Bosh sahifa Wiki DoH

DoH

DoHDNS so‘rov va javoblarini HTTPS ichida uzatadigan protokol. Uning to‘liq nomi DNS over HTTPS hisoblanadi.

DoH foydalanuvchi qurilmasi bilan DNS resolver orasidagi trafikni TLS orqali shifrlaydi. Mahalliy tarmoq kuzatuvchisi oddiy UDP yoki TCP 53 paketidagidek domen nomini bevosita ko‘ra olmaydi.

DoH DNS recordning o‘zini kriptografik tasdiqlamaydi. Bu vazifani DNSSEC bajaradi.

Oddiy DNS

Klassik DNS odatda:

  • UDP 53;
  • kerak bo‘lsa TCP 53

orqali ishlaydi.

Oddiy DNS trafik ko‘pincha shifrlanmaydi.

Tarmoq operatori:

  • so‘ralgan domen;
  • record turi;
  • javob IP;
  • vaqt

ni ko‘rishi yoki javobni o‘zgartirishga urinishi mumkin.

HTTPS ichidagi DNS

DoH DNS xabarini HTTP request va response ichiga joylaydi.

Qatlamlar:

DNS message
HTTP
TLS
TCP yoki QUIC
IP

HTTP/2 va HTTP/3 bir ulanish ichida ko‘plab DNS so‘rovlarini parallel tashishi mumkin.

Endpoint

DoH resolver HTTPS URL bilan taqdim etiladi.

Keng tarqalgan path:

https://resolver.example/dns-query

Client avval resolver domenining IP manzilini bilishi kerak.

Bu bootstrap masalasini keltirib chiqaradi.

GET usuli

DNS message wire formatda olinib, URL-safe base64 bilan kodlanadi.

Misol shakli:

GET /dns-query?dns=BASE64URL HTTP/2
Accept: application/dns-message

GET javobi cache mexanizmlaridan foydalanishi mumkin, lekin URL query uzunligi cheklangan.

POST usuli

DNS wire message HTTP body ichida yuboriladi.

POST /dns-query HTTP/2
Content-Type: application/dns-message
Accept: application/dns-message

POST katta so‘rovlar uchun qulay va DNS ma’lumotini URL ichida ko‘rsatmaydi.

Media type

Standart wire-format DoH uchun media type:

application/dns-message

Ba’zi resolverlar JSON API taqdim etishi mumkin, lekin standart DoH wire format bilan bir xil emas.

TLS

DoH HTTPSga tayanganligi sababli:

  • resolver sertifikati tekshiriladi;
  • trafik shifrlanadi;
  • xabar yaxlitligi himoyalanadi;
  • server nomi autentifikatsiya qilinadi.

Client resolver hostname bilan sertifikat mosligini tekshiradi.

Noto‘g‘ri system time sertifikat validationini buzishi mumkin.

Port

DoH odatda TCP 443-port yoki HTTP/3 holatida UDP 443-port orqali ishlaydi.

DNS trafik oddiy veb trafik bilan bir portda bo‘lgani sababli tarmoq qurilmasi uni port raqami orqali oson ajrata olmaydi.

HTTP/2

HTTP/2 DoH uchun quyidagi imkoniyatlarni beradi:

  • bitta TLS ulanish;
  • multiplexing;
  • header compression;
  • parallel request;
  • connection reuse.

TCP packet yo‘qolishi barcha HTTP/2 streamlarga qisqa ta’sir qilishi mumkin.

HTTP/3

HTTP/3 QUIC ustida ishlaydi.

Afzalliklari:

DoH server HTTP/3ni qo‘llashi shart emas.

Bootstrap

Resolver URL hostname ko‘rinishida bo‘lsa, client unga ulanish uchun IP manzil topishi kerak.

Usullar:

Bootstrap IP o‘zgarsa, client yangi manzilni olish mexanizmiga ega bo‘lishi kerak.

Browser DoH

Brauzer o‘z DoH resolver siyosatiga ega bo‘lishi mumkin.

Model:

  • operatsion tizim resolveridan foydalanish;
  • mahalliy provider resolverini DoHga upgrade qilish;
  • belgilangan public resolver;
  • enterprise policy bilan o‘chirish;
  • parental control yoki captive portal holatida fallback.

Brauzer DoH yoqilsa, DNS so‘rovi OS resolver logida ko‘rinmasligi mumkin.

Operatsion tizim DoH

OS darajasidagi DoH barcha ilovalarga xizmat qilishi mumkin.

Afzalligi:

  • yagona policy;
  • VPN bilan integratsiya;
  • split DNS;
  • enterprise management;
  • cache.

Ilova ichidagi alohida DoH OS siyosatini chetlab o‘tishi mumkin.

Maxfiylik chegarasi

DoH lokal tarmoqdan DNS nomini yashiradi, lekin barcha trafikni anonim qilmaydi.

Quyidagilar hali ko‘rinishi mumkin:

DoH resolverning o‘zi so‘rovlarni ko‘radi.

Privacy resolverning log siyosatiga bog‘liq.

DoH va DNSSEC

Vazifa DoH DNSSEC
Clientresolver kanalini shifrlash Bor Yo‘q
DNS javobining authoritative imzosi Yo‘q Bor
Lokal kuzatuvchidan domenni yashirish Qisman Yo‘q
Cache poisoningga qarshi origin validation Yo‘q Bor
TLS sertifikat Resolver uchun Kerak emas

Resolver DNSSEC validationni bajarib, natijani DoH orqali clientga yuborishi mumkin.

DoH va DoT

DoT DNSni TLS ichida odatda TCP 853-portda uzatadi.

Jihat DoH DoT
Transport HTTPS TLS ustidagi DNS
Port 443 853
Veb trafik bilan aralashish Ha Yo‘q
Browser integratsiyasi Keng Kamroq
Tarmoq policy Ajratish qiyinroq Port bilan boshqarish oson
HTTP imkoniyatlari Bor Yo‘q

Ikkalasi client-resolver kanalini shifrlaydi.

Cache

DoH resolver odatiy DNS cache ishlatadi.

Bundan tashqari HTTP cache qoidalari bo‘lishi mumkin.

DNS TTL authoritative recordning cache muddatini belgilaydi.

HTTP cache headerlari DNS semantikasiga zid bo‘lmasligi kerak.

Split DNS

Korporativ tarmoqda ichki domenlar faqat ichki resolverda mavjud bo‘lishi mumkin.

Masalan:

db.internal.example

Ilova public DoH resolverdan foydalansa, ichki nom topilmaydi yoki noto‘g‘ri joyga ketadi.

Enterprise policy:

  • ichki suffixlarni korporativ resolverga;
  • tashqi domenlarni boshqa resolverga;
  • VPN orqali split DNS

yo‘naltiradi.

Captive portal

Mehmon Wi‑Fi tizimi login sahifasiga yo‘naltirish uchun DNSni vaqtincha boshqarishi mumkin.

DoH public resolverga chiqishga urinsa:

  • internet hali ochilmagan;
  • portal aniqlanmaydi;
  • resolver bloklanadi;
  • brauzer fallback qiladi.

Brauzerlar captive portal detection bilan DoH siyosatini moslashtiradi.

Parental control

Mahalliy DNS filter zararli yoki yoshga mos bo‘lmagan domenlarni bloklashi mumkin.

Ilova tashqi DoH resolver ishlatsa, lokal filter chetlab o‘tiladi.

Boshqariladigan qurilmada:

orqali nazorat qilinadi.

Tarmoq xavfsizligi

Security tizimlari DNS loglardan:

ni aniqlaydi.

DoH bu ko‘rinuvchanlikni kamaytirishi mumkin.

Yechimlar:

  • tashkilotning own DoH resolveri;
  • endpoint security;
  • approved endpoint allowlist;
  • TLS inspection qonuniy va texnik siyosatga mos bo‘lsa;
  • application control;
  • DNS telemetry.

ODoH

Oblivious DoH client identifikatori bilan DNS query mazmunini bir resolverda birlashtirmaslikka qaratilgan.

Arxitektura:

  • client queryni target resolver uchun shifrlaydi;
  • proxy client IPni ko‘radi, queryni ko‘rmaydi;
  • target queryni ko‘radi, client IPni bevosita ko‘rmaydi.

Proxy va target til biriktirmasa, maxfiylik yaxshilanadi.

Performance

DoHning ishlash tezligiga:

ta’sir qiladi.

Doimiy ulanish bir nechta so‘rovda handshake xarajatini kamaytiradi.

Diagnostika

DoH ishlamasa:

tekshiriladi.

HTTPS ishlashi DoH endpoint to‘g‘ri DNS response qaytaryapti degani emas.

Bog‘liq tushunchalar

DNS, HTTPS, TLS, HTTP/2, HTTP/3, DNSSEC, DoT, ODoH, Resolver, Split DNS, Captive portal, Bootstrap