Mozilla экспериментирует с новым сетевым протоколом DNS-over-HTTPS

image

Теги: Mozilla, Firefox, DoH, DNS

Исследователи соберут информацию о том, сколько пользователей браузера Firefox из США используют систему родительского контроля и корпоративные конфигурации DNS.

Разработчики Mozilla сообщили о проведении эксперимента с DNS-over-HTTPS (DoH) — новым сетевым протоколом, шифрующим запросы и ответы системы доменных имен (DNS). В рамках эксперимента исследователи соберут информацию о том, сколько пользователей браузера Firefox из США используют систему родительского контроля и корпоративные конфигурации DNS.

В этом исследовании будут сгенерированы DNS-запросы из браузеров участников для обнаружения родительского контроля на уровне DNS. Тестовые домены, которыми управляют известные провайдеры, попытаются определить, включен ли родительский контроль в Cети. Например, OpenDNS управляет сайтом exampleadultsite.com, который не является порталом для взрослых, но присутствует в списках блокировки некоторых провайдеров. Данные провайдеры часто блокируют доступ к подобным web-сайтам, возвращая неверный IP-адрес для поиска DNS.

В рамках этого теста разработчики разрешили доступ к exampleadultsite.com. Согласно OpenDNS, доменное имя должно разрешаться только по адресу 146.112.255.155, и если возвращается другой адрес, то это говорит о включенном родительском контроле на уровне DNS. Браузер не будет подключаться или загружать какой-либо контент с web-сайта.

Также разработчики протестируют IP-адреса, возвращаемые для Google и YouTube, для проверки их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com.

Для выявления использования внутренних корпоративных резолверов определяемые при открытии сайтов хосты будут проверены на предмет использования нетипичных доменов первого уровня (TLD) и возвращения для них интранет-адресов. Мотивом проведения эксперимента стали опасения, что включение по умолчанию DNS-over-HTTPS может нарушить работу функционирующих через DNS систем родительского контроля, а также создать проблемы для пользователей корпоративных сетей, которые используют DNS-серверы, отдающие сведения о внутренних доменах, не видимых во внешней сети.

Новый протокол DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, защиты от блокировок на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам. В обычной ситуации DNS-запросы напрямую отправляются на определенные в конфигурации системы DNS-серверы, а в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API.

Для включения DoH в about:config пользователю необходимо изменить значение переменной network.trr.mode, поддерживающейся начиная со сборки Firefox 60. Значение 0 отключает DoH, 1 — использует DNS или DoH, в зависимости скорости, 2 — использует DoH по умолчанию, а DNS как альтернатива, 3 — используется только DoH, 4 — параллельное задействование DoH и DNS. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить " https://dns.google.com/experimental " или " https://9.9.9.9/dns-query" .

Отказаться от участия в эксперименте можно через страницу "about:studies" (исследование представлено в списке как "Detection Logic for DNS-over-HTTPS").

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.