DNS over HTTPS (DoH) 是一個透過 HTTPS 加密傳輸來查詢網域名稱的協定,主要目的是為了改善使用者的隱私與安全,避免原始 DNS 協定中用戶的 DNS 解析請求被中間人竊聽或者竄改的問題,以達到保護用戶隱私的目的。Mozilla 官方部落格發表了一篇文章:「A cartoon intro to DNS over HTTPS」,裡面以簡單易懂的方式說明了 DoH 的需求原因及原理。
目前 DoH 已有由 IETF 發佈的 RFC 草案,其規範文件為 RFC8484,瀏覽器中 Firefox 及 Chrome 已支援 DoH 功能。
安裝基本套件
要安裝相關套件之前,我們先安裝 git 及 epel-release,其中 git 是用來安裝放在 github 的 doh 測試工具(不想安裝可以略過),而 epel-release 是為了安裝 certbot 的相關套件,來申請 Let’s Encrypt 的憑證。另外,為了讓 doh-proxy 能正常運作,它需要 python 3.5 以上版本,epel-release 裡面也包含了 python36 可供使用。
yum -y install git epel-release
安裝與設定 doh-proxy
在安裝 doh-proxy 之前,先安裝它運作時的需求相關套件:
yum -y install python36 python36-pip python36-devel
doh-proxy 套件包裝及上傳存放在 pypi 中,所以可以簡單地使用下列指令安裝它:
pip3.6 install doh-proxy
接下來建立 doh-proxy 運作需要的帳號及家目錄:
adduser -r doh-proxy \
-d /var/lib/doh-proxy \
-c 'DOH Proxy server' \
-s /sbin/nologin \
-U
mkdir /var/lib/doh-proxy \
&& chown doh-proxy.doh-proxy /var/lib/doh-proxy
製作 systemd 的 unit file,我們設定讓它監聽 8080 埠:
cat <<EOF > /usr/lib/systemd/system/doh-httpproxy.service
[Unit]
Description=DOH HTTP Proxy on 8080
After=syslog.target network.target
Before=nginx.target
[Service]
Type=simple
ExecStart=/usr/local/bin/doh-httpproxy --upstream-resolver ::1 --level DEBUG --listen-address=::1 --port 8080
Restart=always
User=doh-proxy
Group=doh-proxy
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload
設定開機時會自動啟動服務,並啟動它:
systemctl enable doh-httpproxy
systemctl start doh-httpproxy
以上,doh-proxy 就安裝並啟動完成,用 netstat -ntlp 應該可以看到正在監聽 8080 埠,啟動程式是 python3。
安裝與設定 named
接下來要安裝一個協助到外界代查 DNS 結果的解析伺服器,因為對 bind 比較熟,所以就安裝 named 囉:
yum -y install bind
systemctl enable named
systemctl start named
檢查一下 named 服務正常:
host www.google.com ::1
服務正常的話,應該會得到 IPv4 及 IPv6 的回應位址。
安裝與設定 nginx:
最後,我們安裝、設定 nginx,並安裝 certbot-nginx 以取得 Let’s Encrypt 的憑證:
yum -y install nginx certbot-nginx
systemctl enable nginx systemctl start nginx
開啟防火牆:
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload
接下來要使用 certbot 取得憑證,在這裡我用的是 doh.ishm.idv.tw 作為憑證申請的網址,先要確認自己想要申請的網址(FQDN)是正確且可連上。
certbot --nginx -n --redirect -d doh.ishm.idv.tw
現在,要設定的是啟動 HTTP2 協定,並設定 NGINX 將 doh-proxy 作為後端服務。
開啟 /etc/nginx/nginx.conf 並尋找下列兩行:
listen [::]:443 ssl ipv6only=on; # managed by Certbot
listen 443 ssl; # managed by Certbot
將它改成:
listen [::]:443 ssl http2 ipv6only=on; # managed by Certbot
listen 443 ssl http2; # managed by Certbot
設定 nginx 只允許 HEAD、GET 及、POST 的要求:
if ( $request_method !~ ^(GET|POST|HEAD)$ ) {
return 501;
}
接下來,要設定 /dns-query 所取得的所有資訊,都送到後端的 doh-proxy。
在相同的 server { } 區段內 (也就是 443 的區段),找到下列子區段:
location / {
}
改成這樣:
location /dns-query {
proxy_set_header Host $http_host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_redirect off;
proxy_buffering off;
proxy_pass http://dohproxy_backend;
}
然後找到下列區段的開頭 (也就是 SSL 設定的 server { } 區段):
server {
server_name doh.ishm.idv.tw; # managed by Certbot
在區段的開頭「之前」,加入下列 doh-proxy 後端服務的監聽埠資訊:
upstream dohproxy_backend {
server [::1]:8080;
}
server {
server_name doh.ishm.idv.tw; # managed by Certbot
.............
存檔後重啟 NGINX:
systemctl restart nginx
設定 SELinux 開放 NGINX 連線到 doh-proxy 的限制:
setsebool -P httpd_can_network_connect=true
doh-client 指令測試
doh-proxy 安裝好後就有一個用戶端工具程式 doh-client 可供測試,預設是查詢 AAAA 的結果,如果想查詢不同的 TYPE,可以用 –qtype 選項來指定要查詢的 Query TYPE:
doh-client --domain doh.ishm.idv.tw --qname www.google.com
瀏覽器測試
Firefox 及 Chrome 已支援 DoH 的使用,Firefox 到選單-選項-網路設定裡做設定:
chorme 直接使用選項開啟連結,當然其中的參數改成自己建置的 DoH 網址:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --enable-features="dns-over-https<DoHTrial" --force-fieldtrials="DoHTrial/Group1" --force-fieldtrial-params="DoHTrial.Group1:server/https%3A%2F%2Fdoh.ishm.idv.tw%2Fdns-query/method/POST
Firefox 可以在網址列輸入「about:networking#dns」,即可看到是否透過 TRR 來查詢 DNS,TRR 是指可信賴的 DNS 遞迴解析伺服器(Trusted Recursive Resolver,TRR),也就是我們的 DoH Server。
curl 指令測試
DoH 有許多開放的伺服器可供使用,也有不少工具可應用,可參考這裡,其中 curl 算是比較熟悉的程式。curl 的維護者 Daniel Stenberg 於 2018 年 9 月宣佈 curl 將會支援 DNS over HTTPS,該版本 7.62.0 將於 2018 年 10 月釋出。CentOS 7 預載的 curl 用 curl -V 查看,是 7.29.0 版本,所以要用 curl 測試就要先升級,我們下載官網的 srouce code 來自行編譯。不過編譯前先準備好 compiler 的環境:
yum -y install openssl-devel gcc
然後去 curl 的官網下載 source code,我現在下載的是 7.66.0,您可能下載到更新的版本:
wget https://curl.haxx.se/download/curl-7.66.0.tar.gz
tar zxf curl-7.66.0.tar.gz
cd curl-7.66.0/
./configure
make
make install
如果覺得自行編譯很麻煩,另外有一個已經由 city-fan.org 編好的 curl 最新版本,因為它是已知的問題軟件庫,安裝前請審慎評估。不過如果只是測試用,用完就虛擬機快照還原,那也不失為一個快速安裝來測試用的途徑:
rpm -Uvh http://www.city-fan.org/ftp/contrib/yum-repo/rhel7/x86_64/city-fan.org-release-2-1.rhel7.noarch.rpm
yum --enablerepo=city-fan.org install libcurl libcurl-devel
安裝好後,可用 curl -V 看一下版本,沒問題就可以用 –doh-url 選項來操作:
curl --doh-url https://doh.ishm.idv.tw/dns-query https://www.google.com
doh 指令測試
另有一個好用的工具 doh 可供使用,它是基於 curl 的工具,能透過 DoH 查詢 DNS 的結果,但要自己編譯:
git clone https://github.com/curl/doh.git
cd doh
make
make install
make clean
doh 的預設 TRR 是 https://dns.cloudflare.com/dns-query,如果要使用自建的 DoH,那就自己帶參數:
doh www.google.com https://doh.ishm.idv.tw/dns-query
DNS over HTTPS 目前還在實驗性階段,RFC8484 還是草案,目前就只能透過瀏覽器內建的 DoH 功能來執行查詢,沒有作業系統本身的支援。或許要等到 DoH 的外掛或代理程式出來,自建 DoH 的需求才會大。