مجله نوبرکلاد بلاگ تخصصی سرور و زیرساخت ابری
دیاناس اور اچتیتیپیاس (DNS over HTTPS یا DoH) یکی از تغییرات مهم و ساختاری در فرایند Name Resolution اینترنت محسوب میشود که با هدف افزایش حریم خصوصی و جلوگیری از شنود یا دستکاری درخواستهای DNS طراحی شده است. در مدل سنتی، کوئریهای DNS روی پورت 53 و بهصورت متن ساده ارسال میشوند؛ بنابراین ISPها، تجهیزات میانی شبکه یا حتی مهاجمان MITM میتوانند دامنههایی که کاربر درخواست میکند را مشاهده یا تغییر دهند. DoH این مشکل را با Encapsulation درخواستهای DNS داخل ترافیک HTTPS حل میکند تا همهچیز در بستر رمزنگاریشده منتقل شود.
ساختار DoH پشت صحنه چگونه کار میکند؟
کلاینت بهجای ارسال پکت UDP کلاسیک، یک درخواست HTTPS استاندارد به Endpoint ریزالور ارسال میکند که معمولاً مسیر «/dns-query» دارد. Payload این درخواست میتواند بهصورت باینری یا JSON باشد. استفاده از HTTP/2 یا HTTP/3 باعث میشود که Multiplexing Connection Reuse و کاهش Head-of-line Blocking اتفاق بیفتد و در بسیاری از سناریوها Performance حتی از DNS سنتی هم بهتر شود. علاوهبراین، بهدلیل قرار گرفتن ترافیک در لایه HTTPS، ابزارهای DPI بهسختی میتوانند Domain Lookupها را استخراج کنند.
تفاوت DoH با DoT چیست؟
تفاوت مهم DoH با DNS over TLS یا DoT در این است که DoT روی پورت 853 و پروتکل مشخص TLS اجرا میشود و تشخیص آن برای شبکه سادهتر است، اما DoH عمداً داخل Web Stack طراحی شده تا با ترافیک عادی وب قابل تفکیک نباشد. مرورگرهایی مثل Firefox و Chrome گاهی از Resolverهای Public استفاده میکنند و حتی از تنظیمات DNS سیستمعامل عبور میکنند؛ موضوعی که میتواند Policyهای سازمانی را دور بزند و برای تیمهای امنیتی چالش ایجاد کند.
