Шифрование DNS: новые шаги

Несколько лет назад мы уже писали про усилия, прикладываемые мировым IT-сообществом для защиты DNS-трафика. DNS оказался последним из классических протоколов интернета, который обзавёлся зашифрованным двойником. Для зашифрованной версии DNS был даже выделен отдельный специфический порт — 853 (для оригинального протокола — 53), что подчёркивает как важность усилий (просто так порты не выделяют), так и фундаментальные отличия нового протокола от старого. До сих пор внедрение оставались сугубо экспериментальным, но, кажется, весной 2018 года наметился прорыв.

Как водится, для внедрения в сеть Интернет необходима поддержка с двух сторон — клиентской и серверной. На этот раз первый ход сделали клиенты.

В компании Mozilla, разрабатывающей одноимённый браузер, 19 марта 2018 года анонсировали исследование возможности реализации протокола DNS-over-HTTPS, который ждёт принятия IETF в качестве стандарта в течение ближайших недель. Поддержка протокола была добавлена в тестовые версии браузера, так что на большинстве пользователей это сказаться не должно. Больше всего исследователей интересуют возможные последствия для производительности — предыдущие измерения показывали, что нагрузка на шифрующий DNS-сервер возрастает в 8-10 раз по сравнению с обычной, а это требует существенных вложений. Зато DNS-трафик становится не только не прослушиваемым: такой подход существенно усложняет внесение искажений. Для защиты от искажений уже давно разработан протокол DNSSec, но он внедрён далеко не везде (в зоне .RU на 5 миллионов доменов приходится меньше 2 тысяч подписанных ключом DNSSec) и требует определённой аккуратности при внедрении.

Партнером исследования стала компания Cloudflare. Мы уже несколько раз писали о том, как эта CDN-компания развивает экспериментальные технологии для лучшего обслуживания клиентов — или, по крайней мере, для маркетингового успеха.

На этот раз в Cloudflare анонсировали не только поддержку нового варианта DNS, но и новый публичный DNS-сервис с легко запоминающимися IP-адресами — 1.1.1.1 и 1.0.0.1. Об использовании этих адресов пришлось договариваться с APNIC, организацией, распределяющей IP-адреса по всему азиатско-тихоокеанскому региону. Надо сказать, что часть программ «не верят» в существование таких адресов, рассматривая их как недопустимые в текущей системе адресации и используя, например, как локальные адреса в сетях. (Так, из дома автора статьи добраться до IP-адреса 1.1.1.1 браузеру не удалось.) Теперь, возможно, авторам такого ПО придётся исправлять свои ошибки или менять настройки сетей.

Клиенты Cloudflare, помимо приватности их DNS-запросов, получат в ряде случаев и бОльшую скорость доступа — в конце концов, на серверах этого провайдера расположены миллионы сайтов. Утверждается, что сервера от Cloudflare, распределённые по всему миру (за одним IP-адресом скрывается огромное количество серверов во множественных датацентрах Cloudflare), дают более быстрый отклик по сравнению с серверами Google. Адресам, вопреки принятой практике, соответствуют сайты, общение с которыми, разумеется, тоже идёт по защищённому протоколу. На них можно найти рекомендации по настройке своих компьютеров для работы с новыми DNS-серверами и использованию их в своём ПО. Запуск сервиса приурочили к 1 апреля (4/1 в принятой в США нотации), не испугавшись ассоциаций с «днём дурака».

Желающие могут познакомиться и с техническим описанием нового сервиса, не ограничиваясь маркетинговым. Среди заслуживающих упоминания возможностей сервиса — удаление лишних данных из запросов (QNAME minimization), а также некоторые меры, препятствующие использованию сервиса от Cloudflare в «атаках отражения». Разумеется, поддерживается и протокол IPv6 — но у него адреса не столь запоминающиеся, поэтому в публикациях про них обычно не пишут.

Надо сказать, что компания Cloudflare не уникальна, предлагая защищённый вариант DNS-протокола всему миру. DNS-сервис от Google, тоже на запоминающихся IP-адресах — 8.8.8.8 и 8.8.4.4 — тоже внедрил у себя эту технологию в ноябре прошлого года, хотя и не особо её рекламирует. Яндекс-Браузер поддерживает технологию DNSCrypt, ещё один вариант скрыть информацию от слишком любопытных наблюдателей.

Разумеется, предлагаемое решение несовершенно. Нельзя скрыть запросы пользователей от DNS-провайдеров — но можно перераспределить соотношение запросов между крупными и мелкими игроками. Не превратится ли в очередной раз предлагаемая защита от наблюдателя в приманку, которая позволит крупным игрокам увеличить свои доходы, предлагая более точный анализ поведения клиентов рекламодателям? Очень многое сейчас, когда эксперимент анонсирован, зависит от того, кто из крупных игроков включится в гонку за скорость обслуживания, где первым призом будет поток данных для анализа.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку