Bosh sahifa Wiki DoT

DoT

DoTDNS so‘rov va javoblarini TLS bilan himoyalangan kanal orqali uzatadigan protokol. Uning to‘liq nomi DNS over TLS hisoblanadi.

Oddiy DNS odatda UDP yoki TCP 53-portdan foydalanadi va ko‘p hollarda shifrlanmaydi. Shu sababli lokal tarmoq operatori, umumiy Wi‑Fi egasi yoki trafikni kuzata oladigan boshqa tomon qaysi domen nomlari so‘ralayotganini ko‘rishi mumkin. DoT client bilan DNS resolver orasidagi aloqani shifrlaydi.

DoT DNS recordning haqiqiyligini mustaqil ravishda isbotlamaydi. DNS javobining vakolatli zona tomonidan imzolanganini tekshirish vazifasini DNSSEC bajaradi.

Ishlash tartibi

DoT client avval resolver bilan TCP ulanish ochadi. Keyin TLS handshake bajariladi va resolver sertifikati tekshiriladi. Himoyalangan kanal tayyor bo‘lgach, DNS xabarlari shu ulanish ichida uzatiladi.

Qatlamlar quyidagicha ko‘rinadi:

DNS message
TLS
TCP
IP

Bitta TLS ulanishi bir nechta DNS so‘rovi uchun qayta ishlatilishi mumkin. Bu har so‘rov uchun yangi handshake qilish xarajatini kamaytiradi.

Port

DoT uchun standart port:

TCP 853

Portning alohida bo‘lishi tarmoq administratoriga DoT trafikni oddiy HTTPSdan farqlash imkonini beradi. Korporativ tarmoq faqat tasdiqlangan resolver manzillariga 853-port orqali chiqishga ruxsat berishi mumkin.

TLS himoyasi

TLS quyidagi imkoniyatlarni beradi:

  • resolver sertifikatini tekshirish;
  • DNS so‘rov va javoblarini shifrlash;
  • paket mazmunining yo‘lda o‘zgarmaganini tekshirish;
  • clientni soxta resolverga ulanishdan himoyalash;
  • sessiya kalitlarini xavfsiz kelishish.

Client resolver nomi bilan sertifikatdagi nom mosligini tekshiradi. Faqat IP manzilga ulanish holatida sertifikat tekshiruvi konfiguratsiyaga bog‘liq bo‘ladi.

Strict va opportunistic rejim

DoT ikki umumiy siyosatda ishlatilishi mumkin.

Strict mode

Client faqat tasdiqlangan DoT resolver bilan himoyalangan aloqa o‘rnatadi. TLS yoki sertifikat tekshiruvi muvaffaqiyatsiz bo‘lsa, oddiy DNSga qaytmaydi.

Bu rejim maxfiylikni qat’iy saqlaydi, lekin resolverga ulanish bo‘lmasa DNS ishlamay qolishi mumkin.

Opportunistic mode

Client avval DoTga urinadi. Himoyalangan ulanish ishlamasa, oddiy DNSga qaytishi mumkin.

Bu moslashuvchanroq, ammo hujumchi TLS ulanishni ataylab bloklab, clientni shifrlanmagan DNSga tushirishi mumkin.

Sertifikat tekshiruvi

DoT resolver HTTPS serverga o‘xshab X.509 sertifikat taqdim etadi.

Client quyidagilarni tekshiradi:

  • sertifikat muddati;
  • sertifikat zanjiri;
  • ishonchli CA;
  • resolver hostname bilan moslik;
  • key usage;
  • bekor qilinganlik holati, agar qo‘llansa.

Tizim vaqti noto‘g‘ri bo‘lsa, amal qilayotgan sertifikat ham xato deb ko‘rinishi mumkin.

Connection reuse

Har DNS so‘rov uchun yangi TCP va TLS sessiya ochish kechikishni oshiradi. DoT client odatda ulanishni ochiq saqlaydi.

Afzalliklari:

  • handshake soni kamayadi;
  • ketma-ket so‘rovlar tezlashadi;
  • TLS session resumption ishlashi mumkin;
  • TCP congestion window saqlanadi.

Uzoq vaqt ishlatilmagan ulanish resolver yoki NAT tomonidan yopilishi mumkin. Client qayta ulanishga tayyor bo‘ladi.

Pipeline

Client bitta TCP ulanish ichida javobni kutmasdan bir nechta DNS so‘rov yuborishi mumkin. DNS message ID javoblarni moslashtirishga yordam beradi.

Biroq TCPdagi bitta paket yo‘qolishi shu ulanishdagi keyingi baytlar yetkazilishini vaqtincha to‘xtatadi. Bu transport darajasidagi head-of-line blocking hisoblanadi.

DNS message formati

DoT DNSning odatiy wire formatidan foydalanadi. Protokol ichidagi:

o‘zgarmaydi.

TCPdagi DNS kabi har xabar oldidan ikki baytli uzunlik maydoni keladi.

DoT va DoH

Jihat DoT DoH
Asosiy transport TLS ustidagi DNS HTTPS ichidagi DNS
Standart port 853 443
Tarmoqda ajratish Osonroq HTTPS bilan aralashadi
Brauzer integratsiyasi Kamroq Keng
HTTP qatlami Yo‘q Bor
Korporativ siyosat Port va resolver bo‘yicha boshqariladi Ilova ichida yashirinroq bo‘lishi mumkin

Ikkala protokol ham client bilan resolver orasidagi aloqani shifrlaydi.

DoT va DNSSEC

DoT va DNSSEC turli qatlamlarni himoya qiladi.

  • DoT transport kanalini shifrlaydi.
  • DNSSEC recordning kelib chiqishi va yaxlitligini tekshiradi.
  • DoT resolverni sertifikat orqali tasdiqlaydi.
  • DNSSEC authoritative zona imzosini tekshiradi.

Validating resolver DNSSECni tekshirishi va natijani DoT orqali clientga qaytarishi mumkin.

Mobil qurilmalar

Mobil operatsion tizimlarda DoT ko‘pincha “Private DNS” kabi nom bilan taqdim etiladi. Foydalanuvchi resolver hostname’ini kiritadi va tizim barcha mos DNS so‘rovlarini shu resolverga yuboradi.

Ilova o‘zining DoH clientini ishlatsa, operatsion tizim DoT sozlamasini chetlab o‘tishi mumkin.

Split DNS

Korporativ tarmoqda ichki domenlar faqat ichki resolverda mavjud bo‘lishi mumkin.

Masalan:

git.internal.example

Qurilma doim tashqi public DoT resolverdan foydalansa, ichki nom topilmaydi. VPN va enterprise siyosati ichki domenlarni korporativ resolverga yo‘naltiradi.

Captive portal

Mehmon Wi‑Fi tarmog‘i internetga chiqishdan oldin login sahifasini talab qilishi mumkin. DoT resolverga TCP 853 bloklangan bo‘lsa, qat’iy rejimdagi qurilma DNS ishlamayotgandek ko‘rinadi.

Operatsion tizim captive portalni aniqlash va vaqtincha boshqa DNS siyosatini qo‘llash mexanizmiga ega bo‘lishi mumkin.

Maxfiylik chegarasi

DoT lokal kuzatuvchidan DNS nomini yashiradi, lekin foydalanuvchini to‘liq anonim qilmaydi.

Quyidagilar ko‘rinishi mumkin:

DoT resolverning o‘zi barcha so‘rovlarni ko‘radi. Maxfiylik resolverning log va ma’lumot saqlash siyosatiga bog‘liq.

Tarmoq xavfsizligi

Korporativ xavfsizlik tizimlari DNS loglardan zararli domen va command-and-control aloqalarini aniqlashi mumkin. Xodim qurilmasi tashqi DoT resolverga chiqsa, markaziy monitoring ma’lumot yo‘qotadi.

Boshqariladigan muhitda:

  • faqat tashkilot resolveriga DoT ruxsati;
  • tashqi 853-portni bloklash;
  • endpoint siyosati;
  • resolver loglari;
  • DNS filtering

qo‘llanadi.

Diagnostika

DoT ishlamasa quyidagilar tekshiriladi:

TCP 853 ochiq bo‘lishi DNS javobi to‘g‘ri qaytayotganini kafolatlamaydi. TLS va DNS qatlamlari alohida tekshiriladi.

Bog‘liq tushunchalar

DNS, TLS, Resolver, DNSSEC, DoH, TCP 853, Private DNS, Split DNS, Captive portal, Sertifikat