DPI 既知の問題
Encrypted SNI と DNS over HTTPS に関する問題
最終更新日時:
2024/02/14 14:07:03
- 1. 問題の内容
- 2. 影響を受けるアプリケーション
- 3. 対象機種とシグネチャーのバージョン
- 4. 対策
- 5. 関連情報
- 6. 更新履歴
1. 問題の内容
Encrypted SNI と DNS over HTTPS の両方が有効となっている Google Chrome (*1) および Microsoft Edge (*2) で、影響を受けるアプリケーションを使用した場合に、DPI がパケットの一部を quic や google_gen 等と識別してしまうことにより、以下のような問題が発生する場合があります。
- アプリケーションの識別結果に基づくフィルタリング、経路の選択、QoS が設定どおりに動作しない
- アプリケーションの統計情報が正しく記録されない
(*1) Google Chrome(バージョン: 88.0.4324.190(Official Build)(64 ビット))で問題が発生することを確認済み。Android 版・iOS 版の Chrome は確認されていない。(2021年2月19日現在)
(*2) Microsoft Edge(バージョン: 88.0.705.74(公式ビルド)(64 ビット))で問題が発生することを確認済み。(2021年2月19日現在)
2. 影響を受けるアプリケーション
2021年2月19日現在、以下のアプリケーションで本問題が発生することを確認しています。(各アプリケーションはニーモニック型式で記載)
- accountkit
- atlassolutions
- blogger
- data_saver
- fcm
- facebook
- facebook_live
- facebook_messenger
- facebook_video
- gmail
- gmail_chat
- google_accounts
- google_ads
- google_analytics
- google_api
- google_appengine
- google_books
- google_calendar
- google_classroom
- google_code
- google_docs
- google_earth
- google_maps
- google_news
- google_one
- google_pay
- google_photos
- google_play_music
- google_plus
- google_safebrowsing
- google_tags
- google_takeout
- google_translate
- gstatic
- gsuite
- gtalk
- instagram
- waze
- youtube
- youtube_music
3. 対象機種とシグネチャーのバージョン
本問題が発生する機種およびシグネチャーのバージョンは以下の通りです。
機種 | シグネチャーバージョン |
RTX830 | Ver. 1.0.6 以前 |
NVR700W |
4. 対策
-
シグネチャーを更新する
本問題への対策をしたシグネチャーを順次リリースします。
2024/02/14 14:07:03時点でのリリース状況は以下の通りです。
機種 | 対策済みシグネチャー |
RTX830 | Ver. 1.0.8 |
NVR700W |
-
Encrypted SNI と DNS over HTTPS を無効にする
Google Chrome バージョン88では、以下の手順で Encrypted SNI と DNS over HTTPS を無効化することで、本問題を回避可能なことを確認しています。
- Google Chrome を起動し、検索バーに chrome://flags を入力し、Enter キーを押す
- #enable-quic と #dns-httpssvc を無効(disabled)にする
5. 関連情報
6. 更新履歴
- 2021/02/26 : 公開
- 2021/04/27 : 「4. 対策」の対策済みシグネチャーを更新
- 2021/05/06 : 「3. 対象機種とシグネチャーのバージョン」の本問題が発生するシグネチャーのバージョンを更新
[EOF]