DNS Over Https (DoH)

L’obiettivo di questo post è di spiegare come funziona il protocollo DNS Over Https, quali sono i suoi vantaggi rispetto al tradizionale Domain Name System in termini di privacy per l’utente ma anche come questo protocollo è sempre più sfruttato dagli hacker per portare a termine attacchi informatici e cosa possono fare le organizzazioni per difendersi da tali attacchi.

1. Che cos’è il DNS Over Https?

DNS over HTTPS (in breve: DoH) è un protocollo di nuova generazione che permette agli utenti internet di portare a termine la risoluzione del Domain Name System usando il protocollo HTTPS. In confronto al tradizionale DNS è considerato apparentemente più sicuro, specialmente perché aiuta a proteggere la privacy dell’utente. Tuttavia, quasi tutti gli operatori ISP e WISP hanno espresso forti critiche per le performance che, in confronto al tradizionale e velocissimo DNS su protocollo UDP, sarebbero degradate in modo importante.

2. Come funziona il DNS Over Https?

Con un tradizionale DNS la ricerca Internet segue questi passaggi:
»L’utente inserisce l’indirizzo del sito che vuole raggiungere nella barra del browser
»Il browser invia una richiesta attraverso Internet per recuperare l’indirizzo IP del sito scelto
»La richiesta è inviata usando una connessione a testo semplice che non è criptata. Ciò significa che è facile per le terze parti sbirciare e vedere a quale sito l’utente sta cercando di accedere.
Con il DNS Over Https la ricerca Internet funzionerà in modo diverso: invece di usare una connessione in testo semplice il browser invierà il nome del sito cercato a un server HTTPS tramite una normale connessione criptata. Con una connessione criptata gli esterni non saranno in grado, apparentemente, di sbirciare per capire quali siti si vogliono raggiungere. Ma il gestore del servizio DoH, specie se pubblico, conoscerà le nostre preferenze e potrà effettuare campionature ai fini di marketing e pubblicità.

2.1 Quando è nato il DNS Over Https?

Il protocollo DNS Over Https è relativamente recente. Ad ottobre 2018 l’IETF ha pubblicato il documento RFC8484, che definiva lo standard proposto. L’IETF è l’Internet Engineering Task Force, una comunità internazionale aperta di designer di rete, operatori e ricercatori che fanno ricerca e sviluppo nel settore dell’evoluzione dell’architettura di Internet.

Il documento RFC8484 rappresenta il consenso della comunità IETF sul nuovo protocollo. Come riporta il documento: “DoH cripta il traffico DNS e richiede l’autenticazione del server. Questo mitiga sia la sorveglianza passiva [RFC7258] che gli attacchi attivi che tentano di spostare il traffico DNS verso server corrotti.”

3. DNS Over Https: ma è veramente “maggiore sicurezza”?

Come detto sopra, l’obiettivo del protocollo DNS Over Https è quello di aumentare la privacy e la sicurezza degli utenti. Ma come riesce a raggiungere questo target? A differenza di un sistema DNS tradizionale, DoH non utilizza la porta 53 del DNS per chiedere il nome del sito attraverso un pacchetto UDP (User Datagram Protocol) o TCP (Transmission Control Protocol).

Invece, il protocollo DoH protocol codifica una singola query DNS all’interno di una richiesta Http attraverso il metodo Https GET oppure POST:
» con il metodo POST il messaggio della richiesta Http include la query DNS;
» con il metodo GET la singola variabile “dns” rappresenta il contenuto del DNS.

Il protocollo DNS Over Https cripta il traffico DNS. In questo modo, sia la sorveglianza passiva che la manipolazione dei dati DNS con attacchi intermedi è mitigata. Inoltre, usare la porta 443, che è quella di default per l’Https, e mescolare il traffico DoH con altro traffico Https sulla stessa connessione aiuta a scovare tentativi di interferenza nelle operazioni DNS da parte di terzi. Di conseguenza, l’analisi del traffico DNS sarà più difficile, in linea teorica.

Proprio per la sua trasmissione in chiaro, il servizio DoH consente agli utenti di superare facilmente i Filtri di navigazione (se non presente apposita protezione sul DoH, che FlashStart possiede) ed essere quindi vulnerabile nella navigazione.

Infatti, il DoH rappresenta un vero e proprio problema per gli amministratori di rete e i gestori di connettività che devono ripensare completamente la sicurezza ed il filtraggio dell’accesso ad Internet per i loro utenti.

Si pensi, ad esempio, ad un’Impresa con 100 postazioni lavoro che si ritrova senza alcun controllo sulla navigazione in Internet. Gli utenti avranno libero accesso ai siti malevoli, ai contenuti inadatti, violenti e spesso illegali e l’Azienda non avrà alcun freno a tutto questo.

Ci sono percorsi e risoluzione ben definiti che consentono agli utenti di “forzare” il protocollo DNS classico ed impostare all’interno della rete LAN una risoluzione dei nomi sicura senza esporre i dati all’esterno. Tuttavia, ad oggi, il governo dei DoH nelle reti delle Organizzazioni pubbliche e private rappresenta un punto di allarme molto importante e strategico per la sicurezza dei dati, dell’infrastruttura e degli utenti stessi.

4. E inoltre… il DoH offre nuove opportunità agli hacker

E’ ormai diventato naturale che, non appena un nuovo protocollo, sviluppo o applicazione diventano disponibili, gli hacker iniziano a studiare il nuovo strumento e ad analizzarlo per capire se possono usarlo per in attacchi cyber. E più che capire se, si tratta di comprendere come possono farlo, trovare una vulnerabilità nel sistema e sfruttarla a proprio vantaggio.

Il protocollo DNS Over Https non è un’eccezione alla regola. Ad oggi, la maggior parte delle organizzazioni ha, tra i propri sistemi di protezione informatica, un Internet content filter. L’Internet content filter mantiene delle deny list (o blacklist), che contengono i dettagli di domini malevoli conosciuti in modo da bloccarne l’accesso.

Per saperne di più riguardo il funzionamento degli Internet content filter consulta il nostro articolo dedicato!

Quindi solitamente, se la richiesta DNS è verso un sito pericoloso un messaggio di allerta apparirà all’utente. Con il DoH tuttavia, siccome le richieste DNS sono criptate, diventa molto più difficile identificare queste richieste pericolose, con conseguenti problemi di sicurezza. Inoltre, le maggiori vulnerabilità oggigiorno presenti riguardano i Server Web. Basti pensare al recentissimo exploit “Log4Shell” che rischia di compromettere a livello globale la rete Internet (e link a questo blog: https://flashstart.com/it/bug-log4j/)

5. I primi attacchi

5.1 Godula

Le prime informazioni di un cyber attack che ha utilizzato il protocollo DNS Over Https risalgono all’1 luglio 2019, quindi nove mesi dopo che l’IETF aveva pubblicato il documento che definiva il nuovo standard. Il nome del malware era Godula ed esso sfruttava il DoH nelle sue fasi 2 e 3 per ottenere l’indirizzo dei server command and control.In questo caso si utilizzava il file codice Lula byte per tenere il record DNS TXT in testo semplice. Il malware poi mandava una richiesta usando il protocollo DoH per ottenere il risultato del DNS TXT.

5.2 PsiXBot

Più avanti, sempre nel 2019, durante il mese di settembre è stato registrato il secondo caso di malware che utilizzava il DoH. Il nome del malware era PsiXBot e in realtà si tratta di un malware più vecchio, portato all’attenzione della comunità IT per la prima volta nel 2017 e probabilmente creato da un gruppo di hacker russi. PsiXBot, che è nato come un semplice trojan, nel tempo si è evoluto per diventare un’entità di malware completa, in grado di compromettere intere reti.

Le versioni più recenti del malware gli permettevano di attivare la webcam e il microfono dei computer degli utenti che stavano guardando contenuti pornografici, che è un altro motivo per cui le organizzazioni dovrebbero proteggere i laptop dei propri dipendenti con un Internet content filter che può rimanere attivo anche quando il dispositivo si trova fuori dalla rete aziendale.

PsiXBot conteneva domini command-and-control, che venivano criptati usando l’RC4. Per recuperarli sfruttava il servizio Google DoH.

5.3 Oilrig

Alla fine di luglio 2020 il gruppo di hacker iraniano Oilrig è stato il primo gruppo ad essere identificato per aver usato il protocollo DoH nei propri attacchi. Oilrig utilizzava un servizio open-source, DNSExfiltrator, per maneggiare, spostare ed esfiltrare i dati.

6. Cosa possono fare aziende ed organizzazioni contro gli attacchi DoH?

Ci sono molte misure generiche che aziende e organizzazioni possono adottare per contrastare gli attacchi basati contrastare sul protocollo DNS Over Https. Esse includono:
» Controllare gli endpoint del DoH endpoints e il traffico che ci passa;
» Installare risolutori DoH interni, come la nuova “Cloud Box” di FlashStart, tra pochissimo disponibile;
» Monitorare l’utilizzo del DoH per identificare contenuti di tipo “application/dns-jason” o “application/dns-message”;
» Verificare il traffico in uscita concentrandosi su pacchetti di dimensioni anormali.

7. Conclusioni

Il servizio DNS Over Https permette agli hacker di nascondere le query DNS dai domini command-and-control. Se le organizzazioni non verificano il loro traffico in maniera continua, gli attacchi che sfruttano il DoH potrebbero non venire notati. C’è bisogno di fare ancora molta ricerca e sviluppo per proteggere le organizzazioni e gli utenti internet da questa minaccia emergente e in forte crescita. Ecco perchè, ad oggi, l’utilizzo in ambienti professionali del protocollo DoH risulta essere fortemente sconsigliato e pericoloso per la sicurezza Internet. Anche uno dei padri fondatori di moltissime RFC per Internet e numerosi software open-source, Paul Vixie, si è fortemente opposto all’utilizzo del DoH.


Flashstart è lo strumento sicuro per navigare su Internet in azienda o in smart-working
Richiedi ora un’offerta e Inizia subito la tua prova gratuita.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Articoli correlati