Comments 11
Так первым или третьим? Первым так-то был CF и именно на пользователях США и тестировался их DNS и после теста он очевидно стал первым DoH провайдером DNS для пользователей США.

МТС в Санкт-Петербурге начал в случае несуществующего домена направлять на свою страницу с рекламой. Пришлось заодно лишить их и знания, какие домены я посещаю. Благо, это легко настраивается в Андроид 9 и новее.
https://developers.google.com/speed/public-dns/docs/using#android

Благо, это легко настраивается в Андроид 9 и новее.
https://developers.google.com/speed/public-dns/docs/using#android\

Описание тут странное в 3-м пункте:


  1. Go to Settings > Network & Internet > Advanced > Private DNS.
  2. Select Private DNS provider hostname.
  3. Enter dns.google as the hostname of the DNS provider.
  4. Click Save

В FreeBSD я IP-адреса моих серверов имён вношу для сервера bind в файл /etc/resolv.conf


А в инструкции на указанной выше странице мне говорят указывать Андроиду не IP-адреса моих серверов имён, а говорят писать туда какой-то dns.google.Что это за прикол и как это поможет Андроиду начать использовать мои сервера имён — я не знаю. Поэтому и не пишу этот dns.google туда.


Как мна заставить андроидного резолвера резолвить всё через мои сервера имён?

У меня настройки такие:


На одной FreeBSD устанавливаю bind. Ну допустим, что это машина с адресом 192.168.0.1.
На другой машине с FreeBSD (когда я её адрес на ней настраиваю не через DHCP, а руками), то в файле /etc/resolv.conf пишу адрес первой машины (192.168.0.1) и благодаря этому вторая машина нормально резолвит мне всё, что мне нужно.
С сертификатами в этой настройке я не сталкиваюсь.


Как мне таким же (или похожим) способом на Андроиде указать IP-адреса нужных мне серверов имён?

В прошлом провайдер активно выступал против внедрения таких мер безопасности.

Не можешь победить — возглавь.

Очень интересно как изменится траффик и скорость — всё же DoH это ощутимый оверхед по обоим параметрам, если учесть сертификаты, шифрование и всё такое — оно всё уже явно не влезет в размер одного UDP пакета, плюс добавится задержка на установление соединения.


Вполне вероятно что собственно пользователи это не особо заметят (разве что чуть-чуть), но вот провайдеры, и особенно DoH операторы...

Да ладно вам. Установить соединение, расшифровать TLS — так уже умеют делать давно, и очень успешно справляются с огромными нагрузками. Пример: cdn серверы, серверы потокового вещания (YouTube, twitch). Разница с DoH лишь в том, кто отработает микрозапрос дальше. Плюс dns запросов проходит не так много(не забывайте, что они кешируются), в отличии от тех же подгрузок картинок и другой статики, которая тоже за HTTPS.

К тому же, достаточно один раз сделать запрос к DNS-серверу, чтобы установить SSL-соединение, и ходить по сайтам, делая минимальные запросы

Если использовать QUIC+TLS 1.3, то у нас будет UDP + 0-RTT Handshake. Другими словами, это будет несколько UDP-пакетов на запрос.

Only those users with full accounts are able to leave comments. Log in, please.