Verständnisfrage: DNS over TLS und URL

[Mickey Cohen]

Hallo,

warum genügt es, bei DoT die URL des DNS-Servers anzugeben?

bspw. dns.google.com oder one.one.one.one?

der dns server teilt doch überhaupt erst mit, welche IP die jeweilige URL hat. Woher weiß denn das Netzwerkgerät, dass dns.google.com die ip 8.8.8.8 hat?

danke!

 

[eigs]

Die initiale Auflösung geschieht unverschlüsselt über DNSv4 oder DNSv6.
Eventuell gibt es auch Software/Geräte die eine IP Adressen Liste mit bekannten DoT Servern mitbringen.

 

[paccoderpster]

Eventuell ist noch im lokalen DNS-Cache gespeichert, welche IP-Adresse hinter dns.google.com oder one.one.one.one steht. Wenn du die Möglichkeit hast, diesen zu leeren, solltest du es mal probieren und dann schauen, ob er auch mit dem Namen arbeiten kann.

 

[Merle]

Ich sehe nur hardcoded oder eine andere Auflösungsart als Lösung. Es muss einmalig mit IPs gearbeitet werden, ob diese im Programm sind oder anderweitig vom OS „beschafft“ werden. Deine Frage ist schon korrekt, dass das mit Domains geht finde ich als Netzer seltsam.

 

[Harrdy]

Die Antwort von @eigs war schon korrekt. Für die erste Anfrage wird der normale im System hinterlegte DNS Server verwendet. Das ist auch der Grund wieso es bereits Filterlisten für DoT gibt. Um so random Clients oder Browser die meinen DNS Client spielen zu müssen das Anfragen von DoT Servern zu verbieten.

Warum man sowas machen will? Um z.B. zu verhindern das Clients den lokalen DNS Server (z.B. pihole) umgehen. Der lokale DNS Server kann ja dann seinerseits durchaus wieder mit DoT rausgehen.

Ist natürlich nur eine Variante DoT zu blockieren.

 

[cloudman]

Der Name wird auch benötigt um bei TLS den Server namen zu verifizieren.

Bei unbound kann ein Eintrag auch so aussehen, dann ist kein DNS lookup notwendig

#    forward-addr: 94.130.110.185@853#ns1.dnsprivacy.at

 

[nkler]

Also ich gebe immer die IP Adresse(n) und einen tls_auth_name an, zumindest wenn ich das ganze in OpenWrt konfiguriere.

OpenWrt Einstellungen
https://openwrt.org/docs/guide-user/services/dns/dot_dnsmasq_stubby

DNS Server
https://digitalcourage.de/support/zensurfreier-dns-server

 

[0-8-15 User]

In der Dokumentation von pfSense steht dazu Folgendes:

The hostname is technically optional but dangerous to omit. The DNS Resolver must have the hostname to validate that the correct server is providing a given response. The response is still encrypted without the hostname, but the DNS Resolver has no way to validate the response to determine if the query was intercepted and answered by a third party server (Man-in-the-Middle attack).