DoH — DNS so‘rov va javoblarini HTTPS ichida uzatadigan protokol. Uning to‘liq nomi DNS over HTTPS hisoblanadi.
DoH foydalanuvchi qurilmasi bilan DNS resolver orasidagi trafikni TLS orqali shifrlaydi. Mahalliy tarmoq kuzatuvchisi oddiy UDP yoki TCP 53 paketidagidek domen nomini bevosita ko‘ra olmaydi.
DoH DNS recordning o‘zini kriptografik tasdiqlamaydi. Bu vazifani DNSSEC bajaradi.
Oddiy DNS
Klassik DNS odatda:
orqali ishlaydi.
Oddiy DNS trafik ko‘pincha shifrlanmaydi.
Tarmoq operatori:
ni ko‘rishi yoki javobni o‘zgartirishga urinishi mumkin.
HTTPS ichidagi DNS
DoH DNS xabarini HTTP request va response ichiga joylaydi.
Qatlamlar:
DNS message
HTTP
TLS
TCP yoki QUIC
IP
HTTP/2 va HTTP/3 bir ulanish ichida ko‘plab DNS so‘rovlarini parallel tashishi mumkin.
Endpoint
DoH resolver HTTPS URL bilan taqdim etiladi.
Keng tarqalgan path:
https://resolver.example/dns-query
Client avval resolver domenining IP manzilini bilishi kerak.
Bu bootstrap masalasini keltirib chiqaradi.
GET usuli
DNS message wire formatda olinib, URL-safe base64 bilan kodlanadi.
Misol shakli:
GET /dns-query?dns=BASE64URL HTTP/2
Accept: application/dns-message
GET javobi cache mexanizmlaridan foydalanishi mumkin, lekin URL query uzunligi cheklangan.
POST usuli
DNS wire message HTTP body ichida yuboriladi.
POST /dns-query HTTP/2
Content-Type: application/dns-message
Accept: application/dns-message
POST katta so‘rovlar uchun qulay va DNS ma’lumotini URL ichida ko‘rsatmaydi.
Media type
Standart wire-format DoH uchun media type:
application/dns-message
Ba’zi resolverlar JSON API taqdim etishi mumkin, lekin standart DoH wire format bilan bir xil emas.
TLS
DoH HTTPSga tayanganligi sababli:
- resolver sertifikati tekshiriladi;
- trafik shifrlanadi;
- xabar yaxlitligi himoyalanadi;
- server nomi autentifikatsiya qilinadi.
Client resolver hostname bilan sertifikat mosligini tekshiradi.
Noto‘g‘ri system time sertifikat validationini buzishi mumkin.
Port
DoH odatda TCP 443-port yoki HTTP/3 holatida UDP 443-port orqali ishlaydi.
DNS trafik oddiy veb trafik bilan bir portda bo‘lgani sababli tarmoq qurilmasi uni port raqami orqali oson ajrata olmaydi.
HTTP/2
HTTP/2 DoH uchun quyidagi imkoniyatlarni beradi:
TCP packet yo‘qolishi barcha HTTP/2 streamlarga qisqa ta’sir qilishi mumkin.
HTTP/3
Afzalliklari:
- streamlar mustaqil;
- tez handshake;
- connection migration;
- packet lossda kamroq cross-stream blocking.
DoH server HTTP/3ni qo‘llashi shart emas.
Bootstrap
Resolver URL hostname ko‘rinishida bo‘lsa, client unga ulanish uchun IP manzil topishi kerak.
Usullar:
- client konfiguratsiyasida bootstrap IP;
- operatsion tizimning oddiy DNS resolversidan dastlab foydalanish;
- oldindan cache;
- DHCP yoki encrypted DNS discovery;
- application bundle ichida resolver IP.
Bootstrap IP o‘zgarsa, client yangi manzilni olish mexanizmiga ega bo‘lishi kerak.
Browser DoH
Brauzer o‘z DoH resolver siyosatiga ega bo‘lishi mumkin.
- operatsion tizim resolveridan foydalanish;
- mahalliy provider resolverini DoHga upgrade qilish;
- belgilangan public resolver;
- enterprise policy bilan o‘chirish;
- parental control yoki captive portal holatida fallback.
Brauzer DoH yoqilsa, DNS so‘rovi OS resolver logida ko‘rinmasligi mumkin.
Operatsion tizim DoH
OS darajasidagi DoH barcha ilovalarga xizmat qilishi mumkin.
Afzalligi:
Ilova ichidagi alohida DoH OS siyosatini chetlab o‘tishi mumkin.
Maxfiylik chegarasi
DoH lokal tarmoqdan DNS nomini yashiradi, lekin barcha trafikni anonim qilmaydi.
Quyidagilar hali ko‘rinishi mumkin:
- resolver IP;
- destination server IP;
- trafik vaqti;
- packet hajmi;
- TLS metadata;
- SNIning himoyalanmagan holati;
- ulanish patterni.
DoH resolverning o‘zi so‘rovlarni ko‘radi.
Privacy resolverning log siyosatiga bog‘liq.
DoH va DNSSEC
| Vazifa | DoH | DNSSEC |
|---|---|---|
| Client–resolver kanalini shifrlash | Bor | Yo‘q |
| DNS javobining authoritative imzosi | Yo‘q | Bor |
| Lokal kuzatuvchidan domenni yashirish | Qisman | Yo‘q |
| Cache poisoningga qarshi origin validation | Yo‘q | Bor |
| TLS sertifikat | Resolver uchun | Kerak emas |
Resolver DNSSEC validationni bajarib, natijani DoH orqali clientga yuborishi mumkin.
DoH va DoT
DoT DNSni TLS ichida odatda TCP 853-portda uzatadi.
| Jihat | DoH | DoT |
|---|---|---|
| Transport | HTTPS | TLS ustidagi DNS |
| Port | 443 | 853 |
| Veb trafik bilan aralashish | Ha | Yo‘q |
| Browser integratsiyasi | Keng | Kamroq |
| Tarmoq policy | Ajratish qiyinroq | Port bilan boshqarish oson |
| HTTP imkoniyatlari | Bor | Yo‘q |
Ikkalasi client-resolver kanalini shifrlaydi.
Cache
DoH resolver odatiy DNS cache ishlatadi.
Bundan tashqari HTTP cache qoidalari bo‘lishi mumkin.
DNS TTL authoritative recordning cache muddatini belgilaydi.
HTTP cache headerlari DNS semantikasiga zid bo‘lmasligi kerak.
Split DNS
Korporativ tarmoqda ichki domenlar faqat ichki resolverda mavjud bo‘lishi mumkin.
Masalan:
db.internal.example
Ilova public DoH resolverdan foydalansa, ichki nom topilmaydi yoki noto‘g‘ri joyga ketadi.
Enterprise policy:
yo‘naltiradi.
Captive portal
Mehmon Wi‑Fi tizimi login sahifasiga yo‘naltirish uchun DNSni vaqtincha boshqarishi mumkin.
DoH public resolverga chiqishga urinsa:
- internet hali ochilmagan;
- portal aniqlanmaydi;
- resolver bloklanadi;
- brauzer fallback qiladi.
Brauzerlar captive portal detection bilan DoH siyosatini moslashtiradi.
Parental control
Mahalliy DNS filter zararli yoki yoshga mos bo‘lmagan domenlarni bloklashi mumkin.
Ilova tashqi DoH resolver ishlatsa, lokal filter chetlab o‘tiladi.
Boshqariladigan qurilmada:
orqali nazorat qilinadi.
Tarmoq xavfsizligi
Security tizimlari DNS loglardan:
ni aniqlaydi.
DoH bu ko‘rinuvchanlikni kamaytirishi mumkin.
Yechimlar:
- tashkilotning own DoH resolveri;
- endpoint security;
- approved endpoint allowlist;
- TLS inspection qonuniy va texnik siyosatga mos bo‘lsa;
- application control;
- DNS telemetry.
ODoH
Oblivious DoH client identifikatori bilan DNS query mazmunini bir resolverda birlashtirmaslikka qaratilgan.
Arxitektura:
- client queryni target resolver uchun shifrlaydi;
- proxy client IPni ko‘radi, queryni ko‘rmaydi;
- target queryni ko‘radi, client IPni bevosita ko‘rmaydi.
Proxy va target til biriktirmasa, maxfiylik yaxshilanadi.
Performance
DoHning ishlash tezligiga:
- TLS handshake;
- connection reuse;
- HTTP/2 yoki HTTP/3;
- resolverga masofa;
- cache hit;
- packet loss;
- mobile network;
- server load
ta’sir qiladi.
Doimiy ulanish bir nechta so‘rovda handshake xarajatini kamaytiradi.
Diagnostika
DoH ishlamasa:
- endpoint URL;
- bootstrap IP;
- TLS sertifikat;
- system time;
- HTTP status;
- media type;
- DNS response code;
- proxy;
- firewall;
- captive portal;
- split DNS;
- HTTP/2 yoki HTTP/3;
- resolver loglari
tekshiriladi.
HTTPS ishlashi DoH endpoint to‘g‘ri DNS response qaytaryapti degani emas.
Bog‘liq tushunchalar
DNS, HTTPS, TLS, HTTP/2, HTTP/3, DNSSEC, DoT, ODoH, Resolver, Split DNS, Captive portal, Bootstrap