DoH をcurlでやる

github を見ていたら、curl にDoHのサポートが入ってることを知った。早速使ってみました。

DNS問い合わせを curl で DoH する。

使うDoHサーバーはcloudflare を選びました。

curl -v  --doh-url https://cloudflare-dns.com/dns-query t.co

リダイレクトでサーバーへ接続

オプションにリダイレクトを入れると、DoHした結果をそのまま使ってHTTPリクエストをしてHTMLを取得しに行く

このリダイレクトの仕組みがあると確実にDNS問い合わせ結果を、ネットワークスタックの監視プログラムなどに割り込みされることなく、確実に目的のサーバーでたどり着けますね。

curl -vL  --doh-url https://cloudflare-dns.com/dns-query https://t.co

実際やってみたところ

DoHは、途中の経路の暗号化

暗号化により、盗聴・改竄・成りすましは防止できますが、DoH通信先サーバーが「信用できる」かどうかは別問題であり、DoH先にしていたサーバがDNS応答内容を「書き換え」してブロッキングしてる可能性もあるので十分に注意する。ただ、経路上で成りすましはおこりえないので安心である。

DoHを展開する有名どころ

• cloudflare
  • https://cloudflare-dns.com/dns-query
• google
  • https://dns.google/dns-query
  • https://dns.google/resolve?

その他に、大量のDoHサーバーが展開されている。たぶんDNSトラフィックを監視するのは、大手以外では不可能になるのだろう。

そして、大手企業を「ポリティカル・コレクトネス」で締め上げるていくことでインターネットは安全になっていくのであろう。

そのうち、自前でDNSを引いてるだけで、闇インターネットだとかダークウェブとか言われうのであろう。