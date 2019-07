2.27 , Аноним ( 27 ), 00:43, 07/07/2019 [^] [^^] [^^^] [ответить] +1 + / – Почему?

3.29 , Дон Ягон ( ok ), 00:51, 07/07/2019 [^] [^^] [^^^] [ответить] + / – Что "почему"?

Ну т.е. о чём именно ты?

4.31 , Аноним ( 31 ), 01:05, 07/07/2019 [^] [^^] [^^^] [ответить] +1 + / – Он спрашивает что, по твоему, нк так с doh, очевидно

5.35 , Дон Ягон ( ok ), 01:26, 07/07/2019 [^] [^^] [^^^] [ответить] +2 + / – > Он спрашивает что, по твоему, нк так с doh, очевидно DoH - извращение. Поэтому. DNS - это DNS, https - это https.

Есть DoT, можно пускать DNS-запросы через tor, можно поднять свой сервер и т.п.

DoH - бесполезное уродство. Ни один DPI не догадается, ага, что пакеты, летящие в ip DoH-резолверов cloudflare/гугла на 443 порт - это DoH. Никогда.

Ну и сама идея - сливать данные о своих DNS-запросах не провайдеру, а гуглу/клаудфляре - так себе.

Да, можно поднять свой DoH-сервер, но блин, можно и просто DNS-сервер поднять. DoT не забанят. Нет смысла блокировать протокол, когда можно блокировать конкретные сервера, которые не хотят сотрудничать или ещё чем-то не нравятся.

6.37 , Anonymous45486 ( ? ), 01:46, 07/07/2019 [^] [^^] [^^^] [ответить] + / – Никогда не догадается. На IP-адресе не висит табличка "тут резолвер". Идёт обращение по HTTPS на 443 порт Гугла/клаудфлаера - ВСЁ. Это всё, что вы (DPI) знаете. Заглянуть в SNI и узнать домен вы тоже не можете - eSNI. Итого, у вас остаются весьма топорные способы как-то разрулить ситуацию: - рубить все соединения, где не видно SNI и надеяться, что приложение, не получив ответа, включит fallback, откатившись к незашифроввнному SNI. Как только основные браузеры откажутся от fallback-поведения, вы в заднице, потому что серфинг у абонентов становится невозможен и абоненты дружно проголосуют ногами, уйдя к условному Ростелекому, который может себе позволить блокировать не так строго (и платить штрафы по 50к за пропуски хоть каждый день) - ставить соединение на паузу и обнюхивать запрошенный IP на наличие там веб-сервера (как делает китайский файерволл), если веб-сервер не найден, делать вывод, что это DoT и рубить. Вы снова в заднице, потому что абонентам такое тормощогло вместо интернета нафиг не нужно. - составлять базу IP, где замечен запущенный резолвер. Удачи, у клаудфлаера столько адресов, что он хоть каждые 5 минут может их менять. После того, как ваше оборудование схавает миллион-другой адресов, оно, дай боже, загнётся и... да, вы снова в жопе

7.41 , Дон Ягон ( ok ), 02:24, 07/07/2019 [^] [^^] [^^^] [ответить] + / – текст свёрнут, показать Не висит Зато не резолверах висит табличка с написанным IP Это не просто хос...