Задать вопрос
@Dem0lisher

DNS через HTTPS — почему провайдер не увидит dns?

Добрый день!
Пишут, что есть функция DNS через https. Пишут, что провайдер, мол, не увидит к какому сайту обращается их клиент.
https://habr.com/ru/post/478012/
Там прямо в самом начале статьи.
А что мешает тому же провайдеру намутить какой-нибудь простенький резольвинг типа по ip-адресу получать dns сайтов?
Или пров даже ip адрес запрашиваемых сайтов не увидит?
  • Вопрос задан
  • 113 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 3
Lynn
@Lynn
nginx, js, css
Ну это какая-то глупость. Разумеется провайдер видит на какой IP идёт запрос, да и домен в SNI палится обычно.
Но цель DoH вообще не в этом, а что бы провайдер (и вообще кто угодно) не мог подменить ответ DNS. Ну и ещё что бы он даже не узнал какой домен вы резолвили.
Ответ написан
msHack
@msHack
в HTTPS tlc шифрование при использовании тор или vpn провайдер увидит ничего

tor сам по себе не умеет шифровать dns трафик а вот DNS через HTTPS поможет
Ответ написан
Комментировать
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Потому что Вы не понимаете принцип.
DoH - это запрос, который отправляется по https к заранее известному серверу, который отрезолвит запрошенное имя, что якобы дает возможность браузеру обратиться к заблокированному сайту. На самом деле это ломается еще проще, чем не DoH. Почему?

Вот схема того, как работает провайдерская блокировка:
- Юзер вводит в браузере www.linkedin.org
- Браузер формирует DNS-пакет с запросом какой IP у www.linkedin.org и отправляет его роутеру, а тот - провайдеру
- Провайдер просматривает DNS-пакеты, видит запрос на www.linkedin.org и вместо того, чтобы передать этот пакет в мир, заворачивает его на свой DNS, который вместо IP линя возвращает IP заглушки с надписью блабла заблокировано.
- Юзер получает фигу во весь экран

Вот схема того, как работает DoH:
- Юзер вводит в браузере www.linkedin.org
- Браузер формирует DNS-пакет с запросом какой IP у заранее известного сервера, прописанного в настройках и отправляет его роутеру, а тот - провайдеру
- Провайдер просматривает DNS-пакеты, видит запрос на некий сайт в тырнете и пропускает запрос
- Браузер установил шифрованное соединение с заранее известным сервером и передал на него запрос про то, какой IP у www.linkedin.org
- Браузер получил ответ и показал юзеру линь

Юзер балдеет от своей крутости и думает "ах, какой я молодец, как я нае...л РКН". Хотя кто тут кого нае...л - это еще посмотреть :)
Во-первых, все запросы юзера идут через один конкретный гейт, что прямо-таки подталкивает администрацию гейта накапливать статистику (а потом продать/отдать ее кому-нибудь)
Во-вторых, таких гейтов немного и чтобы эта хитровывернутая схема перестала работать - достаточно заблокировать гейт :)

На всякую хитрую гайку найдется болт с соответствующей резьбой
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы