Обычно резолвер сообщает каждому DNS-серверу, какой домен вы ищете. Этот запрос иногда включает ваш полный IP-адрес или его большую часть, что можно легко объединить с другой информацией, чтобы установить вашу личность. Из статьи Лин Кларк «DoH в картинках»
На Хабре неоднократно рассказывали о протоколе DNS-over-HTTPS (DoH), недавно принятом в качестве стандарта RFC 8484. Разработанный Mozilla, Google и Cloudflare протокол DNS-шифрования сводит на нет попытки мониторинга трафика «человеком-в-середине». Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник на уровне провайдера или государства может отслеживать содержимое DNS-пакетов и даже подменять их. Это позволяет блокировать доступ к ресурсу по IP-адресу или доменному имени.
Менее полутора месяцев осталось до вступления в силу закона об изоляции Рунета, закон Яровой уже вступил в силу, а государство и частные компании усиливают попытки слежки за гражданами в интернете. В такой ситуации очень своевременно пришли новости от ведущих разработчиков браузеров. Разработчики Firefox и Chrome практически синхронно объявили о внедрении DNS-шифрования.
6 сентября 2019 года Mozilla объявила о решении включить по умолчанию протокол DoH (DNS-over-HTTPS) в одной из следующих версий браузера Firefox.
Вкратце, DoH инкапсулирует DNS-запросы в пакеты HTTPS, превращая их в обычный зашифрованный веб-трафик. Запросы отправляются как HTTP POST или GET с телом в формате сообщения DNS (датаграммы из обычных DNS-запросов) или как запрос HTTP GET в формате JSON. Как и при обычном веб-трафике HTTPS, для подключения через DoH не требуется аутентификация, а сертификат проверяется центром сертификации.
Фиксация DNS-транзакции через DoH. Видно только HTTPS, TLS и ничего больше. Из статьи «Как спрятать DNS-запросы от любопытных глаз провайдера»
Незашифрованный URL также может быть перехвачен через поле запроса SNI (Server Name Indication) — специального расширения протокола TLS. Для устранения этой уязвимости в Firefox уже внедрён стандарт зашифрованной передачи имени хоста Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных ещё до начала TLS-сессии. На этой странице вы можете проверить, поддерживает ли ваш браузер ESNI и другие стандарты шифрования.
Mozilla начала эксперименты с DoH в июне 2018 года и убедилась, что он обеспечивает достаточную производительность, не конфликтуя с настройками родительского контроля и корпоративными политиками (с отключением DoH в случае их обнаружения или в случае других проблем резолвинга DNS).
По результатам тестирования Mozilla приняла решение постепенно развернуть DoH для всех пользователей в США, начиная с конца сентября. Развёртывание будет происходить в «резервном режиме», то есть DoH будет автоматически отключаться при малейших проблемах.
План состоит в том, чтобы начать медленно включать DoH для небольшого процента пользователей при мониторинге любых проблем, прежде чем включить для большей аудитории. Если всё пройдёт хорошо, то Mozilla сообщит, когда будет готова к 100% развертыванию.
По умолчанию в Firefox установлен DNS-резолвер Cloudflare. Его можно сменить на другого провайдера или вовсе отключить DoH вручную. Для этого в настройках
about:config нужно установить параметр network.trr.mode в значение 5. Значение 2 соответствует конфигурации по умолчанию (Cloudflare), значение 1 — автоматическому выбору самого быстрого резолвера. Сейчас всё это работает в альфа-версии Firefox Nightly.
DNS-провайдера можно указать в сетевых настройках: Настройки > Параметры сети > Используемый провайдер.
Список общедоступных DoH-серверов обновляется здесь.
10 сентября 2019 года об аналогичных планах объявили разработчики Chromium. Экспериментальная обкатка DoH начнётся в следующей сборке Chrome 78, стабильный релиз которой ожидается 22 октября 2019 года. В отличие от Mozilla, которая постепенно внедряет функцию для пользователей из США, эксперимент Google изначально более масштабный, без географических ограничений. Сразу со старта доступны шесть CDN-провайдеров: это Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS, Quad9 и Google. К моменту запуска список партнёров может быть увеличен.
От участия в эксперименте в Chrome 78 можно будет отказаться, отключив флажок
chrome://flags/#dns-over-https в настройках.Поддержка DoH и в браузере, и у CDN позволяет эффективно бороться с блокировкой ресурсов со стороны «человека-в-середине», что представляет собой актуальную проблему в том числе для России.
Комментарии (163)
DonArmaturo
23.09.2019 09:00Как-то сразу вопрос.
А что помешает «резать» обращения к CDN?
Кстати, что-то запутался в аббревиатурах. Content Delivery Network — Сеть Доставки Контента. Функции обработки шифрованных DNS-запросов будут реализованы в «выносных точках присутствия (PoP) за пределами исходного сервера»?
Ну, будем мы периодически получать ту же картину, как при борьбе с «телегой» — огромное число недоступных серверов. Бить будут по площадям.
shifttstas
23.09.2019 09:16Ну как бы в этом и смысл — поднять цену атаке, в случае с Google он будет приземлять трафик в GGC сервера которые стоят у провайдера.
Если вдруг оператор заблокирует доступ к этому серверу — у него будет рост международного трафика на 300-700% (YouTube перестанет кэшироваться) и при этом DNS (как и другие сервисы гугла будут обрабатываться просто другими серверами.
Перебанить весь Гугл? Отличная идея, хочу на это посмотреть.
ksenobayt
23.09.2019 09:54+1Уже были попытки посадить операторов на бутылку за GGC на сайте, и я вполне допускаю, что может произойти и демонтаж. Шейпить абонентов оператору обойдётся при любом раскладе дешевле, чем бодаться.
shifttstas
23.09.2019 10:20Шейпить что? В случае отсутствия GGC весь трафик просто пойдёт до датацентра Google.
Whuthering
23.09.2019 13:15В результате чего у оператора резко и очень сильно вырастет загрузка аплинков, и ему либо придется расширять каналы наружу и дополнительно платить за них, либо шейпить трафик и слушать нытье абонентов
shifttstas
23.09.2019 14:04Ну и что? DOH будет работать.
ksenobayt
23.09.2019 14:32+1А толку от него будет, если условный Ютуб будет загружаться по пять минут на страницу и едва-едва тащить 240p? При условии, что в одинаково фиговых условиях окажутся почти все домашние операторы, выбора-то у абонента не будет — уходить не к кому. Таким образом, мы получим вынужденную деградацию сервиса и отброс назад ко временам ADSL.
shifttstas
23.09.2019 15:49-1Какой смысл это делать оператору? Просто будет поднятие цен.
ksenobayt
23.09.2019 16:00+1Клиент не заплатит больше, чем он готов платить сейчас, но если GGC уберут с площадок, в равном положении в этом контексте окажутся приблизительно все — и у клиента не будет выбора. Либо терпеть и платить, либо не пользоваться связью вовсе.
В свою очередь, даже повышение цен не гарантирует сохранения условий: провайдеру гораздо выгоднее одновременно и шейпить трафик клиентов, экономя на полосе, и повысить цены. В данной ситуации «голосовать ногами» уже не удастся, ибо некуда.
JPEGEC
23.09.2019 13:12+1Ну как бы в этом и смысл — поднять цену атаке, в случае с Google он будет приземлять трафик в GGC сервера которые стоят у провайдера.
Тем кто составляют списки блокировок глубоко неинтересны цены этому у провайдера.
Те кто думает что таким способом вынудят государство оставить интернет без контроля глубоко заблуждаются.
Это просто приблизит введение белых списков и прочих общегосударственных сертификатов и фаерволов. Но от контроля не откажутся.
Не хотят чтобы фильтровали часть — будут фильтровать все.BigFlask
23.09.2019 22:16Те кто думает что таким способом вынудят государство оставить интернет без контроля глубоко заблуждаются.
Не хотят чтобы фильтровали часть — будут фильтровать все.
Ну, пока еще не заблуждаются, и гугл никто блокировать не готов (доходит до прям таки вопиющей избирательности закона: сайты блокируют за встроенные ютубовские ролики с запрещенным контентом, сам же ютуб трогать и не пытаются).
JPEGEC
24.09.2019 06:42В том то и дело, что стараниями мозилы и гугла дело идет к тому что выборочно блокировать не получится.
GooG2e
23.09.2019 09:36как правильно отметили — забаньте целиком гугл, cloudflare, amazon ну и ещё кого-нить до кучи и тут уже станет вопрос о том, что мелкий бизнес отваливается целиком, трансграничный трафик повышается в разы, потому что перенаправляться через впн будет не часть сайтов, а ВСЁ. И в итоге смысла от РКН будет только, если включать ИЗОЛИРОВАННЫЙ рунет.
подождём, узнаем, но тенденция такая и она всегда была такой, что шифрование развивается на порядок быстрее, чем средства расшифровки и к тому моменту, как на сети провайдеров поставят это оборудование все мы будем, либо полностью за иностранными ВПНами, либо на полную начнётся использование DNSSEC, TLS 1.3 и DoH (или аналогов)
alecv
23.09.2019 09:57-2Что-то мне кажется, что «изолированный рунет» просто перестанут покупать и в прайсах операторов появится «неизолированный» продукт. Собственно для юрлиц это уже сейчас легко можно сделать: берется зарубежное юрлицо (дочка) с «нормальными» IP плюс «корпоративный канал» зарубеж.
Balling
23.09.2019 10:27Вы забыли eSNI.
dartraiden
23.09.2019 18:46Сходу два способа нейтрализовать DoH + eSNI:
1) используете вы DoH как клиент, а сертификат сервера в конфиге прописан? Мало у кого прописан по умолчанию, поэтому делаем MitM, блокируем запрос eSNI из DNS > профит
2) блокируем адрес DoH-резолвера, браузер клиента по умолчанию откатывается к обычному DNS, заворачиваем трафик на себя, блокируем запрос eSNI из DNS > профит
Впрочем, есть ещё и самый простой способ, который годами с успехом применяют провайдеры, не обладающие DPI — если идёт обращение по HTTPS на IP-адрес, в который резолвится заблокированный домен, то рубим соединение.
xdimquax
23.09.2019 20:16Если используется CDN (Cloudflare, Google, etc.), то придется очень многое заблокировать.
Whuthering
23.09.2019 20:22Есть кстати еще вариант: если DPI видит в трафике на IP из черного списка или на какой-нибудь большой CDN хендшейк TLS с eSNI, то рубит коннект нафиг.
В СМИ и техподдержках провайдеров распространяется лекция для колхозников, что если интересующий пользователя сайт оказался на заблокированном адресе и не открывается, то надо отключить eSNI и заодно на всякий случай DoH в браузере (инструкция прилагается) и всё заработает.
dartraiden
24.09.2019 01:0112 миллионов адресов Amazon это много или нет? Их блокировку мы видели…
Вы не подумайте, я за РКН не топлю (по моим постам прекрасно видно, что я стремлюсь наоборот просвещать пользователей о том, какие компетентные спецы (нет) отвечают там за блокировки и как половчее нужно им ставить палки в колёса (грамотно посылать лесом незаконные запросы, направляемые провайдерам)), но вот эта вот эйфория, которая началась в интернетах «гудбай DPI, прощайте блокировки, мы свободны» мне кажется преждевременной. Побочный ущерб Роскомнадзор мало волнует.
ValdikSS
23.09.2019 20:322) блокируем адрес DoH-резолвера, браузер клиента по умолчанию откатывается к обычному DNS, заворачиваем трафик на себя, разбираемся с eSNI > профит
Стандартный резолвер Mozilla mozilla.cloudflare-dns.com уже заблокирован, давно
isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com
ghrb
23.09.2019 10:40+1Вопрос, кого волнует мелкий бизнес? Особенно если этот мелкий бизнес молчком сидит в офисе. Ну или уже в сизо.
doctorw
23.09.2019 16:17А мелкий бизнес разве не платит налоги? совсем нисколько?
hokum13
23.09.2019 18:29Дело не в этом. Малый бизнес, как и пролетариат разобщён. Ни тот, ни другой не представляют из себя политической силы. А крупный бизнес представляет.
У крупного бизнеса есть своя армия, а что есть у барбершопа? Более того, владельцы барбершопов на соседних улицах могут иметь противоположенные политические взгляды, а политические взгляды крупного бизнеса очень даже ЕР-дины.
И да, не знаю ни одного «малого бизнесмена», который платит налоги не пытаясь сжульничать.
ghrb
23.09.2019 18:54+1Очень мало платит, очень-очень мало. Посмотрите экономистов, Мовчана например. Достаточно мало, чтобы государство не жалело если малый бизнес вообще почти загнётся.
Whuthering
23.09.2019 10:09+1Не понимаю, почему все так радуются, считая что это поможет «борьбе с цензурой».
Ну да, DNS-запросы будут шифрованные и их уже на лету не подменят. Ну да, имена хостов в eSNI будут шифрованные, и их уже на лету не подслушают и не дропнут соединение.
Но что мешает РКНу тупо резолвить даже через тот же DoH домены из черного списка и банить их по IP-адресам? Да ничего не мешает. Конечно, заодно могут отвалиться сотни сервисов, висящих на том же хостинге или CDN, но ковровые бомбардировки Телеграма уже не раз показывали, что проблемы пользователей РКН не волнуют.shifttstas
23.09.2019 10:21Так в этом и радость — чем дороже атака — тем лучше.
Kanut
23.09.2019 10:25Как бы это не кончилось вводом "православных" DNS и блокировкой всех остальных. Или ещё какой-нибудь глупости в этом роде...
shifttstas
23.09.2019 11:31Вы похоже не поняли смысл DOH, сейчас — можно заблокировать все DNS, при DOH — нет, только заблокировав весь HTTPS трафик до крупнейших CDN.
Tomok
23.09.2019 11:38На случай православных DNS есть скреполомный dnscrypt. Или свой vps с таким же dnscrypt, если начнут и с ним бороться.
xdimquax
23.09.2019 13:09+2С ним такая же проблема, как и с DoT, в этой части. Порезать 443/UDP и 853/TCP всяким РКН будет гораздо проще, кмк, чем заблокировать DoH сервер за CDN.
Mur81
23.09.2019 12:06Только есть нюанс. Если на войне боевые действия оплачиваются из своего кармана (кармана союзника как вариант), то в данном случае оплата идёт из кармана противника (т.е. нашего с вами). Почувствуйте разницу :(
APLe
23.09.2019 23:45Увы, и здесь, и на войне действияТех, Кому Положено, оплачиваются из нашего с вами кармана.
Balling
23.09.2019 10:39Вы не можете начать банить ip адреса, так как они вам не принадлежат, они принадлежат RIR и вообще вот например, rutracker блокируется по ip (ксати это не так у МТС (у него обходится по ipv6 к тому же), а только МГТС), а завтра они поменяют их и что? Огромное количество сервисов находится над cloudflare, ip которых всё время динамически изменяются и т.п. и т.д. Вы зашибетесь их блокировать… Сейчас-то все работает через SNI просмотр, таким образом ip не блокируется, связность сохраняется, плюс еще в помощь dns запросы, которые ускоряют дропинг трафика (типо подсказки). А теперь представьте подсказки нет, вы заблокировали ip, через пару секунд он достался другому сервису, а он например, раздает шрифты, которые много где используются. И сюрприз, все отвалилось. Или например, на одном ip сразу 10 разных сервисов. Или например, сделать так, чтобы ваш домен резолвился в адрес сайта фсб россии, пентагона, госуслуг, роскомнадзора. Вы заблокировали его. Или в ip google и в ip школы, универа. Все приехали, вы заблокировали google. Сразу иск в суд за недополученную прибыль. Нет, с приходом eSNI конец наступит Роскомнадзору.
MikhailZakharov
23.09.2019 10:55Увы, но пострадают только обычные пользователи. Как это работает сейчас. Блокируют ip адрес. На этом адресе есть еще и обычный сайт, которые становится недоступен.
При запросе в роскомнадзор, они отвечают, что все в порядке, адрес заблокирован по решению суда (прокуратуры), а если другой сайт пострадал, то пусть переезжают на другой ip, если хотят быть доступными в России. А если не хотят, то мы без доступа.
Вот недавний случай habr.com/ru/news/t/467971alsoijw
23.09.2019 11:22Увы, но пострадают только обычные пользователи
Либо эти обычные пользователи осилят обход блокировок, либо будут наслаждаться действиями власти. Когда интернет будет работать наполовину, а то и меньше, то это хороший повод задуматься. Особенно, если у кого-то рядом он работает целиком, а ркн признаёт свои ошибки.unsignedint
23.09.2019 11:57коммон, в огромном количестве стран третьего мира именно такой интернет. И никто не задумывается(или им этого не позволяют)
xdimquax
23.09.2019 13:17Поищите способы обхода GFW на китайском. Инфы на эту тему уйма. А то, что основная масса не задумается, так это обычное дело. Однако, если побанят гугл, то задумываться начнёт сильно больше людей.
ghrb
23.09.2019 10:56+1От кого иск за недополученную прибыль? А если кто-то сделает прикол забанив сайт фсб через ркн, то довольно оперативно окажется в сизо. И если он не будет известной личностью, то к администрации президента никто не станет в очередь на одиночный пикет.
На мой взгляд это скорее закончится чебурнетом и отказом от всяких амазонов в пользу импортозаместительного яндекс облака.Balling
23.09.2019 11:18Вот этот домен, заблокируете please, по ip!!! balling.duckdns.org резолвится в 213.24.76.23 так же как и фсб…
Во-первый домен моя собственность, я что хочу, то и делаю. Хочу заблокировать яндекс блокирую.
«А если кто-то сделает прикол забанив сайт фсб через ркн» Вы вообще в курсе какой процент дел по киберпреступлениям расследуется до конца с успехом? Погуглите.
И еще мне не нужно даже домен покупать. www.duckdns.org и все.
От кого? Это шутка? как вы думаете, сколько денег потерял ru.linkedin.com a? А www.7-zip.org?
А теперь смотрите, фокус. www.lumendatabase.org/notices/search?utf8=%E2%9C%93&sort_by=date_received+desc&term=roskomnadzor
Вот этим сервисом пользуется google, когда удаляет информацию из поисковой выдачи. Как вы думаете, насколько это понравится другим компаниям, а?ghrb
23.09.2019 11:25+1Во-первый домен моя собственность, я что хочу, то и делаю.
Вспомните судьбу московских ларьков, на которые были документа о собственности, но их назвали «бумажками» и всё снесли. Был домен ваш, станет ничей. По крайней мере в рф.Balling
23.09.2019 11:29А он и так не мой. Он принадлежит duckdns вне РФ. Тем не менее я могу выставить туда что захочу. Потом осталось лишь заблочить его по ip, а дальше поменять ip на новый.
alsoijw
23.09.2019 11:23А если кто-то сделает прикол забанив сайт фсб через ркн, то довольно оперативно окажется в сизо.
Особенно если он вне РФghrb
23.09.2019 11:31+1Если не из рф, то это ещё лучше. Англичанка гадит. Лишний довод быстрее делать чебурнет и осваивать бюджет на него.
Balling
23.09.2019 11:36Как вы думаете, что скажет на это Евтушенков, а? Тем более они не смогут сделать автономный интернет. Интернет по определению сеть Автономных систем. Соответственно он и так автономен, а без всех автономных систем это Интранет. Тем более если это произойдет, ООН будет вынуждена ввести войска на территорию РФ. Так как они дали права контроля над нумерационными ресурсами интернета только совету RIR (Number Resource Organization, NRO en.wikipedia.org/wiki/Regional_Internet_registry#Number_Resource_Organization), и если Россия попытается использовать их полномочия, они обратятся в Международный суд ( en.wikipedia.org/wiki/International_Court_of_Justice ) и все: РФ конец.
ghrb
23.09.2019 11:53+1Ну тут уже комментировать нечего, сказки какие-то.
Balling
23.09.2019 12:41-2Сказки? Просто почитайте, чем занимается всемирный суд. Все ссылки есть на википедии. Вот на русском. ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D0%B4%D1%83%D0%BD%D0%B0%D1%80%D0%BE%D0%B4%D0%BD%D1%8B%D0%B9_%D1%81%D1%83%D0%B4_%D0%9E%D0%9E%D0%9D
Balling
23.09.2019 14:44Для всех тех, кто минусит. Пишите, что вам не нравится. Если вы не знаете, как все это работает, это не значит, что это сказки, это просто значит, что для вас это сказачно звучит. И все. Это все правда. Лучше минусите господина «Англичанка гадит».
Самый тупой пример rutracker.nl уже можно открывать через Firefox, так как они включили eSNI (надо с настройками поиграться), ясно вам, умные вы мои. Я прав, а вы не правы.
И вообще просто представьте, что произойдет, если мы перейдём в автономный Интернет. Да там уже надо будет не войска вводить, а планетарную бомбардировку делать)))
Эх, пойти что ли статью написать про rutracker. Поднять карму с колен)))Whuthering
23.09.2019 15:11+1Если вы не знаете, как все это работает, это не значит, что это сказки, это просто значит, что для вас это сказачно звучит.
Как раз-таки взрослые люди очень хорошо знают, что в реальной жизни часто заявленное и описанное может довольно сильно отличаться от наблюдаемого и происходящего.
Я прав, а вы не правы.
А никто и не говорил про про «прямо здесь и прямо сейчас», у любой системы есть инерционность, и люди прогнозируют перспективы на будущее.
ghrb
23.09.2019 15:13+2Как минимум по вашей логике в Серверной Корее давно уже должны быть расквартированы интернетные войска ООН.
Balling
23.09.2019 15:20И по Китаю, наверное, тоже, да? Проблема заключается в том, что у них изначально всё так было.
ghrb
23.09.2019 15:28+2Господи, да если матушка-россия окуклится в чебурнете, то альфабет первый будет участвовать в тендере на Dragonfly2 для тутошнего рынка.
На малазийский боинг и результаты ялтинской конференции о неизменности границ всем плевать, санкции мелкие только, ради приличия. Боятся даже попросить боинг прекратить поставки запчастей и закупки титана, а из-за какого-то интернета для диких ватников типа войска введут? Вы с какой планеты?Balling
23.09.2019 15:34Эхх… Учитывая, что именно вас плюсуют, то я даже готов поверить, что «матушка-россия окуклится в чебурнете». Ну хоть на Alphabet не гоните. Ну я понимаю, они обосрались с manifest V3, который все еще может сломать блокировщики рекламы, но google это же все же святое. Если вы не верете, что google компания добра, то я уж и не знаю, что вам протевопоставить.
Whuthering
23.09.2019 12:10Хм… Вы, кажется, немного выпали из времени, на пару лет так точно.
Всё, что вы описываете — уже было.
РКН банил IP-адреса тысячами и даже миллионами (а иногда сразу целыми подсетями), отвались сервисы, использующие Cloudflare, Amazon AWS, Azure, Digital Ocean и Google Appspot, ошибочно блокировался доступ к сотням совершенно безобидных сайтов, типа 7-zip.org (у некоторых он до сих пор не работает), поломались «умные устройства», и много всего другого. Ответ РКН был один, как уже написали выше: «пусть ваш сайт переезжает на другой IP, которого нет в реестре».
И точно так же как вы сказали, отдельные шутники прописывали в A-записи заблокированных доменов IP-адреса Яндекса, сайтов администрации президента, Госуслуг, и т.д. РКН решил это проблему просто: они создали отдельный белый список адресов, которые нельзя блокировать.
Так что всё, что вы написали — уже пройденный этап, и он прекрасно показал, что неработоспособность кучи посторонних сайтов и сервисов никого в регулирующих органах не волнует вообще.Balling
23.09.2019 12:35-1Я выше говорил про 7zip. У меня он до сих пор заблокирован, если что я даже писал в Роскомнадзор, чтобы они его разблокировали.
Выпали из времени вы. Роскомнадзор не имеет право регулировать интернет. Как вы думаете, почему Google решила запустить шифрование DNS, а потом и eSNI? Потому что им не нравится это, и это происходит по приказу региональных интернет регистраторов, если не в курсе это глобальная интрига. Дело в том, что единственный вариант хоть как-то наказать Российскую Федерацию это отобрать автономную систему у любого провайдера, ну, например, у МТС, после этого МТС потеряет цену своим акциям и прекратит свое существование, как оператор, потому что ни один из IP адресов, принадлежащим им уже не будет работать, ну во всяком случае потеряет глобальную связность. Но это уже какой-то терроризм, они на это не пойдут скорее всего, во всяком случае до тех пор, пока они не проверят, как будет работать eSNI, в любом случае, как только включится eSNI, оборудование, которое работает сейчас можно будет просто выбросить на помойку, а ведь это миллиарды потерянных денег, это недоверие от клиентов и так далее.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть. А ведь есть еще страшные вещи вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple, есть адреса, которые используют атомные электростанции, представьте к чему это может привести, а?Whuthering
23.09.2019 12:42+1Роскомнадзор не имеет право регулировать интернет.
На территории России в соответствии с российскими же законами, к сожалению, имеет полное право. А на территории других государств его блокировки и так не действуют.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть.
Что значит «все айпи адреса невозможно учесть»? Никто не будет учитывать «все», учтут только те что надо. Вносить в белый список вполне можно не только адреса поштучно, но и подсетями. Более того, функцию внесения адресов в этот самый белый список можно возложить на самих же Яндекс, Мейлру, Ростелеком, разработчиков гос.сайтов, админов банков и технологических сетей энергосистем и т.д. — они первые побегут это делать, т.к. это в их же интересах.
mxms
23.09.2019 12:49На территории России в соответствии с российскими же законами, к сожалению, имеет полное право.
Не имеет. Ст. 29 Конституции России.
И, по поводу "законности", хочу напомнить, что евреев в печах нацисты тоже жгли по закону.Whuthering
23.09.2019 12:52+1Не имеет. Ст. 29 Конституции России.
Там, к сожалению, есть еще статья 55 с пунктом 3, которую наши суды и должностные толкуют так, как им выгодно.
И, по поводу «законности», хочу напомнить, что евреев в печах нацисты тоже жгли по закону.
Собственно, именно поэтому работников РКН и разработчиков всяких СОРМ и DPI в телеком-сообществах называют не иначе как «строителями газенвагенов».
Balling
23.09.2019 12:50-1Нет не имеет, если российские законы нарушают вышестоящие законы организации объединённых наций. ЕСПЧ, например, или Международный суд может отменить эти законы или решения по этим законам. В любом случае может быть провайдеры как хозяйственные общества и подчиняются законам Российской Федерации, но провайдеры как «провайдеры» законам Российской Федерации не подчиняется, они подчиняются только совету нумерации и отчитывается только перед LIR, RIR, операторами вышестоящего Tier уровня, которые и решают их судьбу, выдают им нумерационные ресурсы, но ведь они могут и отобрать их.
Даже Роскомнадзор перекладывает обязанности блокировки на провайдеров, вам это ни о чём не говорит, а?Whuthering
23.09.2019 12:54ЕСПЧ, например, или Международный суд может отменить эти законы
и что, много уже отменил?
… но как провайдеры они законом Российской Федерации не подчиняется
и если они действительно не подчинятся местным законом, то у них отберут лицензию и они просто перестают работать. Ну, либо если они слишком большие, то их хозяевам просто делают предложение, от которого сложно отказаться. Cool story, bro.
Даже Роскомнадзор перекладывает обязанности блокировки на провайдеров, вам это ни о чём не говорит, а?
Это говорит о том что у РКН тупо нет технических средств для этого. Новый закон о чебурнете, кстати, как раз обязывает провайдеров ставить железки контроля трафика, которыми рулить будет уже РКН.Balling
23.09.2019 12:57-1А если это не понравится rir они отберут у них нумерационный ресурсы, провайдеры
точно также прекратят свое существование. А вот если государство отберет у них лицензию, то они не прекратят существование, потому что у них останется нумерационный ресурс, и они всё равно смогут продолжить работу, раздавать айпи адреса, переехать в другую страну, вообще я думаю у Евтушенкова достаточно ресурсов, чтобы не подчиняться нашим законам, а то и создать конгломерат)))Whuthering
23.09.2019 13:05А если это не понравится rir они отберут у них нумерационный ресурсы
И что, у многих уже отобрали, из-за ковровых блокировок миллионов IP?
потому что у них останется нумерационный ресурс, и они всё равно смогут продолжить работу, раздавать айпи адреса
Эээ… оператор сотовой связи помашет ручкой всем своим миллионам абонентов и переедет со всей своей огромной сетевой инфраструктурой в другую страну? Кабельный оператор со своим охватом в сотни тычсяч домов и юрлиц помашет ручкой всем своим клиентам и переедет со всей своей инфраструктурой в другую страну? Что за дичь вы вообще несете?
я думаю у Евтушенкова достаточно ресурсов, чтобы не подчиняться нашим законам
А у государства вполне достаточно ресурсов, чтобы засадить его в тюрьму, если он окажется несговорчивым. Как это уже было не так давно.Balling
23.09.2019 13:13Наше государство вообще успело засадить дофига людей, как на это отреагировало общество на выборах в Московскую Думу, а?
«со всей своей огромной сетевой инфраструктурой в другую страну» Вот именно, это их сетевая инфраструктура.
«чтобы засадить его в тюрьму» это вообще очень весёлая история))) почитайте все подробности, вы ахренеете, там триллер какой-то, в любом случае на ПАО АФК Система это как-то отразилось? Да фиг. И почитайте вот это www.apnic.net/get-ip/faqs/asn/#change-upstream-providers
Првайдер может перенести свою автономную систему хоть в другую страну.
Balling
23.09.2019 15:46И что, у многих уже отобрали, из-за ковровых блокировок миллионов IP?
Пока только в планах. За все время совет отобрал только 5 AS. Поймите, это катастрофическая вещь… Ведь информация не сможет доходить до отозванных систем. Это катастрофа, которая также приведет с перестройке BGP связей интернета (как в DHT торрентов). Я не могу показать вам внутреннюю переписку NRO, но кое-что можно найти в инете, погуглив по их письмам. Ну просто, чтоб вы поняли масштабы, вот MGTS автономная система. bgp.he.net/AS25513
Видите, сколько информации? И это есть по всем провайдерам мира.
Revertis
23.09.2019 12:58+1А ведь есть еще страшные вещи вроде вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple
А их уже блокировали, кстати.Balling
23.09.2019 13:05Я в курсе, именно поэтому Google в спешном порядке поменял всю систему push-сообщения на новую firebase.google.com
en.wikipedia.org/wiki/Firebase_Cloud_Messaging
Её так просто не заблокируешь, потому что она работает в каждом адресе, принадлежащим Google. Ну по-моему, я пока не разбирался. Причём он уже выключил старую GCM, вроде… Именно поэтому некоторое время назад всё отвратительно работало и push постоянно не приходили. Ну сейчас все уже работает. И теперь фиг их заблокируешь.
WraithOW
23.09.2019 22:27«Firebase Cloud Messaging (FCM), formerly known as Google Cloud Messaging (GCM)»
Тот же GCM, только в составе отдельного набора сервисов.
в спешном порядке
Клиентов 5 лет мигрировали, какое «в спешном»?Balling
23.09.2019 22:33Они его купилив 2014. Но aws.amazon.com/ru/blogs/messaging-and-targeting/the-end-of-google-cloud-messaging-and-what-it-means-for-your-apps
Но они deprecated google cloud messaging в апреле 2018 и убрали 11 апреля 2019. Может и не спешно, конечно, но совпало как раз))
avost
23.09.2019 19:12+1я даже писал в Роскомнадзор, чтобы они его разблокировали.
Ну, и как, разблокировали?
Роскомнадзор не имеет право регулировать интернет.
Не имеет, но "регулирует". Поэтому 7zip у вас по-прежнему заблокирован. Выпали из времени вы.
отобрать автономную систему у любого провайдера, ну, например, у МТС, после этого МТС потеряет цену своим акциям и прекратит свое существование
детские сказки какие-то. Или влажные мечты.
Насчёт белого списка это всё конечно прекрасно, но все айпи адреса невозможно учесть
А все и не надо. Это же белые списки. В них только "нужные" адреса.
А ведь есть еще страшные вещи вроде адреса, через которые рассылаются Push от сервисов Google или сервисов Apple
Ой, роскомпозор напугался этих страшных адресов и забоялся! Блин, вы в каком классе учитесь?
есть адреса, которые используют атомные электростанции, представьте к чему это может привести, а?
Ага, понял. Примерно в пятом. В шестом такую чушь уже не городят.
xdimquax
23.09.2019 13:11Кто сказал, что рутрекер блокируют по IP? Должны резать по доступ по домену.
Balling
23.09.2019 13:19Это только у МГТС было так, у них там какой-то focus, там даже ping не работал какое-то время назад, но сейчас по домену, так-то да. И попробуйте открыть www.7-zip.org, там тоже вроде что-то такое есть… без заглушки, я имею в виду. То есть без redirect…
P.S. Я перепутал, это не у самого рутрекера блокировка по IP, а у трекеров рутрекера (извините за каламбур). То есть именно тот сервис, который (ну это кроме DHT для публичный торрентов) предоставляет облака пиров, когда вы хотите скачать торрент. У rutracker это
195.82.146.120 bt.t-ru.org
195.82.146.121 bt2.t-ru.org
195.82.146.122 bt3.t-ru.org
195.82.146.123 bt4.t-ru.org
Попробуйте пропинговать их, и… нифига. Они не пингуются.xdimquax
23.09.2019 13:36Непонятно зачем блокировать ICMP запросы.
Balling
23.09.2019 13:50Ну вообще-то ICMP запросы достаточно просто заблокировать и многие так делают, например попробуйте пропинговать kremlin.ru
Но здесь вроде другое. Ладно, я опять ошибся, у них просто заблокирован ICMP, как можно проверить по ссылке… Блин, что-то я сегодня туплю((( ping.pe/195.82.146.120
Но в любом случае, вот пинг из разных мест до www.7-zip.org, он не работает только в России, класс да?
ping.pe/www.7-zip.org
ValdikSS
23.09.2019 20:33Блокируют по IP-диапазонам, на уровне маршрутов, а не протоколов.
www.7-zip.org попадает в заблокированный диапазон 159.65.0.0/16.
Meklon
23.09.2019 13:39это ретрекеры.
Balling
23.09.2019 13:43Нет, retracker это другое, это так называемый Local peer Discovery. Когда у вас есть локальная сеть большая и вы можете обмениваться данными внутри локальной сети, за это отвечает трекер retracker.local/announce
А эти сверху называются просто tracker или в стандарте список announce url torrent-a.
ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
xdimquax
23.09.2019 13:51А 7zip никто и не блокировал, он "случайно" под раздачу попал. Когда блок по IP, то и нет никаких заглушек, что само по себе уже ужасно.
Balling
23.09.2019 13:55Да в курсе я. Смотрите, кстати как красиво во всем мире работает ping до www.7-zip.org кроме как в России, круто правда. ping.pe/www.7-zip.org
Balling
23.09.2019 14:39Короче классная новость. На rutracker.nl включили eSNI теперь через firefox можно (и на Android) заходить без проблем с включенным DoH и eSNI (там настройки).
dartraiden
23.09.2019 18:53+1Мой провайдер не смотрит в SNI (нет оборудования), а конец ему не пришёл. Тупо блокирует доступ по HTTPS ко всем IP-адресам, в которые резолвятся домены из реестра.
Провайдер живёт и здравствует, клиенты не разбегаются.Sabubu
24.09.2019 04:30Если он сам резолвит запрещенные домены, то он уязвим перед "атакой", когда мы покупаем такой запрещенный домен и указываем в нем IP-адрес первого канала или мэйл ру. В этом случае такой уязвимый провайдер лишит своих пользователей доступа к госпропаганде. Потому, я думаю, он не резолвит домены сам, а все же использует предоставляемые РКН IP-адреса. А эти адреса обновляются не мгновенно, что позволяет сайтам уходить от блокировок, меняя их ежесуточно.
Whuthering
24.09.2019 09:27покупаем такой запрещенный домен и указываем в нем IP-адрес первого канала или мэйл ру. В этом случае такой уязвимый провайдер лишит своих пользователей доступа к госпропаганде.
Чтобы такого не было, уже есть белый список адресов, которые нельзя блокировать.
JustDont
23.09.2019 11:09Не понимаю, почему все так радуются, считая что это поможет «борьбе с цензурой».
Потому что на какое-то время поможет.
А что это не устоит перед ковровыми бомбардировками (или отдельным уютненьким собственным интернетом) — разумеется, не устоит. Но что делать. Доступ к интернету медленно, но верно (и абсолютно необратимо) превращается в зарегулированный и забюрократизированный процесс, и происходит это далеко не силами только РФ, это общемировой тренд.xdimquax
23.09.2019 13:29+1Ковровые блокировки по IP обойти не сложнее обычных, а это самое главное, имхо.
Kanut
23.09.2019 10:11+1Он устраняет самое «слабое звено» в HTTPS — открытые DNS-запросы, по которым сейчас злоумышленник на уровне провайдера или государства может отслеживать содержимое DNS-пакетов и даже подменять их.
А у меня вот тут возник вопрос: а всякие "аппаратные" адблокеры это случайно не будет "устранять"? Ну то есть adguard или блокеры, которые встроены не в браузер, а скажем в рутер?
ElegantBoomerang
23.09.2019 11:25Хм. Ну в теории на роутере можно поднять свой, добрый, MITM DoH с фильтром, но это конечно посложнее.
Я бы вообще сказал, что наверное полезнее доверять своему роутеру по обычному DNS (и пусть фильтрует рекламу, защищает от DNS rebinding, например), а вот мимо провайдера уже DoH/DoT.
Kanut
23.09.2019 11:42Вопрос в том сколько обычных пользователей смогут и будут таким заниматься. Ведь сейчас тоже есть варианты как всё самому настроить чтобы блокировки обходить.
П.С. И я понимаю что это наверное уже из разряда паранои, но отдельным корпорациям я доверяю меньше чем отдельным государствам/правительствам. И честно говоря если бы инициатива шла только от гугла, то я бы наверное очень скептически к ней отнёсся. Но Mozilla вроде бы поадекватнее и к ней у меня в этом плане особых претензий нет.
Balling
23.09.2019 11:49Я думаю они все будут использовать APNIC + Cloudflare dns. Оно быстрее и ресурсов у RIR APNIC больше, чем у Google и Cloudflare вместе. «Но Mozilla вроде бы поадекватнее» — но они же оба с открытым кодом.
Кстати, всякие «аппаратные» адблокеры это случайно не будет «устранять»
Это не возможно. Дело в том, что в случае DoH там 443 порт, причем на ip, который используется и для web ресурсов и который меняется. И трафик не отличим.Kanut
23.09.2019 11:53«Но Mozilla вроде бы поадекватнее» — но они же оба с открытым кодом.
В данном случае я скорее имел ввиду отношение этих фирм к рекламе и адблокерам :)
vmarunin
23.09.2019 14:48Да, это одна из известных проблем DoH.
Вся индустрия «фильтрации через DNS» накрывается медным тазом.
Либо у вас свой роутер, которому вы доверяете, либо внедряйте AdBlock в каждый браузер.
Дядьки решили, что это меньшее из зол
Groramar
23.09.2019 10:14Государство и предыдущие вызовы (от challenge) не смогло толком победить. А тут новые прилетают ) Но ничего. Мы за ценой не постоим (ц). Будут еще от 50 млрд потрачены.
ghrb
23.09.2019 11:12Будут еще от 50 млрд потрачены.
А если собственно это в основном и требуется? И от такой реакции кто надо будет только рад? Денег же подгонят чтобы решать проблему.
Qetzlcoatl
23.09.2019 13:17+1Не понимаю, чему тут радоваться?
Т.е. для того, что бы разрозненные локальные интернет-провайдеры не банили вам торенты (без сбора информации о вас или с минимальной доступной), вы готовы добровольно централизованно вливать в крупнейшие инетрнет-шпионы (CloudFlare, Cisco) и рекламные сети (Google) всю информацию о вашем серфинге, причём per browser, что бы у них был максимально полный ваш «электронный портрет»?
Мир сошёл с ума!
PS. Жду анонса, что Facebook запускает свой DoH сервис. А то весь рекламный/BigData пирог переделят без него…shifttstas
23.09.2019 14:10Google/CloudFlare DNS как то лучше чем DNS от провайдера и по скорости и по приватности.
Qetzlcoatl
24.09.2019 06:52и по скорости
Можете обосновать теоретически и доказать практическими замерами?
vmarunin
23.09.2019 14:52У меня ноут на Windows и телефон на Android, браузер Chrome, почта на gmail, Skype…
Гугл и так меня как облупленного знает. А чего не знает Google — знает Microsoft.
Поздно пить Боржоми…
PS Ну и Яндекс уже неплохо меня знает.
PPS Facebook запускает свой Internet! На дронах.Qetzlcoatl
24.09.2019 07:07Поздно пить Боржоми…
И у меня, в принципе, та же история.
Но я и не пИсаю кипятком от новости о внедрении DoH в браузеры.
Мне очевидно, что это отнюдь не освобождение от цифрового рабства, а очередной виток его.
Groramar
23.09.2019 15:08+2Рекламу от гугла можно залочить разными способами и юзать его DNS. Залочить же товарища майора намного сложнее.
xdimquax
23.09.2019 15:16Если заблокировать рекламу Google, то он не перестанет следить за пользователем, в т.ч. посредством DNS.
Groramar
23.09.2019 16:17+1Последствия от слежки сильно разные. Гугловская, хоть и мало приятная, однако почти наверняка останется без последствий. Майорская же, бывает, доходит до реальных сроков. Не считая других, более мелких возможных 'плюшек'.
Qetzlcoatl
24.09.2019 06:491. Скольких из ваших друзей, только не виртуальных, а в самом что ни на есть оффлайне, посадил на кукан на основании DNS запроса товарищ майор, скажем, за последний год?
2. Если товарищу майору очень захочется посадить вас на кукан на основании DNS запроса, теперь он возьмёт эту информацию в Гугле, Клаудфларе или Циско, с их содействием или вопреки ему. Теперь вместе с сопутствующей информацией в одном месте, с полным вашим цифровым портретом.
stork_teadfort
23.09.2019 16:09Кто вам не дает поднять свой DoH-сервер где-то в «цифровом офшоре», настроить его в FF / Chrome и не сливать инфу в корпорации? Технология не прибита к ним гвоздями, просто чтобы не сделать ее игрушкой для гиков, by default там сейчас CDN CloudFlare.
Qetzlcoatl
24.09.2019 06:43+1Мне, очевидно, и раньше никто не мешал поднять в «цифровом офшоре» обычный DNS-прокси и туннелировать запросы через SSH.
Я говорю о интегрированном в браузер, и включенном по-умолчанию, методе передачи всех ваших DNS-запросов, в дополнение к прочему трекингу, в копилочку ряда мегакорпораций, для тех пользователей, кто радеет за «безопасность», но не в состоянии «поднять что-то где-то в цифровом офшоре».
dartraiden
23.09.2019 18:58+1Мир сошёл с ума!
Я не сошёл с ума, поэтому предпочитаю, чтобы обо мне знал CloudFlare, а не провайдер, который сольёт меня по первому запросу из органов. CloudFlare от меня далеко и ничем не угрожает, а органы могут возбудиться на смешной мемасик про церковь или на матерные слова в адрес президента.
Кроме того, Mozilla обещает наблюдать за тем, чтобы CloudFlare соблюдал приватность пользователей DoH-сервера Mozilla, а за моим провайдером разве что товарищ майор в своих интересах наблюдает.
По той же причине я старательно избегаю ГОСТ-овских алгоритмов шифрования.Qetzlcoatl
24.09.2019 07:05чтобы CloudFlare соблюдал приватность пользователей
Вы последние лет 5, а то и все 10, проспали в криокамере?
Пролистайте последние новости.
Об «утечках» пользовательских данных менее, чем нескольких десятков миллионов пользователей, уже и стыдно упоминать в новостях.
О «глобальной дыре» любого сервера в виде Intel Management Engine всем набило оскомину и тему замяли в угоду более горячим новостям.
А дядя Трамп победил только благодаря разжёванных Cambridge Analytica больших данных «оттуда» и «отсюда».
Но вы продолжайте верить, что «Mozilla обещает наблюдать»!
И что «органам» это усложнит, а не упростит проверку мемасиков про церковь.
red_andr
23.09.2019 19:12+1А что может сделать гугл со мной используя эту информацию? Ну максимум покажет контекстную рекламу, которую я, к тому же, и так режу. Вот и всё. А вот что может сделать локальный провайдер, тут сами догадайтесь. Начиная с шага передачи её местным правоохранителям. Хотя какая передача, они же автоматически и так всё получают. Ну и самое забавное, в интернет я хожу гугловским же хромом. Так что они и так в курсе куда я хожу, если захотят, безо всяких лишних телодвижений.
Kanut
23.09.2019 19:18А что может сделать гугл со мной используя эту информацию? Ну максимум покажет контекстную рекламу, которую я, к тому же, и так режу.
Он вам например может "выставить" завышенные цены на определённые товары или услуги, которые вы ищите. Или даже просто начать "скрывать" от вас информацию. Или наоборот показывать что-то другое и необязательно правдивое.
П.С. И я понимаю что это всё скорее из разряда вещей а ля" Чёрное зеркало", но кто его знает что будет через пару десятилетий…
xdimquax
23.09.2019 20:22Это не ''черное зеркало'', это называется ''пузырь фильтров''.
Kanut
23.09.2019 20:36Не совсем так. Пузырь это максимум "несовершенность системы" и не имеет под собой чьего-то умысла и желания показать вам определённую информацию. Я же писал скорее о "осмысленных" действиях со стороны гугла и намеренной манипуляцией пользователей.
xdimquax
23.09.2019 21:41IIRC, Google, как и многие другие, блокирует по требованию РКН ''пиратские'' сайты в поисковой выдачи российских пользователей. И в целом, блокирует контент, на который поступили жалобы правообладателей.
red_andr
23.09.2019 20:35+1Это, конечно, проблема, согласен. Хотя нет, так себе проблемка. Так как по сравнению со другим сценарием она представляет собой скорее неудобство, чем реальную проблему. Скажем, лично я никогда ничего не покупаю дороже десяти баксов без исследования хотя бы трёх независимых альтернатив.
Kanut
23.09.2019 20:40А "независимые альтернативы" вы как находите? А как находите информацию что они действительно независимые? Случайно не с помощью гугла? :)
И я естественно преувеличиваю и мы ещё даже близко не подошли к такой ситуации. Но я уже выше писал что это конечно можно назвать параноей, но отдельным концернам я уже доверяю меньше чем отдельным правительствам.
Dsvolkov
24.09.2019 12:09В чем-то вы правы, но нашему правительству, очень далеко до того, чтобы оказаться в этом списке. Пока Гугл и Ко гораздо меньшее зло, имхо. И как верно заметил red_andr у него есть альтернативы. Пускай они все не идеальны и не идеально независимы, но всё равно, какая-то система сдержек и противовесов работает. Это примерно как на выборах выбирать из трех так себе партий или вообще не выбирать. Ну понимаете
Kanut
24.09.2019 12:14+1Я всё это понимаю и поэтому и писал в не особо категоричных формулировках. И да, для жителей России гугл это меньшая беда по сравнению с правительством. Но скажем для жителей какой-нибудь Швейцарии скорее наоборот. И в отличии от власти и возможностей швейцарского правительства, власть и возможности гугла растут относительно быстро.
Dsvolkov
24.09.2019 12:24Это тоже понятно, но для живущих в РФ это пока проходит в основном по категории "проблемы белых людей" )) Вообщем масштабы проблем имхо несравнимы пока. Примерно как в Северной Корее людей не волнуют проблемы свободного интернета, так в РФ людей не особо волнуют проблемы слежки со стороны гугла.
armid
23.09.2019 14:30На этой странице вы можете проверить, поддерживает ли ваш браузер ESNI и другие стандарты шифрования.
У меня локально настроен unbound но этот тест ругается, что Secure DNS и Encrypted SNI не работает.
Вот интересно что в конфиг нужно добавить? Не сильно в этом шарю
Заголовок спойлераserver: access-control: 10.0.0.0/8 allow access-control: 192.168.0.0/16 allow access-control: fddd::/48 allow aggressive-nsec: yes root-hints: root.hints trust-anchor-file: "trusted-key.key" cache-max-ttl: 18000 cache-min-ttl: 300 chroot: /etc/unbound directory: /etc/unbound do-ip4: yes do-ip6: yes do-tcp: yes hide-identity: yes hide-version: yes interface: 127.0.0.1 interface: ::1 # pidfile: /var/run/local_unbound.pid port: 53 prefetch-key: yes prefetch: yes rrset-roundrobin: yes tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt use-caps-for-id: yes username: unbound do-daemonize: no verbosity: 1 use-syslog: yes logfile: "/etc/unbound/unbound.log" remote-control: forward-zone: name: "." forward-tls-upstream: yes forward-addr: 1.1.1.1@853#one.one.one.one forward-addr: 8.8.8.8@853#dns.google forward-addr: 9.9.9.9@853#dns.quad9.net forward-addr: 1.0.0.1@853#one.one.one.one forward-addr: 8.8.4.4@853#dns.google forward-addr: 149.112.112.112@853#dns.quad9.netxdimquax
23.09.2019 15:13eSNI можно включить в Firefox, но только, если включить еще и DoH. Но даже так, тест будет ругаться на Secure DNS, если не использовать сервер по-умолчанию (т.е. Cloudflare).
mxms
23.09.2019 16:02А с чего вы взяли, что Unbound умеет ESNI? Его вообще никто из доступного массам серверного софта на сегодня не умеет.
ValdikSS
23.09.2019 22:03Поддержка ESNI со стороны DNS не нужна, используется обычная TXT-запись. Или вы о DoH/DoT?
mxms
23.09.2019 22:16Да, про поддержку ESNI в DNS over TLS (включая HTTPS прослойку) и TLS в общем. Или я неправильно понял?
ValdikSS
23.09.2019 22:26ESNI может работать с любым DNS. То, что ему для работы в браузерах требуется DoH — искусственное ограничение браузеров. Предполагается, что бессмысленно скрывать SNI, если доменное имя всё равно будет резолвится через незашифрованный DNS провайдера, например.
mxms
23.09.2019 23:47Да, спасибо. Просто я понял так, что товарищ хотел заставить Unbound отдавать данные через DoT с поддержкой ESNI что (пока) невозможно.
lotse8
23.09.2019 17:46Все закончится тем, что сделают реестр разрешенных для пользования в РФ доменов (белый список), а все остальное закроют. К этому все идет.
xdimquax
23.09.2019 17:53А как они узнают какой сайт посещает пользователь, если используется eSNI? Если и будут белые списки, то по IP, скорее всего.
Darkhon
23.09.2019 19:41Сейчас всё это работает в альфа-версии Firefox Nightly.
Вообще-то, уже есть даже в релизной версии, так как появилось достаточно давно. Суть в том, что скоро это будет включено по умолчанию.
ValdikSS
23.09.2019 20:47+41. В России заблокирован стандартный DoH-резолвер, вписанный в Firefox, mozilla.cloudflare-dns.com.
isitblockedinrussia.com/?host=mozilla.cloudflare-dns.com
Один адрес, 104.16.249.249, внесён в реестр для домена ineedusersmore.net (многие провайдеры не будут блокировать другие сайты на этом IP-адресе, но не все).
Второй адрес, 104.16.248.249, внесён уже чисто по IP-адресу, на основании «суд;2-946/13», и доступ к нему должен блокироваться полностью.
Не удивляйтесь, если DoH в Firefox будет работать через раз или не работать вовсе.
2. На данный момент, использование ESNI у многих провайдеров, применяющих DPI, ухудшает доступность сайтов, вопреки ожиданиям.
Причина в отсутствии SNI в пакете TLS ClientHello.
DPI многих провайдеров настроены так, что когда они не могут определить, к какому домену производится доступ, они блокируют соединение, и фактически получается блокировка по IP.
Реестр запрещенных сайтов состоит из следующих элементов:
- Тип блокировки: default (обычно используется для конкретных HTTP URI), domain, ip
- Домен
- IP-адрес/адреса
- Другая нетехническая информация, вроде судебного решения и органа, добавившего элемент в реестр
Пример:
Есть в реестре заблокированный домен w1.mobgo1azino.site, с IP-адресами 104.28.26.13 | 104.28.27.13. Он заблокирован по доменному имени (реестр содержит IP-адреса даже для типа блокировки type=domain).
Вы хотите зайти на незаблокированный сайт bo0om.ru, у которого те же IP-адреса, потому что оба сайта находятся за Cloudflare.
Если вы используете браузер без ESNI, то DPI провайдера увидит, что вы пытаетесь зайти на bo0om.ru по этим IP-адресам, и разрешит соединение.
Если вы будете использовать ESNI, то в TLS ClientHello-пакете не будет поля SNI, и DPI заблокирует ваше соединение.
Пример таких провайдеров:
Yota Тис-Диалог Мегафон LANTA Ltd Теле2 OOO KDMS/ IP-Home Омские Кабельные Сети LINK-NET/ Линк
Я сейчас провожу эксперимент с разной компоновкой пакета TLS ClientHello, с целью обхода DPI для HTTPS. Если кому интересно поучаствовать в тесте — присоединяйтесь.
Также запустил форум для исследователей блокировок и разработчиков программ для обхода цензуры: NTC Community. Давайте соберёмся вместе, чтобы эффективно общаться, делиться новостями, знаниями и идеями.
VitalKoshalew
23.09.2019 21:29+1То есть Firefox собирается без предъявления дополнительного соглашения, хоть какого-нибудь запроса к пользователю начать с дня X передавать всю его приватную информацию о посещении сайтов, в том числе, возможно, составляющую коммерческую тайну, даже из глубин корпоративных интранетов от каждого браузера напрямую третьим лицам?
Они вообще в своём уме? Я не против этой функции — пусть, кто хочет, её включает. Им мало скандала с телеметрией, они по второму разу на те же грабли идут?
Элементарный, достаточно распространённый, пример: обычный корпоративный доступ в Internet. Chrome забанен как spyware, из всех зол выбран Firefox, чтоб минимизировать утечки информации, но при этом не сидеть на IE11. Скажем, идёт тайная подготовка к большой сделке. Десятки или даже сотни сотрудников постоянно обращаются к сайту партнёра по сделке (в том числе, возможно, Extranet-сайту с говорящим названием вроде merger.extranet.companyname.com). Настроена система внутренних кэширующих DNS-серверов, напрямую (без forwarder-ов) идущих по иерархии DNS-серверов от корня. Возможно с партнёром DNS-резолвинг идёт даже через Extranet. Может быть, ещё какие предприняты меры, чтобы спрятать DNS-трафик. В худшем случае, раз, например, в сутки, кэширующий DNS-сервер предприятия шлёт один запрос на резолвинг A-записи домена партнёра, наряду с тысячами таких же запросов по другим сайтам. И тут с понедельника сотни браузеров вдруг превращяются в шпионские устройства и начинают отчитываться в Cloudflare о каждом сотруднике, зашедшем на сайты партнёра. Если бы это было opt-in функцией, то решение принимали бы в самой фирме, мол, так — мы доверяем CloudFlare эту информацию? — Yes/No. Но сейчас ситуация такова, что некогда безопасная программа с дня X становится шпионской, маскируя свои шпионские действия под легальный веб-трафик. Успеют ли админы предотвратить утечку информации тем или иным способом? Это похоже на бег наперегонки с новой 0-day уязвимостью.ValdikSS
23.09.2019 22:00blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default
We plan to gradually roll out DoH in the USA starting in late September. Our plan is to start slowly enabling DoH for a small percentage of users while monitoring for any issues before enabling for a larger audience. If this goes well, we will let you know when we’re ready for 100% deployment. For the moment, we encourage enterprise administrators and parental control providers to check out our config documentation and get in touch with any questions.
We’re also working with providers of parental controls, including ISPs, to add a canary domain to their blocklists. This helps us in situations where the parental controls operate on the network rather than an individual computer. If Firefox determines that our canary domain is blocked, this will indicate that opt-in parental controls are in effect on the network, and Firefox will disable DoH automatically.
Similarly, Firefox will detect whether enterprise policies have been set on the device and will disable DoH in those circumstances. If an enterprise policy explicitly enables DoH, which we think would be awesome, we will also respect that. If you’re a system administrator interested in how to configure enterprise policies, please find documentation here. If you find any bugs, please report them here.
Respect user choice for opt-in parental controls and disable DoH if we detect them;
Respect enterprise configuration and disable DoH unless explicitly enabled by enterprise configuration; and
Fall back to operating system defaults for DNS when split horizon configuration or other DNS issues cause lookup failures.
VitalKoshalew
23.09.2019 22:20Я и написал — успеют ли все админы увидеть эту запись в блоге и тем или иным способом предотвратить? В том числе, путём отключения через Group Policy.
Сама по себе «Enterprise Configuration» не появится. Если случайно была необходимость ранее (всего лишь с мая 2018 года, когда это функция появилась!) какую-то настройку по умолчанию изменить именно через этот новый механизм, то, похоже, оно само не включится. А если не успели, а настройки делали каким-то другим образом или вообще на настройках по умолчанию сидели — никакой вы не «Enterprise».ValdikSS
23.09.2019 22:34Я полагаю, что речь об Enterprise Configuration в смысле «компьютер в домене», а не о каких-то настройках конкретно Firefox.
VitalKoshalew
23.09.2019 22:38+1В том самом блоге написано противоположное:
Firefox will detect whether enterprise policies have been set on the device and will disable DoH in those circumstances. If an enterprise policy explicitly enables DoH, which we think would be awesome, we will also respect that. If you’re a system administrator interested in how to configure enterprise policies, please find documentation here.
Ссылка на механизм Enterprise Policies, впервые появившийся в мае прошлого года.ValdikSS
23.09.2019 22:56Да, в таком случае ваши опасения оправданы.
Еще можно заблокировать домен use-application-dns.net, и тогда DoH не включится.
support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
rafuck
23.09.2019 23:25Если предположить, что такой сценарий возможен для компании X, разве не должна эта самая компания запрещать обновления ПО (браузеров в том числе) без надлежащей проверки этих самых обновлений?
VitalKoshalew
24.09.2019 07:40Почему какая-то компания кому-то что-то должна? В каждой компании свои методы поддержки инфраструктуры. Эту функцию вообще не с новой версией включают, а, насколько я понимаю, через механизм studies, начиная с США и далее везде. В текущей версии.
Вопрос не в том, что нельзя успеть предотвратить каким-то образом — можно,ведь «все чертежи, планы и распоряжения о сносе висели на доске объявлений в местном отделении по планированию на Альфе Центавра»если в течении пару недель прочитать блог Mozilla. Просто существовал продукт, который, в отличие от конкурентов, ничего никуда не слал, за что, не в последнюю очередь, его использовали пару десятилетий. Внезапно он превращается в классическое spyware.
izuware
23.09.2019 21:30Очень странное поведение товарища майора, он сам стимулирует развитие разных скрытных путей доступа к информации. Не эффективнее ли переписать активных посетителей сих неугодных ресурсов и оп?
OlegSochi
24.09.2019 10:12Объясните мне пожалуйста:
— прописан DNS на сетевом соединении хоста 1.1.1.1, а на роутере 8.8.8.8, какой DNS сервер использоваться будет?
— не прописано никакого DNS сервера на сетевом соединении хоста (типа, использовать DNS провайдера), а на роутере 8.8.8.8. Какой DNS сервер будет использоваться?
— прописанный DNS сервер 1.1.1.1 на хосте, что вообще даёт? Шифрование моих DNS запросов? Шифрование по DOT, или DOH?YourChief
24.09.2019 20:11+11 — будет использоваться 1.1.1.1 (если роутер, конечно, не переадресует все пакеты DNS принудительно)
2 — если DNS не прописан, то будет использован тот, который получен через автонастройку (например, по DHCP). Обычно роутеры имеют свой DNS-форвардер и сообщают машинам в сети его адрес, а дальше уже пересылают DNS-запросы дальше, куда настроены.
3 — Ничего не даёт, для шифрования по DoH или DoT нужен специальный DNS-клиент.
dm-avr
24.09.2019 10:12А что государству мешает обязать провайдеров cloudflare-dns.com/dns-query блочить?
qw1
24.09.2019 21:00А обоснование какое? Обычно блочат за что-то, или потому что на том же IP есть запрещённый контент.
Если же внаглую заблочить, то выходит 9-й Android, в котором DNS уже работает через гугловский DoH и никак иначе, и все андроиды в стране превращаются в тыкву. DoH разблочивают.
TheChief5055
25.09.2019 16:08Поставим вопрос шире — что мешает государству заблокировать 1.1.1.1/1.0.0.1 прямо вот сейчас?
Javian
Полумера. Это должно быть на уровне роутера. В тот же Cмарт ТВ Хром не поставишь, если он не на Android.
shifttstas
Не сомневаюсь, что в роутерах это так же появится, текущая сложность пожалуй только в том, что роутер на данный момент не работает с HTTP/2 / HTTPS трафиком и скорее всего не обладает нужным софтом для установки такого соединения.
Marwin
Кинетики вам в помощь, в моделях, поддерживающих прошивку v3, завезли и DoH и DoT.
Заюзал у себя уже несколько месяцев назад, всё норм…
Javian
Нагуглилась статья про Openwrt — What is DNS Privacy and how to set it up for OpenWRT. Надо пробовать.
Radiohead72
А вот у меня не норм…
Роутер у меня весьма редкий и необычный. Synology RT2600ac
Сегодня перенастраивал его совершенно по другому поводу и случайно обнаружил что там есть поддержка DoH.
Включил.
На rutor.info прилетает Билайновская заглушка…
Marwin
а почему, простите, не должна прилетать? у нас банят сайты по ip целиком, а не по DNS. DoH и DoT от этого не спасают, они немного для другого.
Wolches
Для того чтобы провоцировать РКН рушить все баном подсетей?
Sheti
Я у себя дома развернул одноплатник с проксирующим DNS который через DoH запросы делает, а по сети уже видится как обычный DNS. Цена вопроса — один из дешевых одноплатников.
MaZaAa
help.keenetic.com/hc/ru/articles/360007687159-%D0%A1%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-DNS-over-TLS-%D0%B8-DNS-over-HTTPS-%D0%B4%D0%BB%D1%8F-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F-DNS-%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2
Revertis
А ещё есть AdGuard Home — ДНС сервер для домашней сети, с удобной вебмордой и кучей настроек. И с блокировкой рекламы, естественно.
xdimquax
Вроде бы, эта штука ничем особо не лучше pi-hole, в части блокировки рекламы и вебморды. А DNS-сервер (с поддержкой DoH или DoT) и самому поднять можно.
Revertis
Сходите на гитхаб и посмотрите сравнение с pi-hole.
xdimquax
В т.ч. по нему я и сделал такой вывод. Почти все плюсы притянуты за уши.
Javian
У меня Pi-hole работает. Оказалось к нему можно прикрутить DoH.
Хотя роутер у меня на Atheros AR9344 560MHz. И на его openwrt крутится Adblock. Хотелось бы нагрузить еще эту мощную железяку, чем разводить кучу коробочек с проводами.
xdimquax
OpenWRT можно научить DoH. Но сам адблок недотягивает до pi-hole.
Javian
Да, adblock достаточно прост, но у него из коробки большой список блокировки. На pi-hole мне пришлось русские списки делать самому.
dmitryredkin
А что мешает? dnsmasq, который выступает в качестве DNS прокси на большинстве дешевых SOHO роутерах, легко настраивается на использование любого проксирующего DNS сервера, например — https_dns_proxy
firedragon
Какая разница шифруется или нет если товарищЪ майор, не важно из КГБ или из АНБ, просто имеет кабель ко всем расшифрованным данным?