Gdy DNS przez HTTPS jest wyłączony w Mozilla Firefox
Jeśli wyłączyliśmy tę opcję (która jest obecnie domyślnie wyłączona), jeśli przeglądamy witrynę samą przeglądarką, widzimy, że wszystkie zapytania DNS są w pełni widoczne w programie takim jak Wireshark, tj. nie ma typu szyfrowania jak my nie używaj DNS przez HTTPS, który jest wbudowany w samą przeglądarkę.
Jak widać wszystkie zapytania są adresowane do IP 10.10.2.1, tutaj konfigurujemy serwer DNS tak jak sam router się tym zajmuje, serwer DNS nie jest przypisany do samych komputerów do indywidualnego rozwiązania, ale wszystko przechodzi przez sam router .
Po włączeniu DNS przez HTTPS w Firefoksie nie będziemy mogli zobaczyć żądań DNS
Aby ręcznie włączyć DNS przez HTTPS w przeglądarce Firefox, przejdź do „Narzędzia / Opcje / Ogólne / Konfiguracja sieci” i raz w menu ustawień połączenia, na dole zobaczysz opcję włączenia tej funkcji. Mozilla Firefox domyślnie użyje Cloudflare, aby zapewnić nam DoH.
Po włączeniu zobaczymy, że jedynymi uruchomionymi rozwiązaniami DNS będzie wykrywanie serwerów DNS Cloudflare DoH, ponieważ wydaje się, że nie używa bezpośrednio 1.1.1.1, ale zamiast tego rozwiązuje mozilla.cloudflare – domenę dns.com. Automatycznie używa serwerów DNS wymienionych w następującym oprogramowaniu szpiegującym:
Gdy rozwiążesz te DNS, DoH w Firefoksie zostanie w pełni włączony i nie będziemy mogli zobaczyć żadnych zapytań DNS. Ponadto, jeśli strony internetowe korzystają z TLS, nie będziemy również mogli „zobaczyć” żadnego rodzaju ruchu.
Jak zablokować DoH na poziomie sieci za pomocą dnsmasq
Jeśli używasz oprogramowania firmowego innej firmy, takiego jak OpenWRT, DD-WRT, Asuswrt Merlin lub inne, możemy edytować plik dnsmasq, aby uwzględnić „domenę kanaryjską”, aby Mozilla Firefox mogła ją wykryć i nie używać DoH do rozwiązania problemu adresy.
Aby to zrobić, po prostu dodaj następujący wiersz do konfiguracji dnsmasq:
server=/use-application-dns.net/
Po integracji wystarczy zrestartować usługę dnsmasq na naszym routerze lub na serwerze DNS, który mamy w sieci lokalnej. W use-application-dns.net możemy zobaczyć, że ta domena jest rzeczywiście skierowana do kontroli Mozilla Firefox DoH. Integrując go z dnsmasq, nie będziemy mogli uzyskać dostępu do tej strony, co jest wyraźnym znakiem, że skonfigurowaliśmy ją poprawnie. Jeśli zamierzasz uruchomić testy, pamiętaj o wyczyszczeniu pamięci podręcznej DNS, jeśli używasz systemu Windows, możesz to zrobić, uruchamiając następujące polecenie w „cmd.exe”:
ipconfig /flushdns
Jeśli nie wyczyścisz pamięci podręcznej, będzie ona nadal działać, jeśli nigdy nie będziesz mieć do niej dostępu.
Teraz, gdy surfujemy po Internecie za pomocą przeglądarki Mozilla Firefox, nie musimy już używać DNS przez HTTPS. Jednak podczas naszych testów sprawdziliśmy, że Mozilla Firefox nie weryfikuje żądania na tej stronie, więc będziemy nadal korzystać z DoH. Możliwe, że w obecnej wersji Firefoksa funkcja weryfikacji tej domeny nie jest dostępna, ponieważ DoH jest włączony ręcznie i nie jest domyślnie włączony.