підтримка протоколу DNS через HTTPS (DoH) З’явилася в останньому білді Windows 10 2004 року (May 2020 Update). Починаючи з цієї версії, Windows 10 може виконувати дозвіл імен через HTTPS за допомогою вбудованого клієнта DoH. У цій статті ми розповімо для чого потрібен протокол DNS over HTTPS, як його включити і використовувати в Windows 10.

Коли ваш комп’ютер звертається до сервера DNS для розпізнавання імен, цей обмін даними відбувається у відкритому вигляді. Зловмисник може підслухати ваш трафік, визначити які ресурси ви відвідували, або маніпулювати DNS трафіком за типом main-in-the-middle. Протокол DNS over HTTPS передбачає посилення захисту приватності даних користувачів за рахунок шифрування всіх DNS запитів. Протокол DoH инкапсулирует запити DNS в HTTPS трафік і відправляє з DNS сервера (потрібен спеціальний DNS сервер з підтримкою DoH).

У Windows 10 2004 поки немає параметра групової політики або опції в графічному інтерфейсі для включення DNS-over-HTTPS. Поки можна включити DoH тільки через реєстр:

  1. запустіть regedit.exe;
  2. Перейдіть в гілку реєстру HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Dnscache Parameter;
  3. Створіть DWORD параметр з ім’ям EnableAutoDoh і значенням 2; EnableAutoDoh параметр реєстру для включення DNS-over-HTTPS в windows 10
  4. Потім потрібно перезапустити службу DNS клієнт. Для цього потрібно перезавантажити комп’ютер, тому що нормально перезапустити службу dnscase у мене не вийде (командлет Restart-Service -Name Dnscache –force выдает ошибку “Колекція була змінена; операція перерахування може не виконуватися ”).

Потім потрібно змінити налаштування DNS вашого мережевого підключення. Потрібно вказати DNS сервера з підтримкою DNS over HTTPS. Поки далеко не всі DNS сервера підтримують DoH. У таблиці нижче перерахований список загальнодоступних DNS з підтримкою DNS over HTTPS.

провайдер IP адреси DNS серверів з підтримкою DNS over HTTPS
Cloudflare 1.1.1.1, 1.0.0.1
Google 8.8.8.8, 8.8.4.4
Quad9 9.9.9.9, 149.112.112.112

Відкрийте панель настройки мережі – Control Panel -> Network and Internet -> Network and Sharing Center (або ncpa.cpl). Потім у властивостях мережевого адаптера змініть поточні адреси DNS серверів на адреси DNS серверів з підтримкою DoH.

вкажіть адреси dns серверів з підтримкою dns over https

Ви можете змінити адреси DNS серверів в налаштуваннях мережевого адаптера за допомогою PowerShell (див. Статтю про налаштування мережі за допомогою PowerShell):

$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8', '1.1.1.1'

Тепер клієнт DNS починає використовувати для розпізнавання імен протокол HTTPS за порту 443 замість звичайного 53 порту.

За допомогою утиліти захоплення мережевого трафіку PktMon.exe (про яку ми говорили раніше) ви можете перевірити, що з комп’ютера тепер не відправляються DNS запити по порту 53.

Видаліть всі поточні фільтри Packet Monitor:

pktmon filter remove

Створіть новий фільтр для класичного DNS порт 53:

pktmon filter add -p 53

Запустіть моніторинг трафіку в реальному часі (трафік виводиться в консоль):

pktmon start --etw -p 0 -l real-time

Якщо ви правильно налаштували DNS over HTTPS, то трафік по порту 53 повинен бути відсутнім (на скріншоті нижче показаний висновок в консоль при відключеному DoH і при включеному).

дамп трафіку з включеним і відключеним dns over https

DNS over HTTPS за останній рік реалізований у всіх популярних браузерах (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). У кожному з цих браузерів ви можете включити підтримку DoH. Такому чином все DNS запити від браузера будуть шифруватися (DNS трафік інших додатків як і раніше буде йти в відкритому текстовому вигляді).

Більше все проблем технології DNS over HTTPS і DNS over TLS створять адміністраторам корпоративних мереж, яким стане складніше блокувати доступн до зовнішніх ресурсів з внутрішніх мереж. Також не зрозуміло, що парирує робити Роскомнадзор, чия методика глибокої перевірки і управління мережевим трафіком Deep Packet Inspection (DPI) перестане працювати при переході протоколу DNS на рейки шифрованого https.

Leave a Reply

Your email address will not be published. Required fields are marked *