и сейчас безнадёжно устарел. DoH, впрочем, решает только одну его проблему из многих.

Резолвинг имён должен быть простой и быстрой операцией

Ну да, такой же быстрой и простой как скачать страницу по HTTPS. Ещё такой же безопасной и приватной.

Какой профит от этой технологии, кроме сокрытия доменного имени?

А какого профита ты ожидаешь, если для этого (ну ещё защиты от подмены) это технология и предназначена?

Стоит ли внедрять эту фичу в своей сети?

Что именно внедрять и что за сеть? Какие риски, какая модель атакующего, какая поверхность атаки? Настраивать клиентов на публичный DoH резолвер? Поднимать свой? Ходящий наружу сети по обычному DNS или по DoH? Если по DoH то куда?

slovazap ★★★★★
()
Ответ на: комментарий от firkax

Ну очевидно: трафик идёт к монополистам и централизуется. Как днс так и обычный, по указанным выше причинам.

Трафик идёт к монополистам и централизуется в любом случае. DoH даёт выбор как минимум показывать его вместо провайдера и государства коммерческой конторе в другой юрисдикции. В разных случаях разные варианты предпочтительнее. А потом, использовать публичные резолверы никто не заставляет - можно поднять свой, опять же при желании в другой юрисдикции.

slovazap ★★★★★
()

Эталонный дискасс-тред на ЛОРе: набрасывается гора терминов, кучка псевдоглубоких соображений, которые на самом деле представляют собой наброс очевидным образом взаимоисключающих параграфов, надёрганных ТС без какой-либо тени понимания происходящего, и всё это завершается авторитетно произнесённым «дискасс», которое якобы должно создать у читателя шапки треда представление о том, что ТС хоть сколь-нибудь компетентен в теме, которую пытается обсуждать.

Нет, дорогой мой, тут нужен не «дискасс», а ликбез. А за ликбезом, пожалуйста, в Job.

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)
Ответ на: комментарий от intelfx

Нет, дорогой мой, тут нужен не «дискасс», а ликбез.

Отлично сказал.

Aceler ★★★★★
()

Никакой, кроме сокрытия доменов. А то что TCP и HTTPS - поебfnm, ведь всё равно всё всё кэшируется и работает шустро. А DNS не дураки делали, но это было в дремучие времена, когда конплюхтеры не могли в аппаратный AES, а на безопасность было по[eq, потому как просто некому было особо собирать твой трафик.

anonymous-angler ★☆
()
Последнее исправление: anonymous-angler (всего исправлений: 1)

Резолвинг имён должен быть простой и быстрой операцией. А тут мало того, что по tcp, так ещё и https.

Ну и сколько длится резолвинг днс, а сколько https запрос?

goingUp ★★★★★
()
Ответ на: комментарий от slovazap

поломки связанные с eDNS

Там ничего полезного, кроме DNSSEC вроде и нет. И тот мне кажется далеко не все используют.

Паникод

Проблемы всяких .рф и иже с ними. Мне кажется, это едва ли где используется.

u0000
() автор топика
Последнее исправление: u0000 (всего исправлений: 1)
Ответ на: комментарий от intelfx

Ну выпендриваться на лоре чай каждый может. Какое мне понимание нужно? HTTPS запрос в любом случае будет отрабатывать дольше, чем DNS. До этого ещё надо TLS установить, что представляет из себя ещё перекидывание пакетов. А если таких запросов 15? 100? 1000? И это хорошо если по RFC8484, а так там ещё есть json-ами возможность перекидываться. Не удивлюсь, если в браузеры используется именно это.

По делу есть что сказать?

u0000
() автор топика
Ответ на: комментарий от anonymous-angler

А DNS не дураки делали, но это было в дремучие времена, когда конплюхтеры не могли в аппаратный AES,

Не то, что аппаратный, никакого AES тогда не существовало. Первые спецификации DNS утвердили в 1987-м году. И вот интересно, что тогда даже со знанием о будущих проблемах, можно было бы предложить для безопасности?

Любой протокол шифрования для DNS тогда создал бы слишком большую нагрузку на процессоры.

praseodim ★★★★★
()
Последнее исправление: praseodim (всего исправлений: 1)

Разрешение имён в интернете это не то чтобы простая операция. Достаточно вспомнить 3 ступенчатую схему работы рекурсора(root -> tld -> domain). Напоминает 3-way handshake в tcp, не правда ли? В локальной сети выглядит чуток попроще. Насчёт стоит ли развернуть у себя, хз, если у тебя домашняя сеть, то скорее всего оно тебе не нужно. Если какой-то проект в облаке, то стоит об этом подумать

cobold ★★★★★
()
Ответ на: комментарий от intelfx

можешь развернуть свою мысль? ТС вроде вполне понятно выразил мысль, что DoH дно, в чем с ним абсолютно согласен. Засунуть легковесный днс поверх уродливого хттп - имхо верх извращения.

ergo ★★★
()

Однако, слабоват нынче регистрант пошёл. Чуть что – сразу выпиливается. Подумаешь пара токсичных фанатиков наехала… Макском, выпили самовыпил!

cocucka ★★★★☆
()
Ответ на: комментарий от ergo

Просто фанбой подорвался, а аргументов нету.

cocucka ★★★★☆
()

Какой профит от этой технологии, кроме сокрытия доменного имени?

Как минимум защита от спуфинга. Иначе где гарантия, что адрес, который тебе вернул dns сервер не был подменён твоим провайдером. Ну а то, что твои резолвы так просто не увидеть, это побочный положительный эффект.

cocucka ★★★★☆
()
Ответ на: комментарий от cocucka

единственный плюс DoH - для DPI он выглядит как обычный HTTP трафик, что делает сложным для фильтрации. Но, зная адреса днс серверов, в общем-то, можно и не думать про потроха трафика, просто по адресам фильтровать.

DoH - это попытка решить проблемы имеющимися костылями. Более правильное решение DoT (over TLS). Но самое правильное будет сделать DNS over DTLS (https://datatracker.ietf.org/doc/rfc8094/). DTLS 1.3 только в этом году зарелизился https://datatracker.ietf.org/doc/rfc9147/

ждем, когда индустрия подхватит теорию и внедрит в практическом русле.

ergo ★★★
()
Последнее исправление: ergo (всего исправлений: 1)
Ответ на: комментарий от ergo

Да понятно, что костыли (и DoH, и DoT), но вариантов-то особо больше и нет на текущий момент. DNSSEC решает проблему спуфинга, но не решает проблему слежки.

cocucka ★★★★☆
()
Ответ на: комментарий от firkax

Рассказ интересный, только «криптофанатики» в нём - лишняя сущность. Корпорации и отдельные спецслужбы решили, что надо это внедрить, и внедряют. Мнение криптофанатиков на этот счет никого не интересует.

Manhunt ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.