DNS qua HTTPS ( DoH ) hỗ trợ xuất hiện trên bản dựng Windows 10 2004 (Bản cập nhật tháng 5 năm 2020). Giờ đây, Windows 10 có thể phân giải tên qua giao thức HTTPS bằng ứng dụng khách DoH được tích hợp sẵn. Trong bài viết này, chúng tôi sẽ cho biết giao thức DNS qua HTTPS được sử dụng để làm gì, cách bật và sử dụng nó trên các bản Windows 10 mới nhất.
Khi máy tính của bạn kết nối với máy chủ DNS để phân giải tên, nó sẽ gửi và nhận các yêu cầu / phản hồi DNS qua Internet dưới dạng văn bản rõ ràng. Kẻ tấn công có thể chặn lưu lượng truy cập của bạn, phát hiện tài nguyên nào bạn đã truy cập hoặc thao túng lưu lượng truy cập DNS của bạn bằng cách sử dụng kiểu tấn công trung gian. DNS qua HTTPS bảo vệ quyền riêng tư dữ liệu của người dùng bằng cách mã hóa tất cả các truy vấn DNS. Giao thức DoH đóng gói các truy vấn DNS thành lưu lượng HTTPS và gửi chúng đến máy chủ DNS (bạn cần sử dụng máy chủ DNS đặc biệt có hỗ trợ DoH).
Windows 10 2004 chưa có tham số GPO hoặc tùy chọn trong giao diện đồ họa để bật DNS qua HTTPS. Hiện tại, bạn chỉ có thể bật DoH trên các bản dựng Windows 10 mới nhất thông qua sổ đăng ký:
- Chạy
regedit.exe; - Đi tới khoá đăng ký
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters - Tạo thông số DWORD mới với tên EnableAutoDoh và giá trị 2 ;
Bạn cũng có thể tạo tham số đăng ký này bằng lệnh ghép ngắn New-ItemProperty:
$EnableDNSoverHTTPSKey = 'HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters'
$EnableDNSoverHTTPSParameter = 'EnableAutoDoh'
New-ItemProperty -Path $EnableDNSoverHTTPSKey -Name $EnableDNSoverHTTPSParameter -Value 2 -PropertyType DWord –Force
- Sau đó, khởi động lại dịch vụ máy khách DNS. Để thực hiện việc này, hãy khởi động lại máy tính của bạn, vì bạn sẽ không thể khởi động lại dịch vụ dnscase một cách bình thường (
Restart-Service -Name Dnscache –forcelệnh trả về lỗi sau: Bộ sưu tập đã được sửa đổi; thao tác liệt kê có thể không thực thi ).
Sau đó, bạn sẽ phải thay đổi cài đặt DNS của kết nối mạng của mình. Bạn cần chỉ định máy chủ DNS có hỗ trợ DNS qua HTTPS. Không phải tất cả các máy chủ DNS đều hỗ trợ DoH. Bảng bên dưới hiển thị danh sách các máy chủ DNS công cộng có hỗ trợ DNS qua HTTPS.
| Nhà cung cấp | Địa chỉ IP của máy chủ DNS có hỗ trợ DNS qua HTTP |
| Cloudflare | 1.1.1.1, 1.0.0.1 |
| 8.8.8.8, 8.8.4.4 | |
| Quad9 | 9.9.9.9, 149.112.112.112 |
Mở cửa sổ kết nối mạng (Control Panel -> Network and Internet -> Network and Sharing Center hoặc ncpa.cpl ). Sau đó, thay đổi địa chỉ IP của máy chủ DNS hiện tại thành địa chỉ của máy chủ DNS hỗ trợ DoH trong thuộc tính bộ điều hợp mạng.
$PhysAdapter = Get-NetAdapter -Physical
$PhysAdapter | Get-DnsClientServerAddress -AddressFamily IPv4 | Set-DnsClientServerAddress -ServerAddresses '8.8.8.8', '1.1.1.1'
Sau đó, ứng dụng khách DNS của bạn sẽ sử dụng giao thức HTTPS (443) thay vì UDP / TCP cổng 53 tiêu chuẩn để phân giải tên DNS.
Sử dụng PktMon.exe, một công cụ để thu thập lưu lượng mạng (chúng tôi đã nói về nó trước đó), bạn có thể đảm bảo rằng không có yêu cầu DNS nào được gửi từ máy tính qua cổng 53.
Loại bỏ tất cả các bộ lọc Packet Monitor hiện tại:
pktmon filter remove
Tạo bộ lọc mới cho cổng DNS mặc định (53):
pktmon filter add -p 53
Bắt đầu theo dõi giao thông theo thời gian thực (lưu lượng sẽ được hiển thị trong bảng điều khiển):
pktmon start --etw -p 0 -l real-time
Nếu bạn đã định cấu hình DNS qua HTTPS đúng cách, sẽ không có lưu lượng truy cập trên Cổng 53 (ảnh chụp màn hình bên dưới hiển thị đầu ra bảng điều khiển có bật và tắt DoH).
Trong năm ngoái, DNS qua HTTPS đã được triển khai trên tất cả các trình duyệt phổ biến (Google Chrome, Mozilla Firefox, Microsoft Edge, Opera). Bạn có thể bật hỗ trợ DoH trong từng loại. Do đó, tất cả các truy vấn DNS từ trình duyệt của bạn sẽ được mã hóa (lưu lượng DNS của các ứng dụng khác sẽ vẫn được gửi dưới dạng văn bản thuần túy).
DNS qua HTTPS và DNS qua TLS sẽ gây ra rất nhiều rắc rối cho các quản trị viên mạng doanh nghiệp, vì sẽ khó hạn chế quyền truy cập vào các tài nguyên bên ngoài từ mạng nội bộ hơn.