Несколько лет назад мы уже обсуждали мнения и риски для персональных данных, связанные с повсеместным внедрением этого протокола. Сегодня посмотрим, как изменилась ситуация за прошедшее время.

/ unsplash.com / Nicolas Picard
/ unsplash.com / Nicolas Picard

Шифрование — обоюдоострый клинок

Протокол DNS-over-HTTPS инкапсулирует запросы IP-адресов в трафик HTTPS. Таким образом, они скрыты от интернет-провайдеров и прослушивающих сеть злоумышленников. Специалисты IEEE пишут, что протокол успешно закрывает несколько уязвимостей, которыми пользуются хакеры — в частности, противостоит атакам DNS Amplification. Злоумышленник подменяет свой IP-адрес адресом жертвы и посылает DNS-серверу короткие запросы. Тот засыпает целевой компьютер большим количеством ненужных пакетов, пока не парализует его работу. Провести такую атаку в контексте DoH проблематично, так как протокол требует TCP-соединение.

Но когда закрывается одна дверь, открывается другая. Еще несколько лет назад эксперты предупреждали — злоумышленники начнут использовать DNS-over-HTTPS для сокрытия вредоносного трафика от средств мониторинга. И они действительно стали чаще это делать. В октябре 2022 года группа ИБ-специалистов опубликовала отчет о работе хакерской группировки Black Basta Ransomware Gang. Она управляет ботнетом QUAKBOT и применяет DoH в своих операциях — команды вредоносного ПО маскируют в зашифрованном трафике.

Для борьбы с подобными кибератаками разрабатывают новые методы. Группа исследователей из Чешского технического университета в Праге представила систему на основе деревьев принятия решений, усиленных алгоритмом AdaBoost. Система ИИ анализирует продолжительность подключения, число отправленных пакетов и их размер. На основе этих данных она успешно идентифицирует 99% трафика, пересылаемого по протоколу DNS-over-HTTPS. Специалистам даже удалось определить различия между данными браузеров. Аналогичную систему разработали инженеры из Бахрейна. Они выбрали алгоритмы случайного леса и градиентного бустинга, k-ближайших соседей и логистической регрессии.

Также в феврале прошлого года инженеры из Китая разработали схему, которая позволяет определить случаи туннелирования через DNS-over-HTTPS и находить потенциально вредоносные подключения. Они использовали технологию TLS fingerprinting и алгоритм машинного обучения для поиска инициализирующих пакетов при установке соединения с DoH-сервером.

«География» протокола расширяется

DNS-over-HTTPS становится все более распространен. В 2021 году аналитики APNIC идентифицировали почти тысячу DoH-резолверов. И это только серверы, не требующие SNI или HTTP Host Header для обработки запроса.

При этом протокол встречает поддержку со стороны разработчиков операционных систем и браузеров. Возможность работать с DNS-over-HTTPS появилась в первых инсайдерских версиях Windows 10 ещё в мае 2020 года. В июле 2022 года поддержку протокола добавили в Android.

Также его активировали разработчики Chrome и Firefox. Но к этому решению с осторожностью отнеслись некоторые специалисты по информационной безопасности. Их беспокоит тот факт, что пользователям предлагают доверить зашифрованные DNS-запросы третьей стороне, которую выбирают разработчики браузеров. Сегодня обработкой 93% всех DoH-запросов занимаются пять крупнейших резолверов. Небольшое количество поставщиков способствует централизации и может ставить под угрозу конфиденциальность передаваемых данных (если резолвер будет скомпрометирован).

Блокировать или не блокировать

Протокол DoH не позволяет интернет-провайдеру, проследить, какие ресурсы посещает пользователь. Эта особенность беспокоит некоторых регуляторов, так как в перспективе может мешать работе правоохранительных органов.

/ unsplash.com / Jason Leung
/ unsplash.com / Jason Leung

По этой причине доступ к DoH-резолверам и сам протокол блокируют в Иране. При этом в Европе проектируют собственный DNS-резолвер с государственным участием — он будет обладать встроенными контентными фильтрами и анализировать запросы пользователей.

С другой стороны, телекомы, интернет-провайдеры призывают, наоборот, способствовать внедрению DNS-over-HTTPS. Например, такой подход повысит безопасность в публичных сетях аэропортов, вокзалов, ресторанах и кафе. Кроме того, он способен оптимизировать скорость передачи данных в странах с развитой сетевой инфраструктурой.


Свежие материалы из нашего блога:

Комментарии (11)


  1. VirusVFV
    00.00.0000 00:00
    +1

    ".. алгоритмы случайного леса и градиентного бустинга, k-ближайших соседей и логистической регрессии" - почему то мне кажется что РКН как раз его и использует, судя по наполнению реестра блокировок))..

    Все-таки в итоге что? Блокировать DoH или нет? По итогу Ваше мнение так и осталось не высказанным.

    С одной стороны РКН с его "алгоритмами", а с другой поволная зависимость от клаудфларного DoH - тоже так себе перспектива..


    1. dartraiden
      00.00.0000 00:00
      +3

      От блокировок РКН DoH практически не помогает. Ну да, вы обойдёте DNS-фильтрацию у провайдеров, которые перехватывают DNS-запросы. Но практически никакой провайдер уже не полагается исключительно на фильтрацию средствами DNS. Это лишь первая линия блокировок, снижающая нагрузку на DPI (отсекает пользователей, которые попробовали ломануться на домен, получили от DNS-сервера провайдера адрес заглушки вместо адреса домена, увидели её и успокоились).


      После того, как DoH-сервер вернул вам IP-адрес запрошенного домена, на этом его работа окончена. Дальше клиентское приложение пытается соединиться с этим адресом и в бой вступает DPI.


      Ситуацию могли бы поменять ESNI и ECH, но первый уже deprecated, а второй пока так и не получил распространения. А когда получит, ну что ж, DPI просто начнёт рубить все HTTPS-соединения, где SNI зашифрован, а пользователям будет предложен выбор: отключайте поддержку ECH в браузере или страдайте.


      Моя рекомендация: если вы используете какие-то средства обхода блокировок, при которых ваше устройство общается с DNS-серверами по незашифрованному каналу и провайдер перехватывает DNS-запросы, то используйте DoT/DoH. Например, если трафик пущен через VPN-туннель, то использовать DoH смысла нет. А если, скажем, для обхода блокировок используется GoodbyeDPI и провайдер перехватывает DNS-запросы, то использовать DoH нужно.


      1. edo1h
        00.00.0000 00:00

        второй пока так и не получил распространения

        Пока? А номер rfc для ech не подскажете?


      1. VirusVFV
        00.00.0000 00:00

        QUIC - там SNI тоже "почти зашифрован". По крайнемере не летит клеартекстом через DPI. Пока что РКН'овские DPI не парятся над дешифровкой QUIC и пропускают без блокировок. На той неделе проверял - если внутри QUIC какой-нить запрещенный домен - то блокировок пока что нет. Что будет далее - ХЗ

        Блочить полностью TLS1.3 - тоже так себе решение.Можно положить ненароком много всякого .. Тем более, что на клаудфларе сейчас inner SNI можно сверху снабдить outer SNI. Т.е. идет себе такой вполне легитимный пакет через DPI. Внутри (шифрованый) будет navalny.com, а снаружи (тот. который виден DPI и никак не учитывается клаудфларой) - например kremlin.ru. Я писал отдельную статью на эту тему на хабре с подробностями и картинками ))


        1. MiraclePtr
          00.00.0000 00:00
          +1

          Пока что РКН'овские DPI не парятся над дешифровкой QUIC и пропускают без блокировок

          Как-то вам везёт. Потому что есть свидетельства, что РКНовские DPI тупо дропают все QUIC подключения (за исключением тех что в белых списках, типа VK.com) и не парятся.


          1. VirusVFV
            00.00.0000 00:00

            Потестим на след. недельке..


        1. dartraiden
          00.00.0000 00:00
          +1

          Пока что РКН'овские DPI не парятся над дешифровкой QUIC и пропускают без блокировок.

          Ещё в прошлом году рубили. Но тут для РКН вообще просто — рубим QUIC полностью, браузеры сами откатятся на HTTP/2.


          1. Sadok
            00.00.0000 00:00

            Но тут для РКН вообще просто — рубим QUIC полностью

            У меня вообще какая-то ерунда. Ни один браузер не открывает тот же гуглоплэй (настройками обыгрался), но устройства ходят спокойно. Кто режет? Сам гугл? Поднимаешь VPN "за бугор" на ноутбуке - всё ОК.


      1. VADemon
        00.00.0000 00:00
        +1

        Например, если трафик пущен через VPN-туннель, то использовать DoH смысла нет.

        VPN может не предоставлять DNS сервер внутри (коммерческие всегда предоставляют) или кэш DNS может быть заражен до подключения к VPN.

        Кто не хочет Quad9, Cloudflare и другой мейнстрим, советую посмотреть на добровольческие сервера проекта OpenNIC, DNSCrypt. Некоторые поддерживают и то и другое, но большинство OpenNIC - это DNS-over-TLS/HTTPS.


  1. VirusVFV
    00.00.0000 00:00

    Кстати, о пичках (о DoH). Его ведь тоже можно через ECH или QUIC пускать, он ведь https, все-таки..) Клаудфларовский DoH - через ECH, гугловский - через QUIC)) .


  1. Huanito
    00.00.0000 00:00

    На самом деле, есть тенденция к росту количества dns провайдеров, поддерживающих doh. Не cloudflare едины=)