আমরা 1.1.1.1 এবং 1.0.0.1 ঠিকানায় ক্লাউডফ্লেয়ার থেকে পরিষেবাটির সাথে দেখা করি বা "সর্বজনীন DNS শেলফ এসেছে!"

ক্লাউডফ্লেয়ার কোম্পানি উপস্থাপন ঠিকানায় সর্বজনীন DNS:

• 1.1.1.1
• 1.0.0.1
• 2606: 4700: 4700 1111 ::
• 2606: 4700: 4700 1001 ::

নীতিটিকে "প্রাইভেসি ফার্স্ট" বলা হয়েছে যাতে ব্যবহারকারীরা তাদের অনুরোধের বিষয়বস্তু সম্পর্কে মানসিক শান্তি পেতে পারেন।

পরিষেবাটি আকর্ষণীয় যে, সাধারণ DNS ছাড়াও, এটি প্রযুক্তি ব্যবহার করার ক্ষমতা প্রদান করে DNS-ওভার-TLS и DNS-ওভার-HTTPS, যা প্রদানকারীদের অনুরোধের পথ ধরে আপনার অনুরোধগুলি গোপন করা থেকে ব্যাপকভাবে বাধা দেবে - এবং পরিসংখ্যান সংগ্রহ করবে, নিরীক্ষণ করবে, বিজ্ঞাপন পরিচালনা করবে৷ ক্লাউডফ্লেয়ার দাবি করেছে যে ঘোষণার তারিখ (এপ্রিল 1, 2018, বা আমেরিকান স্বরলিপিতে 04/01) সুযোগ দ্বারা নির্বাচিত হয়নি: বছরের অন্য কোন দিন "চার ইউনিট" উপস্থাপন করা হবে?

যেহেতু হাবরের শ্রোতা প্রযুক্তিগতভাবে সচেতন, ঐতিহ্যগত বিভাগ "কেন আপনার DNS প্রয়োজন?" আমি এটি পোস্টের শেষে রাখব, তবে এখানে আমি আরও ব্যবহারিকভাবে দরকারী জিনিসগুলি বলব:

নতুন পরিষেবা কীভাবে ব্যবহার করবেন?

সবচেয়ে সহজ জিনিসটি হল উপরের DNS সার্ভারের ঠিকানাগুলি আপনার DNS ক্লায়েন্টে উল্লেখ করা (অথবা আপনি যে স্থানীয় DNS সার্ভার ব্যবহার করেন তার সেটিংসে আপস্ট্রিম হিসাবে)। এটা কি স্বাভাবিক মান প্রতিস্থাপন করা অর্থপূর্ণ Google DNS (8.8.8.8, ইত্যাদি), বা সামান্য কম সাধারণ ইয়ানডেক্স পাবলিক ডিএনএস সার্ভার (77.88.8.8 এবং তাদের মত অন্যান্য) ক্লাউডফ্লেয়ার থেকে সার্ভারগুলিতে - তারা আপনার জন্য সিদ্ধান্ত নেবে, তবে একজন শিক্ষানবিশের জন্য কথা বলে সময়সূচী প্রতিক্রিয়া গতি, যা অনুসারে ক্লাউডফ্লেয়ার সমস্ত প্রতিযোগীদের চেয়ে দ্রুত (আমি স্পষ্ট করব: পরিমাপগুলি একটি তৃতীয় পক্ষের পরিষেবা দ্বারা নেওয়া হয়েছিল এবং একটি নির্দিষ্ট ক্লায়েন্টের গতি অবশ্যই আলাদা হতে পারে)।

নতুন মোডগুলির সাথে কাজ করা অনেক বেশি আকর্ষণীয় যেখানে অনুরোধটি একটি এনক্রিপ্ট করা সংযোগের মাধ্যমে সার্ভারে উড়ে যায় (আসলে, এর মাধ্যমে প্রতিক্রিয়াটি ফিরে আসে), উল্লেখিত DNS-ওভার-TLS এবং DNS-ওভার-HTTPS। দুর্ভাগ্যবশত, তারা "বাক্সের বাইরে" সমর্থিত নয় (লেখকরা বিশ্বাস করেন যে এটি "এখনও"), তবে আপনার সফ্টওয়্যারে (বা এমনকি আপনার হার্ডওয়্যারেও) তাদের কাজ সংগঠিত করা কঠিন নয়:

HTTPs এর উপর DNS (DoH)

নাম অনুসারে, যোগাযোগ একটি HTTPS চ্যানেলের মাধ্যমে সঞ্চালিত হয়, যার অর্থ

1. একটি ল্যান্ডিং পয়েন্টের উপস্থিতি (শেষ পয়েন্ট) - এটি ঠিকানায় অবস্থিত https://cloudflare-dns.com/dns-queryএবং
2. একটি ক্লায়েন্ট যে অনুরোধ পাঠাতে এবং প্রতিক্রিয়া পেতে পারে।

অনুরোধগুলি সংজ্ঞায়িত ডিএনএস ওয়্যারফরম্যাট ফর্ম্যাটে হতে পারে৷ RFC1035 (POST এবং GET HTTP পদ্ধতি ব্যবহার করে পাঠানো হয়েছে), অথবা JSON ফর্ম্যাটে (GET HTTP পদ্ধতি ব্যবহার করে)। আমার জন্য ব্যক্তিগতভাবে, HTTP অনুরোধের মাধ্যমে ডিএনএস অনুরোধ করার ধারণাটি অপ্রত্যাশিত বলে মনে হয়েছিল, তবে এতে একটি যুক্তিসঙ্গত শস্য রয়েছে: এই ধরনের অনুরোধ অনেকগুলি ট্র্যাফিক ফিল্টারিং সিস্টেমকে পাস করবে, প্রতিক্রিয়া পার্স করা বেশ সহজ এবং অনুরোধগুলি তৈরি করা আরও সহজ। স্বাভাবিক লাইব্রেরি এবং প্রোটোকল নিরাপত্তার জন্য দায়ী।

সরাসরি ডকুমেন্টেশন থেকে উদাহরণের অনুরোধ করুন:

DNS ওয়্যারফরম্যাট ফরম্যাটে অনুরোধ পান

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS ওয়্যারফরম্যাট ফরম্যাটে পোস্ট করার অনুরোধ

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

একই কিন্তু JSON ব্যবহার করে

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

স্পষ্টতই, একটি বিরল (যদি অন্তত একটি) হোম রাউটার এইভাবে ডিএনএসের সাথে কাজ করতে পারে, তবে এর অর্থ এই নয় যে সমর্থন আগামীকাল উপস্থিত হবে না - এবং মজার বিষয় হল, এখানে আমরা আমাদের অ্যাপ্লিকেশনে ডিএনএসের সাথে কাজ করা বেশ কার্যকর করতে পারি (যেমন ইতিমধ্যেই) Mozilla বানাতে যাচ্ছে, শুধুমাত্র Cloudflare সার্ভারে)।

TLS এর উপর DNS

ডিফল্টরূপে, DNS প্রশ্নগুলি এনক্রিপশন ছাড়াই প্রেরণ করা হয়। TLS এর উপর DNS হল একটি নিরাপদ সংযোগের মাধ্যমে তাদের পাঠানোর একটি উপায়। ক্লাউডফ্লেয়ার নির্ধারিত পোর্ট 853-এ TLS-এর উপরে DNS সমর্থন করে RFC7858. এটি Cloudflare-dns.com হোস্টের জন্য জারি করা একটি শংসাপত্র ব্যবহার করে, TLS 1.2 এবং TLS 1.3 সমর্থিত।

একটি সংযোগ স্থাপন করা এবং প্রোটোকল অনুযায়ী কাজ করা এরকম কিছু হয়:

• একটি DNS সংযোগ স্থাপন করার আগে, ক্লায়েন্ট Cloudflare-dns.com-এর TLS শংসাপত্রের একটি base64 এনকোডেড SHA256 হ্যাশ সংরক্ষণ করে (যাকে SPKI বলা হয়)
• DNS ক্লায়েন্ট Cloudflare-dns.com:853-এ একটি TCP সংযোগ স্থাপন করে
• DNS ক্লায়েন্ট TLS হ্যান্ডশেক শুরু করে
• TLS হ্যান্ডশেক প্রক্রিয়া চলাকালীন, cloudflare-dns.com হোস্ট তার TLS শংসাপত্র উপস্থাপন করে।
• একবার একটি TLS সংযোগ প্রতিষ্ঠিত হলে, DNS ক্লায়েন্ট একটি সুরক্ষিত চ্যানেলের মাধ্যমে DNS অনুরোধ পাঠাতে পারে, যা অনুরোধ এবং প্রতিক্রিয়াগুলিকে কানে ও ফাঁকি দেওয়া থেকে বাধা দেয়।
• একটি TLS সংযোগের মাধ্যমে প্রেরিত সমস্ত DNS প্রশ্ন অবশ্যই মেনে চলতে হবে TCP এর মাধ্যমে DNS পাঠানো হচ্ছে.

TLS এর উপর DNS এর মাধ্যমে একটি অনুরোধের একটি উদাহরণ:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

এই বিকল্পটি স্থানীয় নেটওয়ার্ক বা একক ব্যবহারকারীর চাহিদা পূরণকারী স্থানীয় DNS সার্ভারগুলির জন্য সেরা কাজ বলে মনে হচ্ছে। সত্য, মান সমর্থন সঙ্গে খুব ভাল না, কিন্তু - আসুন আশা করি!

কথোপকথন কি সম্পর্কে ব্যাখ্যা দুটি শব্দ

সংক্ষেপণ DNS মানে ডোমেইন নেম সার্ভিস (তাই "DNS পরিষেবা" বলতে কিছুটা অপ্রয়োজনীয়, সংক্ষেপে ইতিমধ্যেই "পরিষেবা" শব্দটি রয়েছে), এবং একটি সাধারণ কাজ সমাধান করতে ব্যবহৃত হয় - একটি নির্দিষ্ট হোস্ট নামের আইপি ঠিকানা কী তা বোঝার জন্য। প্রতিবার একজন ব্যক্তি একটি লিঙ্কে ক্লিক করেন, বা ব্রাউজারের ঠিকানা বারে একটি ঠিকানা প্রবেশ করেন (বলুন, "এর মতো কিছুhttps://habrahabr.ru/post/346430/"), মানব কম্পিউটার পৃষ্ঠার বিষয়বস্তু পাওয়ার জন্য কোন সার্ভারে একটি অনুরোধ পাঠাতে হবে তা নির্ধারণ করার চেষ্টা করছে৷ habrahabr.ru এর ক্ষেত্রে, DNS-এর প্রতিক্রিয়াতে ওয়েব সার্ভারের IP ঠিকানার একটি ইঙ্গিত থাকবে: 178.248.237.68, এবং তারপর ব্রাউজার ইতিমধ্যেই নির্দিষ্ট IP ঠিকানা দিয়ে সার্ভারের সাথে যোগাযোগ করার চেষ্টা করবে।

পরিবর্তে, ডিএনএস সার্ভার, "habrahabr.ru নামের হোস্টের আইপি ঠিকানা কী?" অনুরোধ পাওয়ার পরে, এটি নির্দিষ্ট হোস্ট সম্পর্কে কিছু জানে কিনা তা নির্ধারণ করে। যদি না হয়, এটি বিশ্বের অন্যান্য DNS সার্ভারের কাছে একটি অনুরোধ করে এবং ধাপে ধাপে জিজ্ঞাসা করা প্রশ্নের উত্তর বের করার চেষ্টা করে। ফলস্বরূপ, চূড়ান্ত উত্তর খুঁজে পাওয়ার পরে, পাওয়া ডেটা ক্লায়েন্টের কাছে পাঠানো হয় যা এখনও তাদের জন্য অপেক্ষা করছে, এবং এটি ডিএনএস সার্ভারের ক্যাশেই সংরক্ষণ করা হয়, যা আপনাকে পরের বার আরও দ্রুত অনুরূপ প্রশ্নের উত্তর দেওয়ার অনুমতি দেবে।

একটি সাধারণ সমস্যা হল যে, প্রথমে, ডিএনএস ক্যোয়ারী ডেটা পরিষ্কারভাবে প্রেরণ করা হয় (যা ট্রাফিক প্রবাহে অ্যাক্সেস সহ যেকোনও ব্যক্তিকে ডিএনএস কোয়েরি এবং তারা প্রাপ্ত প্রতিক্রিয়াগুলিকে বিচ্ছিন্ন করার ক্ষমতা দেয় এবং তারপরে তাদের নিজস্ব উদ্দেশ্যে তাদের পার্স করে দেয়; এটি দেয় একটি DNS ক্লায়েন্টের জন্য নির্ভুলতার সাথে বিজ্ঞাপনগুলিকে লক্ষ্য করার ক্ষমতা, যা অনেক বেশি!) দ্বিতীয়ত, কিছু আইএসপি (আমরা আঙ্গুল দেখাব না, তবে ছোটটি নয়) এক বা অন্য অনুরোধ করা পৃষ্ঠার পরিবর্তে বিজ্ঞাপন দেখানোর প্রবণতা দেখায় (যা বেশ সহজভাবে বাস্তবায়িত হয়: habranabr.ru-এর দ্বারা একটি প্রশ্নের জন্য নির্দিষ্ট আইপি ঠিকানার পরিবর্তে হোস্টের নাম, একজন এলোমেলো ব্যক্তি এইভাবে, প্রদানকারীর ওয়েব সার্ভারের ঠিকানা ফেরত দেওয়া হয়, যেখানে বিজ্ঞাপনটি সম্বলিত পৃষ্ঠাটি পরিবেশিত হয়)। তৃতীয়ত, ইন্টারনেট অ্যাক্সেস প্রদানকারীরা আছে যারা ব্লক করা ওয়েব রিসোর্সের আইপি অ্যাড্রেস সম্পর্কে সঠিক ডিএনএস প্রতিক্রিয়া প্রতিস্থাপন করে তাদের সার্ভারের আইপি অ্যাড্রেসের সাথে স্টাব পৃষ্ঠাগুলিকে (ফলে, অ্যাক্সেস করতে) প্রতিস্থাপন করে পৃথক সাইটগুলি ব্লক করার প্রয়োজনীয়তা পূরণের জন্য একটি প্রক্রিয়া বাস্তবায়ন করে এই ধরনের সাইটগুলি লক্ষণীয়ভাবে আরও জটিল), অথবা আপনার প্রক্সি সার্ভারের ঠিকানা যা ফিল্টারিং করে।

এটি সম্ভবত সাইট থেকে একটি ছবি হওয়া উচিত. http://1.1.1.1/, পরিষেবার সাথে সংযোগ বর্ণনা করতে ব্যবহৃত। লেখকরা তাদের ডিএনএসের গুণমানে বেশ আত্মবিশ্বাসী বলে মনে হচ্ছে (তবে, ক্লাউডফ্লেয়ার থেকে অন্য কিছু আশা করা কঠিন):

পরিষেবার স্রষ্টা ক্লাউডফ্লেয়ারকে কেউ সম্পূর্ণরূপে বুঝতে পারেন: তারা বিশ্বের অন্যতম জনপ্রিয় CDN নেটওয়ার্ক রক্ষণাবেক্ষণ এবং বিকাশের মাধ্যমে তাদের রুটি উপার্জন করে (যার ফাংশনগুলির মধ্যে কেবল সামগ্রী বিতরণই নয়, ডিএনএস জোন হোস্ট করাও অন্তর্ভুক্ত) এবং এর কারণে তাদের ইচ্ছা, যিনি ভালোভাবে পারদর্শী নন, যারা শেখান যারা তারা জানে না, যে কোথায় যেতে হবে গ্লোবাল নেটওয়ার্কে, প্রায়শই তাদের সার্ভারের ঠিকানাগুলি ব্লক করা থেকে ভোগে আসুন না বলি কে - তাই কোম্পানির জন্য "চিৎকার, হুইসেল এবং স্ক্রিবল" দ্বারা প্রভাবিত না হওয়া একটি DNS থাকা মানে তাদের ব্যবসার কম ক্ষতি৷ এবং প্রযুক্তিগত সুবিধাগুলি (একটি সামান্য, কিন্তু চমৎকার: বিশেষ করে, বিনামূল্যের DNS ক্লাউডফ্লেয়ারের ক্লায়েন্টদের জন্য, কোম্পানির DNS সার্ভারে হোস্ট করা সংস্থানগুলির DNS রেকর্ডগুলি তাত্ক্ষণিকভাবে আপডেট করা হবে) পোস্টে বর্ণিত পরিষেবাটিকে আরও আকর্ষণীয় করে তোলে৷

শুধুমাত্র নিবন্ধিত ব্যবহারকারীরা জরিপে অংশগ্রহণ করতে পারবেন। সাইন ইন করুনকরুন।

আপনি কি নতুন পরিষেবা ব্যবহার করবেন?

• হ্যাঁ, শুধুমাত্র OS এবং/অথবা রাউটারে এটি নির্দিষ্ট করে

• হ্যাঁ, এবং আমি নতুন প্রোটোকল ব্যবহার করব (HTTPs এর উপর DNS এবং TLS এর উপর DNS)

• না, আমার কাছে যথেষ্ট বর্তমান সার্ভার রয়েছে (এটি একটি সর্বজনীন প্রদানকারী: Google, Yandex, ইত্যাদি)

• না, আমি এখন কি ব্যবহার করছি তাও জানি না

• আমি তাদের কাছে একটি SSL টানেল সহ আমার পুনরাবৃত্তিমূলক DNS ব্যবহার করি

693 ব্যবহারকারী ভোট দিয়েছেন। ১ জন ব্যবহারকারী বিরত ছিলেন।

উত্স: www.habr.com