تم الكشف عن مطوري خادم BIND DNS قبل عدة أيام الانضمام إلى الفرع التجريبي 9.17، وتنفيذ دعم من خادم للتقنيات DNS عبر HTTPS (DoH ، DNS عبر HTTPS) و DNS عبر TLS (DoT، DNS over TLS) ، وكذلك XFR.
تنفيذ بروتوكول HTTP / 2 المستخدم في DoH يعتمد على استخدام مكتبة nghttp2 ، التي تم تضمينها في تبعيات البناء (في المستقبل من المخطط نقل المكتبة إلى التبعيات الاختيارية).
من خلال التكوين المناسب ، يمكن الآن لعملية واحدة مسماة خدمة ليس فقط طلبات DNS التقليدية ، ولكن أيضًا الطلبات المرسلة باستخدام DoH (DNS عبر HTTPS) و DoT (DNS عبر TLS).
دعم عميل HTTPS (حفر) لم يتم تنفيذه بعد ، بينما يتوفر دعم XFR-over-TLS للطلبات الواردة والصادرة.
معالجة الطلبات باستخدام DoH و DoT يتم تمكينه عن طريق إضافة خياري http و tls إلى الأمر listen-on. لدعم DNS عبر HTTP غير مشفر ، يجب عليك تحديد "tls none" في التكوين. يتم تحديد المفاتيح في قسم "tls". يمكن تجاوز منافذ الشبكة القياسية 853 لـ DoT و 443 لـ DoH و 80 لـ DNS عبر HTTP من خلال معلمات منفذ tls و https و منفذ http.
من بين الميزات تنفيذ DoH في BIND ، يشار إلى أنه من الممكن نقل عمليات التشفير لـ TLS إلى خادم آخر ، قد يكون هذا ضروريًا في الحالات التي يتم فيها تخزين شهادات TLS على نظام آخر (على سبيل المثال ، في بنية تحتية بها خوادم ويب) ويحضرها أفراد آخرون.
الدعم ل يتم تنفيذ DNS عبر HTTP غير المشفر لتبسيط التصحيح وكطبقة لإعادة التوجيه على الشبكة الداخلية ، يمكن على أساسها ترتيب التشفير على خادم آخر. على خادم بعيد ، يمكن استخدام nginx لإنشاء حركة مرور TLS ، عن طريق القياس بالطريقة التي يتم بها تنظيم ربط HTTPS للمواقع.
ميزة أخرى هي دمج دائرة الصحة كوسيلة نقل عام ، والتي يمكن استخدامها ليس فقط لمعالجة طلبات العميل إلى المحلل ، ولكن أيضًا عند تبادل البيانات بين الخوادم ، وعند نقل المناطق باستخدام خادم DNS موثوق ، وعند معالجة أي طلبات تدعمها وسائل نقل DNS الأخرى.
من بين أوجه القصور التي يمكن تعويضها عن طريق تعطيل التجميع باستخدام DoH / DoT أو نقل التشفير إلى خادم آخر ، تم تسليط الضوء على المضاعفات العامة لقاعدة البيانات- تمت إضافة خادم HTTP ومكتبة TLS مضمنة إلى التكوين ، والتي من المحتمل أن تحتوي على نقاط ضعف وتعمل كمتجهات هجوم إضافية. أيضًا ، عند استخدام DoH ، تزداد حركة المرور.
عليك أن تتذكر ذلك يمكن أن يكون DNS-over-HTTPS مفيدًا لتجنب تسرب المعلوماتالعمل على أسماء المضيفات المطلوبة من خلال خوادم DNS الخاصة بالمقدمين ، ومكافحة هجمات MITM وحركة مرور DNS المزيفة ، والتصدي للحظر على مستوى DNS أو تنظيم العمل في حالة استحالة الوصول المباشر إلى خوادم DNS.
نعم، في الوضع الطبيعي ، يتم إرسال طلبات DNS مباشرة إلى خوادم DNS المحددة في تكوين النظام ، ثم في حالة DNS عبر HTTPS ، طلب تحديد عنوان IP الخاص بالمضيف يتم تغليفه بحركة مرور HTTPS وإرساله إلى خادم HTTP ، حيث يعالج المحلل الطلبات من خلال واجهة برمجة تطبيقات الويب.
يختلف "DNS عبر TLS" عن "DNS عبر HTTPS" باستخدام بروتوكول DNS القياسي (عادةً ما يتم استخدام منفذ الشبكة 853) الملفوف في قناة اتصال مشفرة منظمة باستخدام بروتوكول TLS مع التحقق من صحة المضيف من خلال شهادات TLS / SSL المعتمدة بشهادة. السلطة.
أخيرًا ، ذكر أن يتوفر DoH للاختبار في الإصدار 9.17.10 وكان دعم دائرة النقل موجودًا منذ 9.17.7 ، بالإضافة إلى أنه بمجرد استقراره ، سينتقل دعم DoT و DoH إلى الفرع المستقر 9.16.