- PVSM.RU - https://www.pvsm.ru -

История системы доменных имен: «войны» протоколов

Продолжаем говорить об истории DNS. Обсуждаем точку зрения экспертов и компаний, выступающих за и против внедрения протоколов DNS over HTTPS и DNS over TLS, а также спецификации EDNS.

История системы доменных имен: «войны» протоколов - 1 [1]
Фото — G. T. Wang [2] — CC BY / Фото изменено

Опасения вокруг EDNS

Стандартизированный в 1987 году (RFC1035 [3]) механизм работы DNS не учитывал многие изменения и требования к безопасности, которые пришли с развитием интернета. Даже автор системы доменных имен — Пол Мокапетрис (Paul Mockapetris) — в одном из интервью отметил, что не ожидал настолько широкого распространения своего творения. По его оценкам DNS должна была работать с десятками миллионов IP-адресов, но их общее количество превысило 300 млн [4].

Изначально возможностей для расширения функциональности DNS было немного. Но ситуация изменилась в 1999 году, когда опубликовали спецификацию EDNS0 (RFC2671 [5]). В ней добавили новый тип псевдозаписи — OPT. Она содержит 16 флагов, описывающих свойства DNS-запроса.

Отметим, что стандарт EDNS0 должен был стать временным решением. В перспективе его бы заменила обновленная версия EDNS1. Но вместо превращения в EDNS1 (для которого есть драфт [6]), спецификация начала обрастать [7] опциями и интеграциями и используется до сих пор.

EDNS0 также позволил прикреплять к DNS-записям информацию о подсети клиента. Такой подход применяет [8] сеть распространения контента Akamai, чтобы определять ближайший к пользователю сервер. Однако Джефф Хастон (Geoff Huston), ведущий научный сотрудник интернет-регистратора APNIC, отмечает [9], что так снижается общий уровень информационной безопасности. Серверы, управляющие DNS-зонами, получают возможность идентифицировать пользователя, отправившего запрос на скачивание того или иного файла. Плюс возрастает нагрузка на локальные резолверы. Они вынуждены добавлять ключи поиска (lookup key) для подсетей в свой кэш, снижая его эффективность.

Несмотря на опасения, новую функциональность внедрили [10] Google Public DNS и OpenDNS. Возможно, в будущем в спецификацию EDNS0 внесут правки, которые улучшат ситуацию с безопасностью. Подобные модификации могут сделать в EDNS1, если она выйдет из статуса черновика.

Споры о DoH/DoT

Протокол DNS не шифрует сообщения, передаваемые между клиентом и сервером. Поэтому при перехвате запросов можно узнать, какие ресурсы посещает пользователь. Для решения проблемы в октябре прошлого года инженеры из IETF и ICANN опубликовали [11] стандарт DNS over HTTPS (DoH).

Новый подход предлагает отправлять DNS-запросы не напрямую, а скрывать их в HTTPS-трафике. Обмен данными идет через стандартный порт 443, и если кто-то решит прослушать трафик, то извлечь DNS-информацию ему будет достаточно затруднительно. В поддержку нового протокола высказались Google и Mozilla — они интегрировали функциональность DNS over HTTPS в свои браузеры.

Джефф Хастон из APNIC также заметил [12], что DoH упростит структуру сетей за счет сокращения числа используемых портов и ускорит преобразование адресов.

История системы доменных имен: «войны» протоколов - 2
Фото — Andrew Hart [13] — CC BY-SA

Но это мнение разделяют не все. По словам [14] Пола Викси (Paul Vixie), разработчика DNS-сервера BIND, новый стандарт, наоборот, усложняет администрирование сетей. При этом DoH совсем не гарантирует [15] анонимность запросов. Определить, к каким хостам обращается пользователь, можно по SNI [16] и ответам OCSP [17]. По данным исследования [18] APNIC, третьей стороне не нужны DNS-записи для определения ресурсов, которые посещает пользователь. Их можно установить с точностью в 95% только по IP.

По этой причине часть экспертов предлагает использовать альтернативный подход — DNS over TLS (DoT [19]). В этом случае передача DNS-запросов происходит по выделенному порту 853. Так, данные по-прежнему шифруются, но при этом упрощается работа с сетью.

Пока сложно сказать, какой из стандартов победит. Уже сейчас многие облачные провайдеры и разработчики браузеров поддерживают оба протокола. Какой из них получит большее распространение покажет только время — в любом случае на это может уйти не одно десятилетие [20].

Дополнительное чтение в блоге 1cloud:

История системы доменных имен: «войны» протоколов - 3 Спасет ли облако ультра-бюджетные смартфоны [21]
История системы доменных имен: «войны» протоколов - 4 «Как мы строим IaaS»: материалы о работе 1cloud [22]

История системы доменных имен: «войны» протоколов - 5 Досмотр электронных устройств на границе — необходимость или нарушение прав человека? [23]
История системы доменных имен: «войны» протоколов - 6 Вот это поворот: почему Apple изменила требования к разработчикам приложений [24]

История системы доменных имен: «войны» протоколов - 7Мы в 1cloud.ru предлагаем услугу «Облачное хранилище [25]». Его можно использовать для хранения резервных копий, архивных данных и обмена корпоративными документами.

История системы доменных имен: «войны» протоколов - 8Система хранения данных построена [26] на дисках трех типов: HDD SATA, HDD SAS и SSD SAS. Их суммарный объем составляет несколько тысяч терабайтов.

Автор: 1cloud

Источник [27]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dns-2/340894

Ссылки в тексте:

[1] Image: https://habr.com/ru/company/1cloud/blog/481536/

[2] G. T. Wang: https://www.flickr.com/photos/gtwang/18140172615/

[3] RFC1035: https://tools.ietf.org/html/rfc1035

[4] превысило 300 млн: https://domainnamestat.com/statistics/overview

[5] RFC2671: https://tools.ietf.org/html/rfc2671

[6] есть драфт: https://tools.ietf.org/html/draft-ietf-dnsext-edns1-03

[7] начала обрастать: https://tools.ietf.org/html/rfc6891

[8] применяет: https://www.akamai.com/us/en/multimedia/documents/technical-publication/a-look-at-the-ecs-behavior-of-dns-resolvers.pdf

[9] отмечает: https://blog.apnic.net/2019/11/04/dns-wars/

[10] внедрили: https://en.wikipedia.org/wiki/EDNS_Client_Subnet

[11] опубликовали: https://tools.ietf.org/html/rfc8484

[12] заметил: https://www.potaroo.net/ispcol/2018-10/doh.html

[13] Andrew Hart: https://www.flickr.com/photos/andrewfhart/8106200690/

[14] словам: https://twitter.com/paulvixie/status/1053765281917661184

[15] не гарантирует: https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/

[16] SNI: https://ru.wikipedia.org/wiki/Server_Name_Indication

[17] OCSP: https://ru.wikipedia.org/wiki/OCSP

[18] данным исследования: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/

[19] DoT: https://tools.ietf.org/html/rfc7858

[20] может уйти не одно десятилетие: https://packetpushers.net/response-doh-dns-over-https-explained-apnic-blog/

[21] Спасет ли облако ультра-бюджетные смартфоны: https://1cloud.ru/blog/oblako-i-budgetnie-smartfoni?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns3&utm_content=blog

[22] «Как мы строим IaaS»: материалы о работе 1cloud: https://1cloud.ru/blog/materiali-kak-mi-stroim-iaas?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns3&utm_content=blog

[23] Досмотр электронных устройств на границе — необходимость или нарушение прав человека?: https://1cloud.ru/blog/dosmotr-elektronnih-ustroistv-na-granice?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns3&utm_content=blog

[24] Вот это поворот: почему Apple изменила требования к разработчикам приложений: https://1cloud.ru/blog/apple-izmenila-trebovania-k-razrabotchikam-prilogenii?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns3&utm_content=blog

[25] Облачное хранилище: https://1cloud.ru/services/storage?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns4&utm_content=site

[26] построена: https://1cloud.ru/infrastructure/arkhitektura-oblaka-1cloud?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns4&utm_content=site

[27] Источник: https://habr.com/ru/post/481536/?utm_source=habrahabr&utm_medium=rss&utm_campaign=481536