От каких атак спасает DNSoverHTTPS?

Question

[soldier2222]

Если я у себя в настройках меняю DNS провайдера на гугл днс 8.8.8.8, то я спасаю себя от утечки DNS? он ведь вроде совсем не шифруется ничем
А от чего спасает новый подход?

Comments

[xmoonlight]

А от чего Вы хотите спастись? :)

[soldier2222]

xmoonlight, от утечек DNS. если смотреть в WireSharke, то какие-то фрагменты находит открытого текста.
вот я и думаю, что DoH должен по идее шифровать все запросы и ответы.

[xmoonlight]

soldier2222, шифровать-то он будет, а вот от кого и для кого - Вы понимаете?)

[soldier2222]

От всех он должен шифровать по идее. Но если идет к гуглу все, то не очень то безопасно получается. Глобальный такой сбор данных выходит

[xmoonlight]

soldier2222, просто для справки: тут. Вот и всё шифрование...

Answer 1

[Рональд Макдональд]

Если я у себя в настройках меняю DNS провайдера на гугл днс 8.8.8.8, то я спасаю себя от утечки DNS?

Нет.

А от чего спасает новый подход?

От перехвата и модицикации DNS-запроса и DNS-ответа.

Более подробно можно ознакомиться на соответствующей статье на Вики, написанной простым и понятным языком: https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%...
И там же описан принцип атаки: https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D...

Comments

[soldier2222]

Спасибо!

[Rustam Azizov]

soldier2222, в качестве благодарности на сайте предусмотрена кнопка «Отметить решением». Будьте любезны, отметьте ответ автора решением, если он оказался вам действительно полезным.

Answer 2

[CityCat4]

Ни от чего.
DNS-over-HTTPS - это новый костыль "борцунов за приватность". Он позволяет отправлять запросы к DNS не через стандартный порт 53, который сейчас читает любой провайдер, а через 443 с шифрованием - это не позволяет провайдерскому фильтру обнаружить, куда ты пойдешь.
На самом деле никакую приватность он не увеличивает, а увеличивает скорость, с которой будет введен тырнет по персональным сертификатам с обязательным бампингом (то есть чем больше всяких костылей будут придумывать - тем быстрее мы придем к тырнету по персональному сертификату с обязательной установкой корневого госсертификата и регистрации с воцсетях по паспорту.)

Answer 3

[xmoonlight]

Ни от каких.
(Иногда, может спасти от перехвата и модицикации DNS-запроса и DNS-ответа)
В целом, это бесполезная вещь, т.к. HTTPS-сертификаты - всё чаще стали валидно подменять.
Вот, например.

Comments

[soldier2222]

А например насколько реальна атака такого плана. Есть криптобиржа(Binance), у нее там свои сертификаты. Пользователь вводит правильную ссылку на бинансе, а попадает на фишинговую копию(в которой будет https валидный). Это реализуемая сегодня атака? Ну ессно цель атаки - перехват логинов и паролей с целью кражи биткоинов со счета

[xmoonlight]

soldier2222, Вам нужен явный ответ?)
Тогда мне Вам нужно задать явный вопрос: что сегодня стоит на рубеже защиты передаваемых данных в интернете?

[soldier2222]

если абстрактно - то сам пользователь.
если конкретно - то стойкость ключей шифрования и надежность обмена ключевой информацией, надежность алгоритмов хеширования опять-таки

[xmoonlight]

soldier2222, Что определяет стойкость алгоритма обмена крипто-ключами?

[soldier2222]

Используемый протокол обмена этими ключами, наверное. DH тот же. ПОка изучаю как работает SSL-сертификат, какие бекдоры там есть.
алгоритм обмена ключа DH тоже вопросов много вызывает, но суть остается в больших числах и невозможности mitm именно по причине сложности вычисления числа(а надо быстро)

[xmoonlight]

soldier2222, так, вот мы и подобрались к самому интересному: "по причине сложности вычисления числа" - это Вы проверяли или прочитали (и верите в это)? ;)

[soldier2222]

только прочитал, конечно. думаю что реально способы расшифровки есть. и у России есть. но и без совсем всего никак нельзя
в теории знаю что средства Kali можно такую атаку провести

[xmoonlight]

Ваши вопросы:

А например насколько реальна атака такого плана.

Это реализуемая сегодня атака?

Ваш ответ:

только прочитал, конечно. думаю что реально способы расшифровки есть. и у России есть. но и без совсем всего никак нельзя
в теории знаю что средства Kali можно такую атаку провести

Блин, мне даже добавить нечего! ))

[soldier2222]

Ну это же только теория :) Это как знать как АК-74 работает и говорить что стрелять из него умеешь

[xmoonlight]

soldier2222, Теория - применима для верующих и уж точно никак не сопоставима с ИБ, для неверующих - чистая математика и анализ алгоритмов. Поэтому, я вижу, что Вы - верующий) Хотите - оставайтесь там. Хотите познать истину - велком!