ፕሮሆስተር > ጦማር > አስተዳደር > አገልግሎቱን ከ Cloudflare በአድራሻ 1.1.1.1 እና 1.0.0.1 ወይም "የህዝብ ዲ ኤን ኤስ መደርደሪያ ደርሷል!"

አገልግሎቱን ከ Cloudflare በአድራሻ 1.1.1.1 እና 1.0.0.1 ወይም "የህዝብ ዲ ኤን ኤስ መደርደሪያ ደርሷል!"

አገልግሎቱን ከ Cloudflare በአድራሻ 1.1.1.1 እና 1.0.0.1 ወይም "የህዝብ ዲ ኤን ኤስ መደርደሪያ ደርሷል!"

Cloudflare ኩባንያ .едставила ይፋዊ ዲ ኤን ኤስ በአድራሻዎች፡-

  • 1.1.1.1
  • 1.0.0.1
  • 2606: 4700: 4700 1111 ::
  • 2606: 4700: 4700 1001 ::

ፖሊሲው ተጠቃሚዎች በጥያቄዎቻቸው ይዘት ላይ የአእምሮ ሰላም እንዲኖራቸው "ግላዊነት መጀመሪያ" ነው ተብሏል።

አገልግሎቱ አስደሳች ነው, ከተለመደው ዲ ኤን ኤስ በተጨማሪ ቴክኖሎጂዎችን የመጠቀም ችሎታን ይሰጣል DNS-over-TLS и ዲ ኤን ኤስ-በላይ-ኤችቲቲፒኤስ, ይህም አቅራቢዎች የእርስዎን ጥያቄዎች በጥያቄዎች መንገድ ላይ እንዳይሰሙ በከፍተኛ ሁኔታ ይከላከላል - እና ስታቲስቲክስ ይሰበስባል, ይቆጣጠራል, ማስታወቂያን ያስተዳድሩ. ክላውድፍላር የማስታወቂያው ቀን (ኤፕሪል 1፣ 2018 ወይም 04/01 በአሜሪካ ማስታወሻ) በአጋጣሚ አልተመረጠም ይላል፡ “አራቱ ክፍሎች” የሚቀርቡት በዓመቱ ሌላ ምን ቀን ነው?

የሀብር ታዳሚዎች በቴክኒካል ጠቢባን ስለሆኑ ባህላዊው ክፍል "ለምን ዲ ኤን ኤስ ያስፈልግዎታል?" በጽሁፉ መጨረሻ ላይ አኖራለሁ፣ ግን እዚህ የበለጠ በተግባራዊ ጠቃሚ ነገሮችን እገልጻለሁ፡

አዲሱን አገልግሎት እንዴት መጠቀም ይቻላል?

በጣም ቀላሉ ነገር ከላይ የተጠቀሱትን የዲ ኤን ኤስ አገልጋይ አድራሻዎች በዲ ኤን ኤስ ደንበኛዎ ውስጥ (ወይም በሚጠቀሙት የአካባቢ የዲ ኤን ኤስ አገልጋይ ቅንብሮች ውስጥ እንደ ዥረት) መግለጽ ነው። የተለመዱትን እሴቶች መተካት ምክንያታዊ ነው ጎግል ዲ ኤን ኤስ (8.8.8.8፣ ወዘተ)፣ ወይም ትንሽ የተለመደ የ Yandex የህዝብ ዲ ኤን ኤስ አገልጋዮች (77.88.8.8 እና ሌሎች እንደነሱ) ከ Cloudflare ወደ አገልጋዮች - እነሱ ለእርስዎ ይወስናሉ, ግን ለጀማሪዎች ይናገራሉ. መርሐግብር የምላሽ ፍጥነት ፣ በዚህ መሠረት Cloudflare ከሁሉም ተወዳዳሪዎች የበለጠ ፈጣን ነው (አብራራለሁ-ልኬቶቹ የተወሰዱት በሶስተኛ ወገን አገልግሎት ነው ፣ እና ለአንድ የተወሰነ ደንበኛ ያለው ፍጥነት ፣ በእርግጥ ፣ ሊለያይ ይችላል)።

አገልግሎቱን ከ Cloudflare በአድራሻ 1.1.1.1 እና 1.0.0.1 ወይም "የህዝብ ዲ ኤን ኤስ መደርደሪያ ደርሷል!"

ጥያቄው በተመሰጠረ ግንኙነት (በእርግጥ ምላሹ በእሱ በኩል ይመለሳል) ፣ በተጠቀሰው ዲ ኤን ኤስ-በላይ-ቲኤልኤስ እና ዲ ኤን ኤስ-በላይ-ኤችቲቲፒኤስ ላይ ጥያቄው ወደ አገልጋዩ በሚበርባቸው አዳዲስ ሁነታዎች መስራት የበለጠ አስደሳች ነው። እንደ አለመታደል ሆኖ እነሱ “ከሳጥን ውጭ” አይደገፉም (ደራሲዎቹ ይህ “ገና” ነው ብለው ያምናሉ) ነገር ግን ስራቸውን በሶፍትዌርዎ (ወይም በሃርድዌርዎ ላይ እንኳን) ማደራጀት ከባድ አይደለም ።

ዲ ኤን ኤስ በኤችቲቲፒ (DoH)

ስሙ እንደሚያመለክተው፣ ግንኙነት የሚከናወነው በኤችቲቲፒኤስ ቻናል ነው፣ ይህ ማለት ነው።

  1. የማረፊያ ነጥብ (የመጨረሻ ነጥብ) መኖሩ - በአድራሻው ላይ ይገኛል https://cloudflare-dns.com/dns-query
  2. ጥያቄዎችን መላክ እና ምላሾችን መቀበል የሚችል ደንበኛ።

ጥያቄዎች በዲ ኤን ኤስ Wireformat ቅርጸት በተገለፀው ውስጥ ሊሆኑ ይችላሉ። RFC1035 (በPOST እና GET HTTP ዘዴዎች የተላከ)፣ ወይም በJSON ቅርጸት (የGET HTTP ዘዴን በመጠቀም)። ለእኔ በግሌ የዲ ኤን ኤስ ጥያቄዎችን በ HTTP ጥያቄዎች የማቅረብ ሀሳብ ያልተጠበቀ ይመስል ነበር ፣ ግን በእሱ ውስጥ ምክንያታዊ እህል አለ-እንዲህ ዓይነቱ ጥያቄ ብዙ የትራፊክ ማጣሪያ ስርዓቶችን ያልፋል ፣ ምላሾችን መተንተን በጣም ቀላል ነው ፣ እና ጥያቄዎችን ማመንጨት የበለጠ ቀላል ነው። የተለመደው ቤተ-መጻሕፍት እና ፕሮቶኮሎች ለደህንነት ተጠያቂ ናቸው።

ከሰነዱ በቀጥታ ምሳሌዎችን ይጠይቁ፡

በዲ ኤን ኤስ የ Wireformat ቅርጸት ያግኙ

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

የPOST ጥያቄ በዲ ኤን ኤስ Wireformat ቅርጸት

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

ተመሳሳይ ነገር ግን JSON ን በመጠቀም

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

ግልጽ ነው ፣ ያልተለመደ (ቢያንስ አንድ ከሆነ) የቤት ራውተር በዚህ መንገድ ከዲ ኤን ኤስ ጋር መሥራት ይችላል ፣ ግን ይህ ማለት ድጋፍ ነገ አይታይም ማለት አይደለም - እና በሚያስደንቅ ሁኔታ ፣ እዚህ ከዲ ኤን ኤስ ጋር በመተግበሪያችን ውስጥ መሥራትን መተግበር እንችላለን (ቀደም ሲል እንደነበረው) ሞዚላ ለመስራት ነው።፣ በ Cloudflare አገልጋዮች ላይ)።

ዲ ኤን ኤስ በTLS ላይ

በነባሪ የዲ ኤን ኤስ መጠይቆች ያለ ምስጠራ ይተላለፋሉ። ዲ ኤን ኤስ በTLS ላይ እነሱን በአስተማማኝ ግንኙነት የሚልኩበት መንገድ ነው። Cloudflare በተደነገገው መሰረት በመደበኛ ወደብ 853 ዲኤንኤስን በTLS ይደግፋል RFC7858. ይህ ለCloudflare-dns.com አስተናጋጅ የተሰጠ የምስክር ወረቀት ይጠቀማል፣ TLS 1.2 እና TLS 1.3 ይደገፋሉ።

ግንኙነት መመስረት እና በፕሮቶኮሉ መሰረት መስራት የሚከተለውን ይመስላል።

  • የዲ ኤን ኤስ ግንኙነት ከመመስረቱ በፊት ደንበኛው ባዝ64 ኮድ SHA256 hash of cloudflare-dns.com TLS ሰርተፍኬት (SPKI ይባላል) ያከማቻል።
  • የዲ ኤን ኤስ ደንበኛ ከCloudflare-dns.com:853 ጋር የTCP ግንኙነት ይመሰርታል።
  • የዲ ኤን ኤስ ደንበኛ TLS መጨባበጥ ይጀምራል
  • በTLS እጅ መጨባበጥ ሂደት የCloudflare-dns.com አስተናጋጅ የTLS ሰርተፍኬትን ያቀርባል።
  • አንዴ የTLS ግንኙነት ከተፈጠረ የዲ ኤን ኤስ ደንበኛ የዲኤንኤስ ጥያቄዎችን ደህንነቱ በተጠበቀ ቻናል መላክ ይችላል፣ ይህም ጥያቄዎችን እና ምላሾችን እንዳይሰሙ እና እንዳይታለሉ ይከላከላል።
  • በTLS ግንኙነት የሚላኩ ሁሉም የዲ ኤን ኤስ መጠይቆች የሚከተሉትን ማክበር አለባቸው በTCP ላይ ዲ ኤን ኤስ በመላክ ላይ.

በTLS በኩል በዲ ኤን ኤስ የቀረበ ጥያቄ ምሳሌ፡-

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

ይህ አማራጭ የአካባቢያዊ አውታረ መረብ ወይም የአንድ ተጠቃሚን ፍላጎቶች ለሚያገለግሉ የአካባቢ ዲ ኤን ኤስ አገልጋዮች በተሻለ ሁኔታ የሚሰራ ይመስላል። እውነት ነው, በደረጃው ድጋፍ በጣም ጥሩ አይደለም, ግን - ተስፋ እናደርጋለን!

ውይይቱ ስለ ምን እንደሆነ ሁለት የማብራሪያ ቃላት

ዲ ኤን ኤስ ምህጻረ ቃል የጎራ ስም አገልግሎትን ያመለክታል (ስለዚህ “ዲ ኤን ኤስ አገልግሎት” ማለቱ በተወሰነ ደረጃ ያልተለመደ ነው ፣ አህጽሮቱ አስቀድሞ “አገልግሎት” የሚለውን ቃል ይዟል) እና ቀላል ተግባር ለመፍታት ጥቅም ላይ ይውላል - አንድ የተወሰነ የአስተናጋጅ ስም ያለው የአይፒ አድራሻ ምን እንደሆነ ለመረዳት። አንድ ሰው አገናኙን ጠቅ ባደረገ ቁጥር ወይም በአሳሹ የአድራሻ አሞሌ ውስጥ አድራሻ በገባ ቁጥር (በማለት አንድ ነገር "እንደ"https://habrahabr.ru/post/346430/"), የሰው ኮምፒዩተር የገጹን ይዘት ለማግኘት የትኛውን አገልጋይ ጥያቄ እንደሚልክ ለማወቅ እየሞከረ ነው። በ habrahabr.ru ጉዳይ ላይ ከዲ ኤን ኤስ የሚሰጠው ምላሽ የድር አገልጋይ አይፒ አድራሻ 178.248.237.68 ምልክት ይይዛል እና ከዚያ አሳሹ አስቀድሞ ከተጠቀሰው የአይፒ አድራሻ ጋር አገልጋዩን ለማግኘት ይሞክራል።

በተራው ፣ የዲ ኤን ኤስ አገልጋይ ፣ “habrahabr.ru የሚባል የአስተናጋጅ IP አድራሻ ምንድነው?” የሚለውን ጥያቄ ከተቀበለ ፣ ስለተገለጸው አስተናጋጅ ምንም የሚያውቀው ነገር እንደሌለ ይወስናል። ካልሆነ, በዓለም ላይ ላሉ ሌሎች የዲኤንኤስ አገልጋዮች ጥያቄ ያቀርባል, እና ደረጃ በደረጃ, ለተጠየቀው ጥያቄ መልስ ለማግኘት ይሞክራል. በውጤቱም ፣ የመጨረሻውን መልስ ሲያገኝ ፣ የተገኘው መረጃ ለደንበኛው አሁንም እየጠበቀቸው ይላካል ፣ በተጨማሪም እሱ በዲ ኤን ኤስ አገልጋይ መሸጎጫ ውስጥ ተከማችቷል ፣ ይህም በሚቀጥለው ጊዜ ተመሳሳይ ጥያቄ በፍጥነት እንዲመልሱ ያስችልዎታል ።

አንድ የተለመደ ችግር በመጀመሪያ የዲ ኤን ኤስ መጠይቁን መረጃ በግልፅ ይተላለፋል (የትራፊክ ፍሰቱ መዳረሻ ያለው ማንኛውም ሰው የዲ ኤን ኤስ መጠይቆችን እና የሚቀበሉትን ምላሾች ነጥሎ ለራሱ ዓላማ መተንተን ይችላል) ይህ ይሰጣል ። ለዲ ኤን ኤስ ደንበኛ በትክክለኛነት ማስታወቂያዎችን የማነጣጠር ችሎታ ፣ ይህ በጣም ብዙ ነው!) በሁለተኛ ደረጃ አንዳንድ አይኤስፒዎች (ጣት አንቀስርም ነገር ግን ትንንሾቹን አይደለም) ከአንድ ወይም ከሌላ የተጠየቀው ገጽ ይልቅ ማስታወቂያዎችን ማሳየት ይቀናቸዋል (ይህም በቀላሉ የሚተገበር ነው፡ በ habranabr.ru ለመጠየቅ ከተጠቀሰው አይፒ አድራሻ ይልቅ) የአስተናጋጅ ስም ፣ የዘፈቀደ ሰው ስለዚህ ፣ የአቅራቢው ድር አገልጋይ አድራሻ ይመለሳል ፣ ማስታወቂያው የያዘው ገጽ የሚቀርብበት)። በሶስተኛ ደረጃ ፣ የታገዱ የድር ሀብቶችን የአይፒ አድራሻዎች ትክክለኛ የዲ ኤን ኤስ ምላሾች በአገልጋዮቻቸው አይፒ አድራሻ በመተካት የግለሰብ ጣቢያዎችን ለማገድ የሚያስፈልጉትን መስፈርቶች የሚያሟሉበት ዘዴን የሚተገብሩ የበይነመረብ አገልግሎት አቅራቢዎች አሉ (በዚህም ምክንያት ፣ መዳረሻ) ። እንደዚህ ያሉ ድረ-ገጾች ይበልጥ የተወሳሰቡ ሲሆኑ) ወይም ማጣሪያን ወደሚያከናውን ተኪ አገልጋይህ አድራሻ።

ይህ ምናልባት ከጣቢያው የመጣ ምስል መሆን አለበት. http://1.1.1.1/, ከአገልግሎቱ ጋር ያለውን ግንኙነት ለመግለጽ ጥቅም ላይ ይውላል. ደራሲዎቹ በዲ ኤን ኤስ ጥራት ላይ በጣም የሚተማመኑ ይመስላሉ (ይሁን እንጂ፣ ከ Cloudflare ሌላ ነገር መጠበቅ ከባድ ነው)

አገልግሎቱን ከ Cloudflare በአድራሻ 1.1.1.1 እና 1.0.0.1 ወይም "የህዝብ ዲ ኤን ኤስ መደርደሪያ ደርሷል!"

አንድ ሰው የአገልግሎቱን ፈጣሪ የሆነውን Cloudflareን ሙሉ በሙሉ ሊረዳው ይችላል፡ በዓለም ላይ ካሉት በጣም ታዋቂ የሲዲኤን ኔትወርኮች አንዱን በመጠበቅ እና በማዳበር እንጀራቸውን ያገኛሉ (ይህም ተግባር ይዘትን ማሰራጨት ብቻ ሳይሆን የዲ ኤን ኤስ ዞኖችን ማስተናገድንም ያካትታል) እና በምክንያት የእነዚህ ሰዎች ፍላጎት ፣ በደንብ ያልተማረ, እነዚያን አስተምር የማያውቁትን፣ ለዛም። የት መሄድ እንዳለበት በአለምአቀፍ አውታረመረብ ውስጥ ብዙውን ጊዜ የአገልጋዮቻቸውን አድራሻ በመዝጋት ይሰቃያሉ። ማን ነው አንበል - ስለዚህ ለኩባንያው "ጩኸቶች, ጩኸቶች እና ስክሪብሎች" የማይነካ ዲ ኤን ኤስ መኖሩ ማለት በንግድ ስራቸው ላይ የሚደርሰው ጉዳት ያነሰ ነው. እና ቴክኒካዊ ጥቅሞች (ትንሽ ነገር ግን ጥሩ ነው፡ በተለይ ለነፃ ዲ ኤን ኤስ Cloudflare ደንበኞች በኩባንያው የዲ ኤን ኤስ አገልጋዮች ላይ የተስተናገዱትን የዲ ኤን ኤስ መዝገቦችን ማዘመን ፈጣን ይሆናል) በፖስታው ላይ የተገለጸውን አገልግሎት መጠቀም የበለጠ አስደሳች ያደርገዋል።

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

አዲሱን አገልግሎት ትጠቀማለህ?

  • አዎ ፣ በስርዓተ ክወናው እና / ወይም በራውተር ላይ በቀላሉ በመግለጽ

  • አዎ፣ እና አዲስ ፕሮቶኮሎችን እጠቀማለሁ (ዲኤንኤስ በኤችቲቲፒ እና ዲኤንኤስ በTLS)

  • አይ፣ በቂ የአሁን አገልጋዮች አሉኝ (ይህ የህዝብ አገልግሎት አቅራቢ ነው፡ Google፣ Yandex፣ ወዘተ.)

  • አይ፣ አሁን የምጠቀምበትን እንኳን አላውቅም

  • የእኔን ተደጋጋሚ ዲ ኤን ኤስ ከኤስኤስኤል ዋሻ ጋር እጠቀማለሁ።

693 ተጠቃሚዎች ድምጽ ሰጥተዋል። 191 ተጠቃሚ ተቆጥቧል።

ምንጭ: hab.com

አስተያየት ያክሉ