Cloudflare Company publiko nga DNS sa mga adres:
- 1.1.1.1
- 1.0.0.1
- 2606: 4700: 4700 1111 ::
- 2606: 4700: 4700 1001 ::
Ang palisiya giingon nga "Privacy una" aron ang mga tiggamit adunay kalinaw sa hunahuna bahin sa sulud sa ilang mga hangyo.
Makapaikag ang serbisyo niana, dugang sa naandan nga DNS, naghatag kini kaarang sa paggamit sa mga teknolohiya DNS-over-TLS и DNS-over-HTTPS, nga makapugong pag-ayo sa mga provider sa pag-eavesdrop sa imong mga hangyo subay sa dalan sa mga hangyo - ug pagkolekta sa mga estadistika, pagmonitor, pagdumala sa advertising. Giangkon sa Cloudflare nga ang petsa sa pagpahibalo (Abril 1, 2018, o 04/01 sa American notation) wala gipili nga sulagma: unsa pa nga adlaw sa tuig ang "upat ka yunit" ipresentar?
Tungod kay ang mamiminaw ni Habr nahibal-an sa teknikal, ang tradisyonal nga seksyon nga "ngano nga kinahanglan nimo ang DNS?" Ibutang ko kini sa katapusan sa post, apan dinhi isulti nako ang labi ka mapuslanon nga mga butang:
Giunsa paggamit ang bag-ong serbisyo?
Ang pinakasimple nga butang mao ang pagtino sa mga adres sa DNS server sa ibabaw sa imong DNS client (o ingon nga upstream sa mga setting sa lokal nga DNS server nga imong gigamit). Makataronganon ba ang pag-ilis sa naandang mga mithi (8.8.8.8, ug uban pa), o dili kaayo komon (77.88.8.8 ug uban pa nga sama nila) sa mga server gikan sa Cloudflare - sila ang magdesisyon alang kanimo, apan nagsulti alang sa usa ka nagsugod katulin sa tubag, sumala sa Cloudflare nga mas paspas kaysa sa tanan nga mga kakompetensya (Akong ipatin-aw: ang mga pagsukod gikuha sa usa ka serbisyo sa ikatulo nga partido, ug ang katulin sa usa ka piho nga kliyente, siyempre, mahimong magkalainlain).
Mas makapaikag nga magtrabaho sa bag-ong mga mode diin ang hangyo molupad sa server sa usa ka naka-encrypt nga koneksyon (sa tinuud, ang tubag gibalik pinaagi niini), ang gihisgutan nga DNS-over-TLS ug DNS-over-HTTPS. Ikasubo, wala sila gisuportahan "gikan sa kahon" (ang mga tagsulat nagtuo nga kini "pa"), apan dili lisud ang pag-organisar sa ilang trabaho sa imong software (o bisan sa imong hardware):
DNS sa HTTPs (DoH)
Sama sa gisugyot sa ngalan, ang komunikasyon mahitabo sa usa ka channel sa HTTPS, nga nagpasabut
- ang presensya sa usa ka landing point (endpoint) - kini nahimutang sa adres ug
- usa ka kliyente nga makapadala og mga hangyo ug makadawat og mga tubag.
Ang mga hangyo mahimong naa sa format nga DNS Wireformat nga gihubit sa (gipadala gamit ang POST ug GET HTTP nga mga pamaagi), o sa JSON format (gamit ang GET HTTP nga pamaagi). Alang kanako sa personal, ang ideya sa paghimo sa mga hangyo sa DNS pinaagi sa mga hangyo sa HTTP ingon og wala damha, apan adunay usa ka makatarunganon nga lugas niini: ang ingon nga hangyo moagi sa daghang mga sistema sa pagsala sa trapiko, ang mga tubag sa pag-parse yano ra, ug ang paghimo og mga hangyo mas sayon. Ang naandan nga mga librarya ug mga protocol maoy responsable sa seguridad.
Paghangyo ug mga pananglitan, diretso gikan sa dokumentasyon:
GET hangyo sa DNS Wireformat format
$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031POST hangyo sa DNS Wireformat format
$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031
Parehas apan naggamit sa JSON
$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'
{
"Status": 0,
"TC": false,
"RD": true,
"RA": true,
"AD": true,
"CD": false,
"Question": [
{
"name": "example.com.",
"type": 1
}
],
"Answer": [
{
"name": "example.com.",
"type": 1,
"TTL": 1069,
"data": "93.184.216.34"
}
]
}Dayag nga ang usa ka talagsaon (kung labing menos usa) nga router sa balay mahimo’g magtrabaho sa DNS sa ingon niini nga paagi, apan wala kini magpasabut nga ang suporta dili makita ugma - ug, makapaikag, dinhi mahimo na naton ipatuman ang pagtrabaho kauban ang DNS sa among aplikasyon (sama sa naa na. , sa mga server sa Cloudflare).
DNS sa TLS
Sa kasagaran, ang mga pangutana sa DNS gipasa nga walay pag-encrypt. Ang DNS sa TLS usa ka paagi sa pagpadala kanila sa luwas nga koneksyon. Gisuportahan sa Cloudflare ang DNS sa TLS sa standard port 853 ingon nga gireseta . Kini naggamit sa usa ka sertipiko nga gi-isyu alang sa cloudflare-dns.com host, TLS 1.2 ug TLS 1.3 gisuportahan.
Ang pag-establisar og koneksyon ug pagtrabaho sumala sa protocol sama niini:
- Sa wala pa mag-establisar og koneksyon sa DNS, ang kliyente magtipig og base64 nga naka-encode nga SHA256 hash sa cloudflare-dns.com's TLS certificate (gitawag nga SPKI)
- Ang kliyente sa DNS nagtukod ug koneksyon sa TCP sa cloudflare-dns.com:853
- Gisugdan sa kliyente sa DNS ang TLS handshake
- Atol sa proseso sa paglamano sa TLS, ang cloudflare-dns.com host nagpresentar sa iyang TLS certificate.
- Kung matukod na ang koneksyon sa TLS, ang kliyente sa DNS makapadala sa mga hangyo sa DNS sa usa ka luwas nga channel, nga magpugong sa mga hangyo ug tubag nga ma-eavesdrop ug ma-spoof.
- Ang tanang pangutana sa DNS nga gipadala pinaagi sa koneksyon sa TLS kinahanglang mosunod sa .
Usa ka pananglitan sa usa ka hangyo pinaagi sa DNS sa TLS:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 msKini nga opsyon daw labing maayo alang sa mga lokal nga DNS server nga nagsilbi sa mga panginahanglan sa usa ka lokal nga network o usa ka user. Tinuod, uban sa suporta sa sumbanan dili kaayo maayo, apan - maglaum kita!
Duha ka pulong sa pagpatin-aw kung unsa ang panag-istoryahanay
Ang abbreviation DNS nagpasabot sa Domain Name Service (mao nga ang pag-ingon nga "DNS service" medyo sobra, ang abbreviation naa na sa pulong "service"), ug gigamit sa pagsulbad sa usa ka yano nga buluhaton - aron masabtan kung unsa ang IP address sa usa ka partikular nga host name. Matag higayon nga ang usa ka tawo mag-klik sa usa ka link, o mosulod sa usa ka adres sa address bar sa browser (ingon, usa ka butang sama sa ""), ang computer sa tawo naningkamot nga mahibal-an kung unsang server ang magpadala usa ka hangyo aron makuha ang sulud sa panid. Sa kaso sa habrahabr.ru, ang tubag gikan sa DNS maglangkob sa usa ka timailhan sa web server IP address: 178.248.237.68, ug unya ang browser mosulay na sa pagkontak sa server sa gitakda nga IP address.
Sa baylo, ang DNS server, nga nakadawat sa hangyo "unsa ang IP address sa host nga ginganlag habrahabr.ru?", Nagtino kung nahibal-an ba niya ang bisan unsa bahin sa piho nga host. Kung dili, naghangyo kini sa ubang mga server sa DNS sa kalibutan, ug, sa hinay-hinay, naningkamot nga mahibal-an ang tubag sa pangutana nga gipangutana. Ingon usa ka sangputanan, sa pagpangita sa katapusan nga tubag, ang nakit-an nga datos gipadala sa kliyente nga naghulat pa kanila, ug gitipigan kini sa cache sa DNS server mismo, nga magtugot kanimo nga matubag ang parehas nga pangutana nga labi ka paspas sa sunod nga panahon.
Usa ka kasagarang problema mao nga, una, ang data sa pangutana sa DNS gipasa sa tin-aw (nga naghatag bisan kinsa nga adunay access sa dagan sa trapiko sa katakus nga ihimulag ang mga pangutana sa DNS ug ang mga tubag nga ilang nadawat ug dayon i-parse kini alang sa ilang kaugalingon nga katuyoan; kini naghatag ang abilidad sa pag-target sa mga ad nga adunay tukma alang sa usa ka kliyente sa DNS, nga daghan kaayo!). Ikaduha, ang pipila ka mga ISP (dili kami motudlo sa mga tudlo, apan dili ang pinakagamay) lagmit nga magpakita sa mga ad imbis sa usa o lain nga gihangyo nga panid (nga gipatuman nga yano ra: imbis nga gitakda nga IP address alang sa usa ka pangutana sa habranabr.ru ngalan sa host, usa ka random nga tawo Busa, ang adres sa web server sa provider gibalik, diin ang panid nga adunay sulud nga ad giserbisyuhan). Ikatulo, adunay mga Internet access providers nga nagpatuman sa usa ka mekanismo alang sa pagtuman sa mga kinahanglanon alang sa pagbabag sa tagsa-tagsa nga mga site pinaagi sa pag-ilis sa husto nga DNS nga mga tubag mahitungod sa mga IP address sa gibabagan nga mga kapanguhaan sa web uban sa IP address sa ilang server nga adunay mga stub page (ingon nga resulta, access sa ang ingon nga mga site labi ka komplikado), o sa adres sa imong proxy server nga naghimo sa pagsala.
Tingali kini usa ka litrato gikan sa site. , gigamit sa paghulagway sa koneksyon sa serbisyo. Ang mga tagsulat ingon og medyo masaligon sa kalidad sa ilang DNS (bisan pa, lisud ang pagpaabut sa bisan unsa gikan sa Cloudflare):
Ang usa mahimong hingpit nga makasabut sa Cloudflare, ang tiglalang sa serbisyo: nakakuha sila sa ilang tinapay pinaagi sa pagpadayon ug pagpalambo sa usa sa labing inila nga mga network sa CDN sa kalibutan (nga ang mga gimbuhaton naglakip dili lamang sa pag-apod-apod sa sulud, apan usab pag-host sa mga DNS zone), ug, tungod sa ang tinguha sa mga , nga dili kaayo batid, itudlo kana kinsa wala nila kaila, ngadto niana asa paingon sa global nga network, sa kasagaran nag-antos gikan sa pagbabag sa mga adres sa ilang mga server gikan sa dili ta mag sulti kung kinsa - mao nga ang pagbaton ug DNS nga dili apektado sa "siyagit, whistles ug scribbles" para sa kompanya nagpasabot nga dili kaayo makadaot sa ilang negosyo. Ug ang mga teknikal nga bentaha (usa ka gamay, apan nindot: ilabi na, alang sa mga kliyente sa libre nga DNS Cloudflare, ang pag-update sa mga rekord sa DNS sa mga kahinguhaan nga gi-host sa mga DNS server sa kompaniya mahimong diha-diha dayon) makahimo sa paggamit sa serbisyo nga gihulagway sa post nga mas makapaikag.
Ang mga rehistradong tiggamit lamang ang makaapil sa survey. , walay sapayan.
Gamiton ba nimo ang bag-ong serbisyo?
-
Oo, pinaagi lamang sa pagtino niini sa OS ug / o sa router
-
Oo, ug mogamit ko og bag-ong mga protocol (DNS sa HTTPs ug DNS sa TLS)
-
Dili, ako adunay igo nga kasamtangan nga mga server (kini usa ka publiko nga tighatag: Google, Yandex, ug uban pa)
-
Dili, wala ko kahibalo kung unsa ang akong gigamit karon
-
Gigamit nako ang akong recursive DNS nga adunay SSL tunnel ngadto kanila
693 user ang nagboto. 191 user ang ni- abstain.
Source: www.habr.com