Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

Будет ли поддержка DNS DoH, DNS DoT?

Понимаю что ветка MT фактически мертва, но всё же...

Насколько понимаю, реализация поддержки этих технологий не сильно затратна как по железу, так и по человеко-часам. :)

Если в ветке МТ этого не будет, то можно ли ожидать поддержки этих вещей в ветке HQ?

Не знаю кто говорил о мертва. Не суть.

У меня всегда вопрос только один. А зачем? Вот какие проблемы перечисленные нахлобучки в вашем случае решают?

Подход тут такой. Независимо от затратности появление чего-либо в софте должно быть обосновано реально решаемыми задачами. Не высосанными из пальца, а вот конкретными задачами.

Тем более браузеры нынче сами умеют DoH.

На мой взгляд единственная решаемая тут проблема это черезчур малые задержки. НАДО БОЛЬШЕ ЗАДЕРЖЕК.

Ну и почему я должен лично не доверять своему провайдеру, зато доверять DNS серверу в жопе мира с DOH/DOT. Или бояться перехвата трафика от вас до провайдерских DNS которые стоят тут же больше чем перехвату трафика летящего через весь мир?

Что полезного можно перехватить в DNS запросах вообще?

Единственная польза это отсутсвие возможности подмены DNS ответов по пути. Но в случае с провайдерскими DNS потребуется физическое вмешательсво в его сеть или компроментация его DNS сервера (т.к. дальше выделить уже только ваши запросы и ответить только вам будет не реально), что гораздо менее вероятно чем компроментация какой-то левой фигни за тысячи километров общающейся с вами по каналам общего пользования.

Если вопрос лежит в части блокировок РКН, то как бы нынче блокировки только на уровне DNS почти никто из провов не юзает.

ИМХО сиё не решает никаких практических проблем на уровне пользовательского оборудования кроме паранои на тему злого провайдера. Но эта параноя пагубна, ибо в случае с провайдером понятно кому, условно, в морду дать, то в случае какого-то левого DNS в Ж мира как-то не очень. И почему к владельцу этого DNS в Ж мира доверия должно быть больше мне так же не ясно.

Но всё же мне интересно послушать вашу аргументацию на тему на кой фиг оно надо и какие полезные данные вне HTTP/HTTPS ходилок (для которых DOH нынче прям в браузере есть) могут быть слиты.

Опустим сложность реализации перехвата именно ваших запросов в случае использования провайдерских DNS. Даже допустим что это делается просто на раз и ничуть не сложнее когда ваша система ходит до днс в Ж мира.

К сожалению, сами провайдеры не гнушаются вставлять "заглушки" на некоторые адреса по известному только им списку. Фактов в сети много, даже крупные игроки типа РТ и Билайна. Это раз.

Во-вторых, многие местячковые провайдеры так и блокируют сайты, путём перехвата DNS запросов, им просто не по карману устанавливать аппаратно-программные DPI. Но это не основная цель.

В-третьх, это не паранойя, а альтернатива, которая судя по движению интернета в сторону шифрования всего и вся, постепенно заменит обычный DNS, как https сейчас вытесняет обычный http.

Но раз нет, так нет. Скомпилить stubby  или  unbound под мипс особого труда не составит. Запустить любой из них в паре с dnsmaq тоже не должно быть сложно. В entware ещё не смотрел, возможно там уже есть готовые бинари.

PS. В отличии от России, в Казахстане не существует сайта РКН, на котором есть список блокируемых хостов, сайтов. Тут всё шито-крыто и фиг чего у кого узнаешь. Блокировки тут реальны и каждый раз приходится искать методы их обхода. И в отличии от России, в Казахстане фактически один провайдер - Казахтелеком, который целиком и полностью подконтролен лидеру нации. Так что для живущих в КЗ это одна из возможностей получить доступ к информации. Но это офтоп.

Цитата: RoxsAndy от 20/08/2019, 13:33

К сожалению, сами провайдеры не гнушаются вставлять "заглушки" на некоторые адреса по известному только им списку. Фактов в сети много, даже крупные игроки типа РТ и Билайна. Это раз.

К сожалению делают они это на уровне DPI и не только по имени домена, но и по списку IP с него разворачивающегося. Т.е. одной работы DNS мало, один фиг для обхода тянуть туннель.

Во-вторых, многие местячковые провайдеры так и блокируют сайты, путём перехвата DNS запросов, им просто не по карману устанавливать аппаратно-программные DPI. Но это не основная цель.

Это вообще не цель ибо противоречит законодательству.

В-третьх, это не паранойя, а альтернатива, которая судя по движению интернета в сторону шифрования всего и вся, постепенно заменит обычный DNS, как https сейчас вытесняет обычный http.

Вы можете заменить уже сейчас. FF прекрасно умеет DOH сам без учатия роутера http://www.opennet.ru/tips/info/3086.shtml. Нет никаких проблем.

Но раз нет, так нет. Скомпилить stubby  или  unbound под мипс особого труда не составит. Запустить любой из них в паре с dnsmaq тоже не должно быть сложно. В entware ещё не смотрел, возможно там уже есть готовые бинари.

С вероятностью 99%

PS. В отличии от России, в Казахстане не существует сайта РКН, на котором есть список блокируемых хостов, сайтов. Тут всё шито-крыто и фиг чего у кого узнаешь. Блокировки тут реальны и каждый раз приходится искать методы их обхода. И в отличии от России, в Казахстане фактически один провайдер - Казахтелеком, который целиком и полностью подконтролен лидеру нации. Так что для живущих в КЗ это одна из возможностей получить доступ к информации. Но это офтоп.

Ну дык организуете свой сайт, и общими силами ведёте базу.

В общем вся аргументация свелась к ущемлению прав государством. =)

Что касается казахстана уже попробовали обкатать добровольно принудительную установку сертификата национального в браузеры. Значит готовятся ввести прозрачное проксирование всего HTTPS трафика на уровне шлюзов из КЗ в мир. И весь DOH пойдёт лесом.

Эта "гонка вооружений" с государством всегда заранее проиграна пользователем пока операторы не взбунтуются. А они не вбунтуются пока юзвери находят лазейки сами.

Боюсь скоро опять спутниковый интернет может оказаться снова актуальным и в городах при таких заходах. Не решаются административные и политические проблемы чисто техническими средствами (военные действия не берём в пример).

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: