| Автор |
Сообщение |
Михаил ®
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
Cloudflare, Apple и Fastly заявили о разработке нового стандарта DNS, который отделяет IP-адреса от запросов. Oblivious DNS over HTTPS (ODoH) имеет открытый исходный код.
Обычная система доменных имен (DNS) сопоставляет используемые доменные имена, такие как cloudflare.com, с IP-адресами и другой информацией, необходимой для подключения к этому домену. DNS-запросы отправляются в открытом виде. Это означает, что на сетевом пути между устройством и преобразователем DNS может появиться третье лицо, которое будет видеть и запрос с именем хоста, и IP-адрес гаджета.
Чтобы защитить DNS от постороннего вмешательства, был разработан стандарт DNS через HTTPS (DoH) и DNS через TLS (DoT). Оба протокола предотвращают перехват, перенаправление или изменение запросов между клиентом и преобразователем. Клиентская поддержка DoT и DoH растет, она реализована в последних версиях Firefox, iOS и других. Однако пока Cloudflare остается одним из немногих провайдеров, предлагающих общедоступную услугу DoH/DoT.
Ключевой компонент ODoH — это прокси, не связанный с целевым преобразователем. Протокол запустили при поддержке прокси-партнеров, включая PCCW, SURF и Equinix.
ODoH добавляет уровень шифрования с открытым ключом, а также сетевой прокси между клиентами и серверами DoH, например 1.1.1.1. Комбинация этих двух дополнительных элементов гарантирует, что только пользователь имеет доступ как к сообщениям DNS, так и к собственному IP-адресу одновременно. Цель расшифровывает запросы, зашифрованные клиентом, через прокси. Точно так же цель шифрует ответы и возвращает их прокси. При этом цель видит только запрос и IP-адрес прокси, расшифровывая их с помощью ключа DNSSEC. Прокси-сервер не видит сообщений DNS и не может идентифицировать, читать или изменять ни запрос, отправляемый клиентом, ни ответ, возвращаемый целью. Клиент может выбрать и изменить свои прокси и цели в любой момент. Таким образом, успешная атака может быть реализована, только если и прокси, и цель скомпрометированы.
Добавленное шифрование является «сквозным» между клиентом и целью и не зависит от шифрования на уровне соединения, обеспечиваемого TLS/HTTPS. Для поддержки функций прокси требуется два отдельных соединения TLS. В частности, прокси завершает TLS-соединение от клиента и инициирует другое TLS-соединение с целью. ODoH дополнительно шифрует сообщения между клиентом и целью, поэтому прокси-сервер не имеет доступа к содержимому сообщения.
Клиенты передают зашифрованные запросы прокси-серверу через HTTPS-соединение. После получения прокси-сервер пересылает запрос указанной цели. Затем цель дешифрует запрос, выдает ответ, отправляя запрос рекурсивному преобразователю, например, 1.1.1.1, и шифрует ответ. Зашифрованный запрос от клиента содержит инкапсулированный ключевой материал, из которого целевые объекты получают симметричный ключ шифрования ответа.
«Наряду с повышенной безопасностью и производительностью базовой глобальной сети PCCW, доступ к которой можно получить по запросу через Console Connect, производительность прокси-серверов в сети улучшена резолверами Cloudflare 1.1.1.1. Эта модель впервые полностью отделяет клиентский прокси от резолверов», — заявил Майкл Глинн, вице-президент по цифровым автоматизированным инновациям в PCCW Global
На диаграмме ниже показано кумулятивное распределение времени запроса/ответа в DoH, ODoH и DoH при передаче по сети Tor.
По сравнению с другими вариантами DNS, ориентированными на конфиденциальность, ODoH сокращает время запроса вдвое и более.
Открытый исходный код реализаций ODoH доступен на Rust, odoh-rs и Go, odoh-go.
Протокол поддерживается TLS-расширением ESNI (Encrypted Server Name Indication), которое позволит передавать идентификатор запрошенного хоста в шифрованном виде. В 2018 году его разработали Mozilla, Cloudflare, Fastly и Apple.Источник |
|
|
 |
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
резолв работает c очень приличной скоростью ( nnmclub.to Query time: 20 msec). Я так и не понял зачем нужен клиент? Cобрал растовую версию, думал сначала через него работает. Тестировал через демон cloudfared
|
|
|
|
|
trumpdonald
Стаж: 7 лет 4 мес.
Сообщений: 54
Ratio: 7.056
100%
Откуда: Курляндский ФО
|
Замечательно. Теперь телеметрию и автообновления будет не остановить |
|
|
|
|
fibi768
Стаж: 11 лет 6 мес.
Сообщений: 1802
Ratio: 1.705
100%
Откуда: Киев
|
Не знаю, поможет ли данная технология обойти блокировки...
У нас заблокировали яндекс и вконтакте и еще другие ресурсы, но яндекс для меня самый болезненный удар. Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире.
Попался бы в руки инициатор этих блокировок без охраны... |
|
|
|
|
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
интересно каким образом можно заставить работать cloudfared с кэширующими резолверами, например с самым частым сейчас используемым systemd-resolved? Похоже никак, демон же сам виснет на 53 порту |
|
|
|
|
dep_k
Стаж: 10 лет 2 мес.
Сообщений: 307
Ratio: 6.132
39.75%
|
Cloudflare, Apple... сразу нет |
_________________
Мы не должны добиваться справедливости, которой нет и не будет в падшем мире, а нужно лишь «выбирать из двух зол». А чтоб было меньше боли, надо всего лишь «отстаивать право государства на насилие».
|
|
|
|
ViTaRga
Стаж: 13 лет 6 мес.
Сообщений: 22
Ratio: 14.48
Раздал: 5.745 TB
3.84%
Откуда: Москва
|
fibi768 писал(а):  | Не знаю, поможет ли данная технология обойти блокировки...
У нас заблокировали яндекс и вконтакте и еще другие ресурсы, но яндекс для меня самый болезненный удар. Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире.
Попался бы в руки инициатор этих блокировок без охраны... |
Хрень полная этот поисковик от Яндекс. Все норм чуваки используют Google. |
|
|
|
|
feogabber
Стаж: 12 лет 1 мес.
Сообщений: 265
Ratio: 15.092
9.43%
|
| ViTaRga писал(а): | | fibi768 писал(а): | Не знаю, поможет ли данная технология обойти блокировки...
У нас заблокировали яндекс и вконтакте и еще другие ресурсы, но яндекс для меня самый болезненный удар. Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире.
Попался бы в руки инициатор этих блокировок без охраны... |
Хрень полная этот поисковик от Яндекс. Все норм чуваки используют Google. |
В русскоязычном сегменте ваш пендоский гугл полный отстой, до я ндекса ему как до луны. |
|
|
|
|
Thanatos_UA_
Стаж: 5 лет 5 мес.
Сообщений: 475
Ratio: 20.401
Раздал: 14.02 TB
Поблагодарили: 2229
95.23%
|
Уже давненько использую на android приложуху Nebulo - Dns over HTTPS/TLSОно мало того что dns заворачивает куда нужно, так еще и поддерживает списки с возможностью блокировки и работает как AdBlock Очень удобная штука, два в одном  Хотя...  |
|
|
|
|
DanteDevill
Стаж: 13 лет 8 мес.
Сообщений: 179
Ratio: 20.422
Поблагодарили: 2
100%
|
| fibi768 писал(а): | Гугл убогий по русскоязычному поиску, яндекс на много удобней |
могу тоже самое сказать кому нужен убогий хрЯндекс если есть onesearch, duckduckgo, startpage, или гугл |
|
|
|
|
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
зато тестовая страница показывает все в зеленом цвете. Насколько я помню постоянно были варнинги.
хотя я на винде еще ни разу эту тестовую страницу не запускал. Надо будет завтра посмотреть |
|
|
|
|
Ronndger
Стаж: 6 лет 11 мес.
Сообщений: 9
Ratio: 8.226
100%
|
| fibi768 писал(а): | Не знаю, поможет ли данная технология обойти блокировки...
У нас заблокировали яндекс и вконтакте и еще другие ресурсы, но яндекс для меня самый болезненный удар. Гугл убогий по русскоязычному поиску, яндекс на много удобней и быстрее обновляется и возможности шире.
Попался бы в руки инициатор этих блокировок без охраны... |
Могу посоветовать поставить yandexbrowser даже c nnm и через магазин хрома, там где расширения, (в магазин расширений яндекс браузера просто не зайдет), находишь расширение "yandex access" активируешь его в дополнениях ябраузера, ребутишь браузер и должно заработать. |
|
|
|
|
bigsun09
Стаж: 10 лет 9 мес.
Сообщений: 160
Ratio: 0.766
15.8%
Откуда: Москва
|
Я использую SimpleDNSCrypt64. И судя по описанию, все это у меня уже есть. |
|
|
|
|
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
| bigsun09 писал(а): | SimpleDNSCrypt64 |
можешь сказать сколько у тебя время резолва nnmclub.to? Просто интересно знать. Шифрование это всегда по крайней мере замедление, а в сабже почти от локального резолва не отличается. Очень впечатляет |
|
|
|
|
bigsun09
Стаж: 10 лет 9 мес.
Сообщений: 160
Ratio: 0.766
15.8%
Откуда: Москва
|
monkdt
Понимаю что nslookup, но какая команда? |
|
|
|
|
|
|
