Вопрос или проблема
Согласно этому статье cloudfare:
DoT использует только порт 853, тогда как DoH использует порт 443, который также используется для всего остального трафика HTTPS.
Это значит, что:
С помощью DoH DNS-запросы скрыты в большем потоке HTTPS-трафика. Это дает сетевым администраторам меньше видимости, но предоставляет пользователям больше конфиденциальности.
Я это понимаю, но в чем разница? Почему это делает DoH более конфиденциальным или безопасным, чем DoT?
Этот вопрос, ни этот вопрос на самом деле не отвечают на мой вопрос.
Ответ или решение
Почему DNS через HTTPS более безопасен, чем DNS через TLS?
DNS (Domain Name System) является критически важным компонентом интернет-структуры, отвечающим за преобразование доменных имен в IP-адреса. В последние годы важность защиты DNS-трафика возросла, и для этого были разработаны два основных протокола: DNS через HTTPS (DoH) и DNS через TLS (DoT). Хотя оба протокола обеспечивают шифрование и аутентификацию запросов DNS, они делают это разными способами, и в некоторых случаях DoH может предложить более высокий уровень безопасности и конфиденциальности, чем DoT.
1. Порт и обфускация трафика
Порт: Одно из главных различий между DoH и DoT заключается в том, какие порты они используют. DoT работает только на порту 853, который назначен непосредственно для DNS-трафика. В то время как DoH использует порт 443, который предназначен для всего HTTPS-трафика – включая веб-сайты и другие службы.
Обфускация: Использование порта 443 позволяет DoH скрывать DNS-запросы внутри более общего потока HTTPS-трафика. Это значит, что наблюдатели, такие как интернет-провайдеры или сетевые администраторы, имеют меньше возможностей для анализа или блокировки DNS-запросов, поскольку они смешиваются с обычным веб-трафиком. В результате это повышает уровень конфиденциальности для пользователей, так как запросы DNS не видны в явном виде.
2. Защита от цензуры и манипуляций с трафиком
Цензура: Используя DoH, пользователи могут обойти ограничения, наложенные сетевыми администраторами или правительственными органами, которые могут блокировать или перенаправлять DNS-запросы на определенные серверы. Цензоры, имеющие доступ к портам, вероятно, сфокусируются на порту 853 и могут легко блокировать запрашиваемый трафик. Однако, DNS-трафик DoH, передаваемый через порт 443, более устойчив к таким блокировкам.
Манипуляции с трафиком: Даже если DoT использует шифрование, сетевые администраторы могут теоретически просматривать метаданные и URL-адреса в запросах, если они могут различить трафик на порту 853. DoH помогает минимизировать этот риск, так как все его запросы выглядят как обычный зашифрованный веб-трафик.
3. Уменьшение рисков типа «внедрение» атак
Атаки на DNS: Протокол DoH, ограничивая доступ к информации о DNS-запросах, делает сложнее для атакующих осуществлять атаки «человек посередине» (MITM), а также атаки на основе подмены DNS. Поскольку DoH затеняет запрашиваемые данные, такие атаки требуют гораздо большей изощренности и ресурсов.
Вероятность внедрения: Use of DoH может снизить вероятность внедрения, так как запросы не отправляются напрямую на выделенный DNS-сервер, а вместо этого интегрированы в общую безопасность и шифрование HTTPS. Это упрощает процесс проверки подлинности за счет использования уже применяемых сертификатов HTTPS.
Заключение
Хотя оба протокола обеспечивают дополнительные меры безопасности по сравнению с традиционными методами DNS, использование DNS через HTTPS (DoH) имеет значительные преимущества в области конфиденциальности и безопасности. Заключение запросов в общий поток HTTPS трафика делает их менее уязвимыми для мониторинга и цензуры со стороны сетевых администраторов и правительственных органов. Это делает DoH более подходящим выбором для пользователей, стремящихся к повышенному уровню защиты их приватности в интернете.
Каждый из этих факторов играет важную роль в обеспечении безопасности при использовании протоколов DNS, и важно понимать их различия при выборе наилучшего решения для защиты сетевого трафика.