<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">You didn’t get the sarcasm in the previous email :)<br class=""><div>The issue is that you can not 100% block DoH w/o blocking HTTPs. You may block well-known domains and IPs but there are many unknown and for targeted attacks new servers can be created even behind legit (but compromised) websites. </div><div><br class=""></div><div>Vadim<br class=""><blockquote type="cite" class=""><div class="">On Oct 2, 2019, at 10:04, Blason R <<a href="mailto:blason16@gmail.com" class="">blason16@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class="">Block 443? Not even possible since most of the portals/web servers now a days works on TCP/443<br class=""></div><br class=""><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 2, 2019 at 6:57 PM Alan Clegg <<a href="mailto:alan@clegg.com" class="">alan@clegg.com</a>> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/2/19 8:00 AM, Blason R wrote:<br class="">
> Hmm that is a good idea to block the DOH queries but what I understood<br class="">
> is blocking on perimeter level would be more appropriate.<br class="">
<br class="">
To nullify the abilities of DoH, you can block port TCP/443.<br class="">
<br class="">
That is pretty much guaranteed to keep DoH from working, but you may<br class="">
want to test this solution in the lab before you deploy widely.<br class="">
<br class="">
This method of controlling DoH may have side-effects.<br class="">
<br class="">
AlanC<br class="">
_______________________________________________<br class="">
Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank" class="">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br class="">
<br class="">
bind-users mailing list<br class="">
<a href="mailto:bind-users@lists.isc.org" target="_blank" class="">bind-users@lists.isc.org</a><br class="">
<a href="https://lists.isc.org/mailman/listinfo/bind-users" rel="noreferrer" target="_blank" class="">https://lists.isc.org/mailman/listinfo/bind-users</a><br class="">
</blockquote></div>
_______________________________________________<br class="">Please visit <a href="https://lists.isc.org/mailman/listinfo/bind-users" class="">https://lists.isc.org/mailman/listinfo/bind-users</a> to unsubscribe from this list<br class=""><br class="">bind-users mailing list<br class=""><a href="mailto:bind-users@lists.isc.org" class="">bind-users@lists.isc.org</a><br class="">https://lists.isc.org/mailman/listinfo/bind-users<br class=""></div></blockquote></div><br class=""></body></html>