Computerprogeek
Підтримка протоколу DNS над HTTPS (Мудити) з'явився в останній збірній Windows 10 2004 (травень 2020 р.). Починаючи з цієї версії, Windows 10 може виконувати простір імен за допомогою HTTPS за допомогою вбудованого -in -клієнта DOH. У цій статті ми розповімо, чому потрібен DNS над HTTPS, як його включити та використовувати його в Windows 10.
Коли ваш комп'ютер звертається до сервера DNS для вирішення імен, цей обмін даними відбувається у відкритому вигляді. Зловмисник може підслуховувати ваш трафік, визначити, які ресурси ви відвідали, або маніпулювати трафіком DNS за типом головного середнього рівня. Протокол DNS над HTTPS передбачає підвищення захисту даних користувачів за допомогою шифрування всіх запитів DNS. Протокол DOH інкапсулює DNS в трафік HTTPS і надсилає сервер з DNS (вам потрібен спеціальний сервер DNS із підтримкою DOH).
Windows 10 2004 ще не має групової політики або опції в графічному інтерфейсі для введення DNS-OVER-HTTPS. Поки що ви можете увімкнути DOH лише через реєстр:
- Запуск
Регедіт.Екзе; - Перейдіть до hkey_local_machine \ system \ currentcontrolset \ services \ dnscache \ parameter;
- Створіть параметр DWORD з назвою Enableautodoh і значення 2;
Ви також можете створити цей параметр реєстру, використовуючи нову позицію:$ Autodohpath = 'hklm: \ system \ currentcontrolset \ service \ dnscache \ параметри' '
$ Autodohkey = 'enableautodoh'
New -temproperty -path $ autodohpath -name $ autodohkey -value 2 -propertytype dword -force - Тоді вам потрібно перезапустити службу клієнтів DNS. Для цього потрібно перезавантажити комп'ютер, t.до. Мені не вдасться перезапустити службу DNSCASE (командуючи
Перезапуск -service -name dnscache -forceПроблеми помилка «Колекція була змінена; Операція перерахування може не виконувати ").
Тоді вам потрібно змінити налаштування DNS вашого мережевого з'єднання. Потрібно вказати сервер DNS із підтримкою DNS над HTTPS. Поки що не всі сервери DNS підтримують DOH. У таблиці нижче перераховано список публічних DNS з підтримкою DNS над HTTPS.
| Постачальник | IP -адреси DNS -сервери з DNS над підтримкою HTTPS |
| Хмар | один.один.один.одинадцять.0.0.один |
| вісім.8.вісім.8, 8.вісім.чотири.4 | |
| Quad9 | дев'ять.дев'ять.дев'ять.9, 149.112.112.112 |
Відкрийте панель мережевих налаштувань -контроль -> Мережа та Інтернет -> Центр мережі та обміну (або NCPA.CPL ). Потім, у властивостях мережевого адаптера, змініть поточні адреси DNS на адреси DNS із підтримкою DOH.
$ Physadapter = get -netadapter -physical
$ Physadapter | Get -dnsclentservaradrass -addressfamily ipv4 | Set -dnsclientservaraddress -servaraddress '8.8.8.8 ',' 1.один.один.1 '
Тепер клієнт DNS починає використовувати протокол HTTPS на порту 443 замість звичайного порту 53 для вирішення імені.
Використання мережевого трафіку PKTMON.Exe (про що ми говорили раніше), ви можете перевірити, чи запити DNS на порт 53 зараз не надсилаються з комп'ютера.
Видаліть усі поточні фільтри монітора пакету:
Фільтр PKTMON Видалення
Створіть новий фільтр для класичного порту DNS 53:
Фільтр PKTMON ADD -P 53
Запустіть моніторинг трафіку в режимі реального часу (трафік відображається в консолі):
Pktmon start --etw -p 0 -l real -time
Якщо ви правильно налаштували DNS над HTTPS, то трафік на порту 53 повинен бути відсутнім (на скріншот нижче показано висновок на консоль, коли DOH вимкнено і при включенні).
DNS над HTTPS реалізовано у всіх популярних браузерах за останній рік (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). У кожному з цих браузерів ви можете ввімкнути підтримку DOH. Таким чином, усі запити DNS з браузера будуть зашифровані (DNS -трафік інших додатків все ще буде у формі відкритого тексту).
Більше всіх проблем DNS через HTTPS та DNS через технологію TLS створить корпоративні мережі, до яких буде складніше заблокувати доступ до зовнішніх ресурсів із внутрішніх мереж. Також не ясно, що гідний Роскомнадзор, чия методологія глибокої перевірки та управління мережевим трафіком глибокої перевірки пакетів (DPI) перестане працювати, коли протокол DNS переходить до рейок зашифрованих HTTPS.
