O DNS-over-QUIC está vindo aí para deixar sua conexão mais rápida e segura

4 curtidas

Alecrim!

“O que o DNS-over-QUIC faz, basicamente, é levar o QUIC para trabalhar sobre o DNS.”

Acredito que seja o contrário:

O que o DNS-over-QUIC faz, basicamente, é levar o DNS para trabalhar sobre o QUIC.

2 curtidas

Realmente, inverti as bolas. Obrigado pelo aviso!

1 curtida

Isso é muito interessante!
Eu só queria saber qual seria o resultado da adoção desse protocolo em larga escala, será que os sistemas baseados em TCP/UDP não entrariam em conflito durante uma eventual mudança?
Durante a mudança do IPv4 para IPv6, muita gente ficou insegura com a ideia de ter que abandonar sistemas obsoletos e até trocar equipamentos pra poder continuar utilizando serviços na internet, e como vimos, foi mais simples do que parecia.
E pra quem tem algum equipamento muito limitado e antigo na rede, uma falha de arquitetura poderia ser explorada (novamente) usando brechas na implementação ou na comunicação entre dois sistemas distintos?
Pelo que eu vi, a adoção desse protocolo está aumentando. Tomara que esteja maduro o suficiente e não nos surpreenda com mais um bug em escala global.

1 curtida

Isso leva a uma quebra dos filtros corporativos já criados nas empresas, o que já freia adoção do DoH (DNS sobre HTTPS) e outros como DoT (DNS over TLS). Vejo ser mais uma coisa inútil como o próprio QUIC, que já fpi comprovado não trazer ganho significativo.

1 curtida

Estou usando aqui em casa. Fiz alguns testes com o QUIC do AdGuard e depois usei o do Nextdns. Foram os únicos que eu vi e que atenderem bem.

Na verdade, não há uma “mudança” de IPva para IPv6. Há realmente a adição do suporte ao IPv6 a novos dispositivos e aplicações. A grande vantagem do v6 (como chamamos IPv6 no ramo de provedores) é ter a comunicação direta host a host. Um ótimo exemplo é um torrent (onde a aplicação é também um servidor que responde a conexões de outros clientes torrent). Ao invés de precisar criar regras de redirecionamento NAT, testar para verificar se a porta está livre para ser usada e tudo mais, é só rodar a aplicação que já vai funcionar. Você sabia que, se bem implementado, cada aplicação numa máquina pode ter seu próprio endereço IPv6? Isso mesmo. Se você tem um celular, o app do banco pode ter um endereço IPv6 diferente do endereço do WhatsApp… Aliás, é possível que cada aba do navegador tenha seu próprio endereço…

Interessante a preocupação das empresas em tentar “melhorar” a experiência. Só acho curioso que estão abordando o lado errado da questão. Rs

Por padrão, consultas DNS (pra resolver nomes) já são em UDP. Usam a porta 53. No DNS o TCP é usado (quase sempre) somente em sincronização entre servidores. Além do mais, o ideal é ter um servidor DNS o mais próximo dos clientes (do ponto de vista do provedor de acesso). Esses servidores fazem um cache das consultas. Logo, se você abre o Google (por exemplo), você quase sempre está sendo servido pelo cache local com menos de 10ms no pior dos casos. Uma solução dessas (como usar o 8.8.8.8 ou 1.1.1.1 como DNS) vai dar uns 30ms (20ms a mais) na média. Ou seja, é como querer emagrecer só trocando o arroz branco pelo arroz integral. Rs

PS.: por que sempre recomendamos usar o DNS fornecido pelo provedor? Existe uma coisa chamada cache (que pode assumir algumas alcunhas como CDN, FNA, GGC, PNI, OCA, etc…) que, pelo DNS o provedor pode fazer a resposta para um conteúdo (como um vídeo no YouTube) ir parar num cache dentro da rede do provedor ao invés de ir a centenas ou milhares de quilômetros de distância. Sabe o que isso melhora? O vídeo carrega com uma qualidade melhor e mais rapidamente…

DoQ vai criptografar o DNS, o que melhora a segurança, mas isso não melhora a velocidade, afinal o DNS já trabalha em cima de UDP e não vi nenhuma outra técnica ali que melhore a velocidade alem disso.

1 curtida

Exatamente, eu acabei misturando as coisas. O curioso sobre o IPv6 é que deve beneficiar muito IoT, games, etc.
Lembro de ter lido uma discussão sobre o NAT, alguns diziam que seria uma camada a mais de segurança, acho que não faz sentido levando em conta os recursos atuais.

Segurança por obscurecencia, o inimigo não sabe o que tem na rede para atacar, não que os equipamentos estejam realmente protegidos.

E não é melhor que um firewall de rede, o openwrt que uso no lugar do firmware original ele barra toda conexão ipv6 entrante por padrão, só deixa passar os pacotes de resposta que o equipamento começou a conexão com o servidor.

1 curtida