DNS over HTTPS и DNS over TLS

IgaX · January 2, 2017

Предложение реализовать DNS-over-HTTPS от Google Public DNS по образу и подобию SkyDNS и Яндекс.DNS.

Плюсы:

1) Аналог DNSCrypt, но реализация на уровне прошивки;
2) Запросы к DNS Гугла идут по HTTPS, снижая эффективность сниффинга, атак MITM итд.;
3) Отсутствие подмен резолвинга со стороны в т.ч. провайдеров и соответствующих последствий;
4) Поддержка философии открытого интернета и информационной целостности.

Подробности и желательные настройки (для гибкости):
https://developers.google.com/speed/public-dns/docs/dns-over-https

Вариант реализации архитектуры DNSSEC через Google DNS-over-HTTPS (чтобы был опорный код для скорости реализации):
https://github.com/behrooza/dnsd

vasek00 · April 13, 2018

13 часа назад, Le ecureuil сказал:

А размер бинарника сколько?

В верху же было

Цитата

dnscrypt- 604 root txt REG 8,2 7126368 2257 /opt/sbin/dnscrypt-proxy2

7126368 - dnscrypt-proxy2

Le ecureuil · April 13, 2018

Кошмар, это размер NDMS на младших устройствах.

Короче, не в этих годах похоже.

vasek00 · April 13, 2018

Вся фишка в том что есть USB порт к которому подключен внешний носитель, например что не влезло в прошивку разместить на внешнем устройстве. На данном форуме уже были некоторые решения если нет желания установить полный пакет Entware.

vasek00 · April 28, 2018

В настоящее время 28/04/2018 не большое тестирование скорости работы DNS со стороны клиента ПК при 100Мбит от РТ.

1. при установке рекламированного сервиса от Cloudflare на адресах 1.1.1.1 на ПК в качестве DNS сервера (скрин 1111 первый), после выполнения на ПК команда "ipconfig /flushdns".

Скрытый текст

Final benchmark results, sorted by nameserver performance:
(average cached name retrieval speed, fastest to slowest)

    8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
- Uncached Name | 0,036 | 0,098 | 0,295 | 0,070 | 100,0 |
- DotCom Lookup | 0,045 | 0,067 | 0,188 | 0,041 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
                 GOOGLE - Google LLC, US

    8. 8. 4. 4 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
- Uncached Name | 0,035 | 0,110 | 0,376 | 0,090 | 100,0 |
- DotCom Lookup | 0,045 | 0,056 | 0,148 | 0,018 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
                 GOOGLE - Google LLC, US

208. 67.222.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,040 | 0,040 | 0,040 | 0,000 | 100,0 |
- Uncached Name | 0,042 | 0,153 | 0,544 | 0,137 | 100,0 |
- DotCom Lookup | 0,070 | 0,131 | 0,306 | 0,074 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
                resolver1-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

208. 67.220.123 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,040 | 0,041 | 0,041 | 0,000 | 100,0 |
- Uncached Name | 0,043 | 0,148 | 0,521 | 0,139 | 100,0 |
- DotCom Lookup | 0,071 | 0,155 | 0,309 | 0,067 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
                resolver2-fs.opendns.com
               OPENDNS - OpenDNS, LLC, US

.....
··· no official Internet DNS name ···
ULTRADNS - NeuStar, Inc., US

    4. 2. 2. 6 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,059 | 0,059 | 0,062 | 0,000 | 100,0 |
- Uncached Name | 0,060 | 0,106 | 0,348 | 0,077 | 100,0 |
- DotCom Lookup | 0,150 | 0,151 | 0,153 | 0,000 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
                 f.resolvers.level3.net
            LEVEL3 - Level 3 Parent, LLC, US

    1. 1. 1. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
+ Cached Name   | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
+ Uncached Name | 0,062 | 0,100 | 0,303 | 0,071 | 100,0 |
+ DotCom Lookup | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
        MEGAPATH2-US - MegaPath Networks Inc., US

156.154. 71. 22 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name | 0,061 | 0,061 | 0,061 | 0,000 | 100,0 |
- Uncached Name | 0,061 | 0,130 | 0,377 | 0,093 | 100,0 |
- DotCom Lookup | 0,063 | 0,077 | 0,159 | 0,028 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+

2. Установка на ПК адреса DNS IP от роутера на котором при использовании dnsmasq в связке с dnscrypt-proxy, так же на ПК команда "ipconfig /flushdns" плюс перезапуск служб dnsmasq с dnscrypt-proxy вот что получилось (скрин 100 второй).

Скрытый текст

DNSCrypt-proxy

[2018-04-28 08:29:09] [NOTICE] Stopped.
[2018-04-28 08:29:10] [NOTICE] Source [public-resolvers.md] loaded
[2018-04-28 08:29:10] [NOTICE] dnscrypt-proxy 2.0.8
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [UDP]
[2018-04-28 08:29:10] [NOTICE] Now listening to 127.0.0.2:65153 [TCP]
[2018-04-28 08:29:10] [NOTICE] [cpunks-ru] OK (crypto v1) - rtt: 21ms
[2018-04-28 08:29:11] [NOTICE] [cs-fi] OK (crypto v1) - rtt: 50ms
[2018-04-28 08:29:11] [NOTICE] [yandex] OK (crypto v1) - rtt: 22ms
[2018-04-28 08:29:11] [NOTICE] Server with the lowest initial latency: cpunks-ru (rtt: 21ms)
[2018-04-28 08:29:11] [NOTICE] dnscrypt-proxy is ready - live servers: 3

Final benchmark results, sorted by nameserver performance:
(average cached name retrieval speed, fastest to slowest)

192.168.130.100 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
+ Cached Name   | 0,000 | 0,000 | 0,000 | 0,000 | 100,0 |
+ Uncached Name | 0,049 | 0,170 | 0,879 | 0,182 | 100,0 |
+ DotCom Lookup | 0,033 | 0,059 | 0,083 | 0,015 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
                         My-Keen
                Local Network Nameserver

    8. 8. 8. 8 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,015 | 0,015 | 0,015 | 0,000 | 100,0 |
- Uncached Name | 0,031 | 0,108 | 0,376 | 0,092 | 100,0 |
- DotCom Lookup | 0,041 | 0,049 | 0,145 | 0,022 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-a.google.com
              RICE-AS - Rice University, US

    8. 8. 4. 4 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,020 | 0,020 | 0,020 | 0,000 | 100,0 |
- Uncached Name | 0,035 | 0,115 | 0,394 | 0,102 | 100,0 |
- DotCom Lookup | 0,045 | 0,060 | 0,150 | 0,029 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
             google-public-dns-b.google.com
             UK Defence Research Agency, GB

...

156.154. 70. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,062 | 0,063 | 0,063 | 0,000 | 100,0 |
- Uncached Name | 0,063 | 0,118 | 0,346 | 0,083 | 100,0 |
- DotCom Lookup | 0,064 | 0,090 | 0,146 | 0,027 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
                   rdns1.ultradns.net
     ISI-AS - University of Southern California, US

    1. 1. 1. 1 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,067 | 0,067 | 0,068 | 0,000 | 100,0 |
- Uncached Name | 0,068 | 0,112 | 0,312 | 0,076 | 100,0 |
- DotCom Lookup | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
            1dot1dot1dot1.cloudflare-dns.com
              RICE-AS - Rice University, US

156.154. 70. 25 | Min | Avg | Max |Std.Dev|Reliab%|
----------------+-------+-------+-------+-------+-------+
- Cached Name   | 0,068 | 0,069 | 0,069 | 0,000 | 100,0 |
- Uncached Name | 0,069 | 0,117 | 0,315 | 0,074 | 100,0 |
- DotCom Lookup | 0,070 | 0,088 | 0,151 | 0,021 | 100,0 |
---<-------->---+-------+-------+-------+-------+-------+
          ··· no official Internet DNS name ···
     BULL-HN - Bull HN Information Systems Inc., US

eEye · October 28, 2018

Добрый день.

Тоже интересная реализация DoT, создавать прокладку в виде Linux ПК не хочет, удобно если бы маршрутизатор всё делал. Последние модели достаточно мощные, чтобы потянуть такое.

vasek00 · October 28, 2018

Вопрос только по latency

server_names = ['cloudflare', 'google', 'adguard-dns', 'yandex']
...
# Use servers implementing the DNSCrypt protocol
dnscrypt_servers = true
# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
[static.'google']
stamp = 'sdns://AgUAAAAAA.....wZXJpbWVudGFs'

[static.'cloudflare']
stamp = 'sdns://AgcAAAAAAA.....kbnMtcXVlcnk'



[2018-10-27 14:55:55] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 48ms
[2018-10-27 14:56:00] [NOTICE] [cloudflare] OK (DoH) - rtt: 42ms
[2018-10-27 14:56:00] [NOTICE] [google] OK (DoH) - rtt: 56ms
[2018-10-27 14:56:00] [NOTICE] [yandex] OK (crypto v1) - rtt: 28ms
[2018-10-27 14:56:00] [NOTICE] Server with the lowest initial latency: yandex (rtt: 28ms)
[2018-10-27 14:56:00] [NOTICE] dnscrypt-proxy is ready - live servers: 4
....
[2018-10-27 15:56:03] [NOTICE] Server with the lowest initial latency: yandex (rtt: 18ms)
[2018-10-27 16:56:06] [NOTICE] Server with the lowest initial latency: yandex (rtt: 27ms)
[2018-10-27 17:56:09] [NOTICE] Server with the lowest initial latency: yandex (rtt: 33ms)
[2018-10-27 18:56:12] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)
[2018-10-27 19:56:15] [NOTICE] Server with the lowest initial latency: yandex (rtt: 26ms)
[2018-10-27 20:56:18] [NOTICE] Server with the lowest initial latency: yandex (rtt: 32ms)
[2018-10-27 21:56:21] [NOTICE] Server with the lowest initial latency: yandex (rtt: 21ms)
[2018-10-27 22:56:24] [NOTICE] Server with the lowest initial latency: yandex (rtt: 23ms)

Как видно выше

[cloudflare] OK (DoH) - rtt: 42ms
[google] OK (DoH) - rtt: 56ms

Андрей Лучин · October 29, 2018

Люто плюсую. очень нужная штука.

hard_alex@mail.ru · October 29, 2018

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

Это говорит о том Защищенный DNS в том или ином виде это будущее , и скоро все перейдут точно так же как перешли на HTTPS.
Но DNS это все же не дело браузера, это дело Маршрутизатора.
Так что плюсик поставил, это ИМХО обязательная штука в наше время

eEye · November 4, 2018

В 28.10.2018 в 16:35, vasek00 сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

vasek00 · November 4, 2018

10 минут назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Второй dnscrypt

https://habr.com/post/427639/

Скрытый текст

DNS over TLS (DoT) — TCP-подключение происходит на порт 853, внутри тоннеля передается обычный DNS-запрос. Провайдер видит, что это DNS запрос но не может в него вмешаться. При прочих равных, в DNS over TLS должно быть чуть меньше накладных расходов на каждый запрос, чем в over HTTPS.

DNS over HTTP (DoH) — TCP-подключение на порт 443, подобно обычному HTTPS. Внутри другой формат запроса, с HTTP-заголовками.

По сути, DNS over HTTPS и over TLS — одно и то же, с немного отличающемся форматом запросов. Оба эти протокола приняты в качестве стандартов и имеют RFC.

в настройках dnscrypt

# Use servers implementing the DNS-over-HTTPS protocol
doh_servers = true
...
## DoH: Disable TLS session tickets - increases privacy but also latency
# tls_disable_session_tickets = false

## DoH: Use a specific cipher suite instead of the server preference
## 49199 = TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
## 49195 = TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
## 52392 = TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
## 52393 = TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
##
## On non-Intel CPUs such as MIPS routers and ARM systems (Android, Raspberry Pi...),
## the following suite improves performance.
## This may also help on Intel CPUs running 32-bit operating systems.
##
## Keep tls_cipher_suite empty if you have issues fetching sources or
## connecting to some DoH servers. Google and Cloudflare are fine with it.

# tls_cipher_suite = [52392, 49199]
...

r13 · November 4, 2018

1 час назад, eEye сказал:

Подскажите пожалуйста, Вы использовался dnscrypt второй версии или первой?

Почему Google dns через DoH, а не DoT проверяли?

Разве dnscrypt-proxy DoT поддерживает?!

vasek00 · November 4, 2018

Написал же по конфигу только DoH.

Может кому пригодиться

https://quad9.net/doh-quad9-dns-servers/

https://quad9.net/

у меня на него "quad9-dnscrypt-ip4-filter-pri"

Скрытый текст

[2018-11-04 22:19:57] [NOTICE] [adguard-dns] OK (crypto v1) - rtt: 56ms
[2018-11-04 22:19:57] [NOTICE] [quad9-dnscrypt-ip4-filter-pri] OK (crypto v1) - rtt: 73ms
[2018-11-04 22:19:59] [NOTICE] [yandex] OK (crypto v1) - rtt: 27ms

r13 · November 12, 2018

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)

hard_alex@mail.ru · November 12, 2018

В 29.10.2018 в 13:50, hard_alex@mail.ru сказал:

А тем временем в Firefox в последней версии в настройках сети появилась галочка:
Включить DNS через HTTPS

43 минуты назад, r13 сказал:

dns over https теперь доступен в релизе лисьего браузера(искать в настройках «dns»)

Несколькими сообщениями выше и на две недели раньше )

r13 · November 12, 2018

В 12.11.2018 в 19:13, hard_alex@mail.ru сказал:

Несколькими сообщениями выше и на две недели раньше )

ну лишний раз ткнуть острой палкой кинетик не повредит

клауды кстати и под ios/android выкатили

Edited November 19, 2018 by r13

cmisha · December 13, 2018

Тоже жду с нетерпением. Чертовски нужная вещь.

cmisha · December 13, 2018

Да, для борьбы с провайдером.

Александр Рыжов · December 13, 2018

В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:

ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save

где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

keenet07 · December 13, 2018

@Александр Рыжов А есть от этого какой-то эффект? Провайдеры не мониторят нестандартные порты известных DNS серверов? Или их не анализирует оборудование?

Есть не стандартный порт для 1.1.1.1? Не могу найти.

Edited December 13, 2018 by keenet07

Александр Рыжов · December 13, 2018

Конечно. Нет. Нет смысла. Не знаю.

cmisha · December 13, 2018

3 часа назад, Александр Рыжов сказал:
В качестве workaround'а можете в командной строке прописать общедоступный DNS на нестандартном порту и вычистить провайдерские:
ip name-server 77.88.8.88:1253
interface PPPoE0 ipcp no name-servers
system configuration save
где 77.88.8.88:1253 - Яндекс.DNS базовый, PPPoE0 - имя интерфейса в сторону провайдера.

Яндекс я заблокировал через hosts. Нашими поисковиками не пользуюсь (Бережёного Бог бережёт)
В качестве DNS использую 8.8.8.8. Интерфейс IpoE. Провайдерские DNS заблокированны давно (ip dhcp client no name-servers).

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Edited December 13, 2018 by cmisha

Александр Рыжов · December 14, 2018

10 часов назад, cmisha сказал:

Вот и выходит, ждать реализации этой возможности, либо на Авито взять Кинетик с USB портом для пакетов.

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

cmisha · December 14, 2018

3 часа назад, Александр Рыжов сказал:

Т.е. другие публичные DNS'ы с нестандартными портами даже не искали.

Ну ОК, продолжайте ждать.

А кроме Яндекса и Cloudflare, какие?

Александр Рыжов · December 14, 2018

Взял список по первой ссылке в выдаче гугла, насчитал четыре сервера с нестандартными портами и бросил искать.

Попробуете сами?

ankar84 · January 10, 2019

Тем временем вчера Гугл запустился.

eEye · January 14, 2019

Доброе утро!

Это не совсем то, что подразумевалось автором темы, но для "домашних" пользователей вполне будет решением.

skydns объявил о планируемом запуске поддержки DoT в своём решении, возможно без танцев с бубном это появится и в приложении. Инфа взята с офф.сайта.

john ibsuser · February 7, 2019

Плюсуюсь, провайдерские DNS отключены, на винде пользуюсь simplednscrypt и хотел бы видеть поддержку DoH в роутере. Интересно насколько вариант behrooza из первого поста оптимизирован? Понятна критика некоторых что DoH требует больше накладных расходов, поэтому хорошо бы все было максимально оптимизировано и был persistent HTTPS канал с сервером, чтобы не переустанавливать соединение без необходимости

Edited February 7, 2019 by john ibsuser

diam · March 18, 2019

Поддерживаю запрос на реализацию непосредственно оборудованием. Спасибо

Naperegonki · April 14, 2019

А вот и начали появляться реализации DNS over TLS в прошивках для роутеров.
Первой стала Asuswrt-Merlin.

dot-preview1-png.17044

dot-preview2-png.17045

xserg · May 19, 2019

В 19.11.2018 в 19:23, Le ecureuil сказал:

Думаем над этим.

В итоге планируется ли реализация в ближайших релизах ?

Sign In

DNS over HTTPS и DNS over TLS

Question

Top Posters For This Question

Popular Days

Top Posters For This Question

Popular Days

Popular Posts

IgaX

Le ecureuil

ankar84

61 answers to this question

Recommended Posts

Recently Browsing 0 members