Сетевая безопасность
DNS over HTTPS (DoH)
Также известно как: DoH
Определение
Протокол, передающий DNS-запросы и ответы по зашифрованному HTTPS-соединению и защищающий их от перехвата и подмены в локальной сети.
DoH (RFC 8484) оборачивает стандартные DNS-запросы в HTTPS-запросы к DoH-совместимому резолверу, обычно через порт 443. Поскольку трафик выглядит как обычный веб-трафик, его трудно избирательно блокировать, а между клиентом и резолвером он зашифрован сквозным образом. Это не позволяет атакующим на пути, captive-порталам и провайдерам наблюдать за DNS-запросами или подменять их. DoH не подтверждает подлинность данных (это задача DNSSEC), но сохраняет конфиденциальность запросов. Некоторые компании сопротивляются DoH, поскольку он обходит локальную DNS-фильтрацию; меры противодействия включают принудительное использование управляемого резолвера, блокировку известных публичных DoH-конечных точек и политики безопасного DNS через DDR.
Примеры
- Браузер настроен на использование Cloudflare 1.1.1.1 через DoH и шифрует все DNS-запросы независимо от системного резолвера.
- Мобильный оператор не может внедрять рекламные DNS-перенаправления, так как устройство разрешает имена через DoH.
Связанные термины
DNS over TLS (DoT)
DNS over TLS (DoT) — definition coming soon.
DNSSEC
Набор расширений DNS, криптографически подписывающих данные зоны, чтобы резолверы могли проверять подлинность и целостность DNS-ответов.
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
Атака «человек посередине» (MitM)
Атака, при которой злоумышленник тайно ретранслирует или изменяет сообщения между двумя сторонами, считающими, что они общаются напрямую.