Cuideachta Cloudflare DNS poiblí ag seoltaí:
- 1.1.1.1
- 1.0.0.1
- 2606: 4700: 4700 1111 ::
- 2606: 4700: 4700 1001 ::
Deirtear go bhfuil an polasaí "Príobháideacht ar dtús" ionas gur féidir le húsáideoirí suaimhneas intinne a bheith acu maidir le hábhar a n-iarratas.
Tá an tseirbhís suimiúil sa mhéid is go, i dteannta leis an DNS is gnách, soláthraíonn sé an cumas teicneolaíochtaí a úsáid DNS-thar-TLS и DNS-thar-HTTPS, rud a chuirfidh cosc mór ar sholáthraithe ó bheith ag éisteacht le do chuid iarrataí feadh chosáin na n-iarratas - agus staitisticí a bhailiú, monatóireacht a dhéanamh, fógraíocht a bhainistiú. Maíonn Cloudflare nár roghnaíodh dáta an fhógra (1 Aibreán, 2018, nó 04/01 i nodaireacht Mheiriceá) de sheans: cén lá eile den bhliain a gcuirfear na “ceithre aonad” i láthair?
Ós rud é go bhfuil lucht féachana Habr savvy go teicniúil, tá an chuid traidisiúnta "cén fáth a bhfuil DNS ag teastáil uait?" Cuirfidh mé ag deireadh an phoist é, ach anseo luafaidh mé rudaí níos praiticiúla:
Conas an tseirbhís nua a úsáid?
Is é an rud is simplí ná na seoltaí freastalaí DNS thuas a shonrú i do chliant DNS (nó mar atá in aghaidh an tsrutha i socruithe an fhreastalaí DNS áitiúil a úsáideann tú). An bhfuil ciall leis na gnáthluachanna a athsholáthar (8.8.8.8, etc.), nó beagán níos lú coitianta (77.88.8.8 agus daoine eile cosúil leo) chuig na freastalaithe ó Cloudflare - déanfaidh siad cinneadh duit, ach labhraíonn siad ar son tosaitheoirí luas freagartha, dá réir a bhfuil Cloudflare níos tapúla ná na hiomaitheoirí go léir (soiléireoidh mé: rinne seirbhís tríú páirtí na tomhais, agus d'fhéadfadh an luas do chliant ar leith a bheith difriúil, ar ndóigh).
Tá sé i bhfad níos suimiúla oibriú le modhanna nua ina n-eitilt an t-iarratas chuig an bhfreastalaí thar nasc criptithe (go deimhin, cuirtear an freagra ar ais tríd), an DNS-over-TLS agus DNS-over-HTTPS a luaitear. Ar an drochuair, ní thugtar tacaíocht dóibh “as an mbosca” (creideann na húdair go bhfuil sé seo “go fóill”), ach níl sé deacair a gcuid oibre a eagrú i do bhogearraí (nó fiú ar do chrua-earraí):
DNS thar HTTPs (DoH)
Mar a thugann an t-ainm le fios, tarlaíonn cumarsáid thar chainéal HTTPS, rud a chiallaíonn
- láithreacht pointe tuirlingthe (deireadhphointe) - tá sé suite ag an seoladh Agus
- cliant atá in ann iarratais a sheoladh agus freagraí a fháil.
Is féidir iarratais a bheith san fhormáid DNS Wireformat atá sainithe i (seolta ag baint úsáide as na modhanna POST agus GET HTTP), nó i bhformáid JSON (ag baint úsáide as an modh GET HTTP). Maidir liom féin go pearsanta, ba chosúil nach raibh coinne leis an smaoineamh iarratais DNS a dhéanamh trí iarratais HTTP, ach tá gráin réasúnach ann: rachaidh iarratas den sórt sin thar go leor córais scagtha tráchta, tá parsáil freagraí simplí go leor, agus tá sé níos éasca fós iarratais a ghiniúint. Tá na gnáth-leabharlanna agus prótacail freagrach as slándáil.
Iarr samplaí, díreach ón doiciméadú:
FAIGH iarratas i bhformáid DNS Wireformat
$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031Iarratas POST i bhformáid DNS Wireformat
$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031
Mar an gcéanna ach ag baint úsáide as JSON
$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'
{
"Status": 0,
"TC": false,
"RD": true,
"RA": true,
"AD": true,
"CD": false,
"Question": [
{
"name": "example.com.",
"type": 1
}
],
"Answer": [
{
"name": "example.com.",
"type": 1,
"TTL": 1069,
"data": "93.184.216.34"
}
]
}Ar ndóigh, is féidir le ródaire baile annamh (má tá ceann amháin ar a laghad) oibriú le DNS ar an mbealach seo, ach ní chiallaíonn sé seo nach mbeidh tacaíocht le feiceáil amárach - agus, go suimiúil, anseo is féidir linn oibriú le DNS a chur i bhfeidhm inár n-iarratas (mar atá cheana féin , díreach ar fhreastalaithe Cloudflare).
DNS thar TLS
De réir réamhshocraithe, tarchuirtear fiosruithe DNS gan criptiú. Is bealach é DNS thar TLS chun iad a sheoladh thar nasc slán. Tacaíonn Cloudflare le DNS thar TLS ar phort caighdeánach 853 mar atá forordaithe . Úsáideann sé seo teastas a eisíodh don óstach cloudflare-dns.com, tacaítear le TLS 1.2 agus TLS 1.3.
Téann rud mar seo chun nasc a bhunú agus oibriú de réir an phrótacail:
- Sula mbunaítear nasc DNS, stórálann an cliant hash base64 ionchódaithe SHA256 de dheimhniú TLS cloudflare-dns.com (ar a dtugtar SPKI)
- Bunaíonn cliant DNS nasc TCP le cloudflare-dns.com:853
- Cuireann cliant DNS tús le croitheadh láimhe TLS
- Le linn phróiseas croitheadh láimhe TLS, cuireann an t-óstach cloudflare-dns.com a theastas TLS i láthair.
- Nuair a bhíonn nasc TLS bunaithe, is féidir leis an gcliant DNS fiosruithe DNS a sheoladh thar chainéal slán, rud a chuireann cosc ar iarratais agus ar fhreagraí a bheith cluasaithe agus spoofed.
- Ní mór do gach ceist DNS a sheoltar thar nasc TLS cloí leis an .
Sampla d'iarratas trí DNS thar TLS:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 msDealraíonn sé go n-oibríonn an rogha seo is fearr do fhreastalaithe DNS áitiúla a fhreastalaíonn ar riachtanais líonra áitiúil nó úsáideoir aonair. True, nach bhfuil le tacaíocht an chaighdeáin an-mhaith, ach - a ligean ar súil!
Dhá fhocal mínithe ar a bhfuil i gceist leis an gcomhrá
Seasann an giorrúchán DNS do Sheirbhís Ainm Fearainn (dá bhrí sin tá “seirbhís DNS” beagán iomarcach, tá an focal “seirbhís” sa ghiorrúchán cheana féin), agus úsáidtear é chun tasc simplí a réiteach - chun tuiscint a fháil ar an seoladh IP atá ag óstainm áirithe. Gach uair a chliceálann duine ar nasc, nó a chuireann seoladh isteach i mbarra seoltaí an bhrabhsálaí (abair, rud éigin ar nós ""), tá an ríomhaire daonna ag iarraidh a dhéanamh amach cén freastalaí a sheolfaidh iarratas chun ábhar an leathanaigh a fháil. I gcás habrahabr.ru, beidh léiriú ar sheoladh IP an fhreastalaí gréasáin sa fhreagra ó DNS: 178.248.237.68, agus ansin déanfaidh an brabhsálaí iarracht cheana féin dul i dteagmháil leis an bhfreastalaí leis an seoladh IP sonraithe.
Ina dhiaidh sin, déanann an freastalaí DNS, tar éis dó an t-iarratas a fháil “cad é seoladh IP an óstaigh darb ainm habrahabr.ru?”, a chinneann an bhfuil aon rud ar eolas aige faoin ósta sonraithe. Mura bhfuil, déanann sé iarratas chuig freastalaithe DNS eile ar domhan, agus, céim ar chéim, déanann sé iarracht freagra na ceiste a cuireadh a dhéanamh amach. Mar thoradh air sin, tar éis an freagra deiridh a fháil, seoltar na sonraí aimsithe chuig an gcliant atá fós ag fanacht leo, agus stóráiltear iad i dtaisce an fhreastalaí DNS féin, rud a ligfidh duit ceist den chineál céanna a fhreagairt i bhfad níos tapúla an chéad uair eile.
Fadhb choitianta is ea, ar dtús, go dtarchuirtear sonraí na gceisteanna DNS go soiléir (a thugann deis d’aon duine a bhfuil rochtain acu ar an sreabhadh tráchta na ceisteanna DNS agus na freagraí a fhaigheann siad a leithlisiú agus ansin iad a pharsáil dá gcríoch féin; tugann sé seo an cumas chun fógraí a dhíriú go cruinn ar chliant DNS, rud atá go leor!). Ar an dara dul síos, tá claonadh ag roinnt ISPanna (ní chuirfimid méar in iúl, ach ní na cinn is lú) fógraí a thaispeáint in ionad ceann amháin nó leathanach eile a iarrtar (a chuirtear i bhfeidhm go simplí go leor: in ionad an seoladh IP sonraithe le haghaidh fiosrúcháin ón habranabr.ru ainm an óstaigh, duine randamach Dá bhrí sin, cuirtear seoladh fhreastalaí gréasáin an tsoláthraí ar ais, áit a seirbheáiltear an leathanach ina bhfuil an fógra). Ar an tríú dul síos, tá soláthraithe rochtana Idirlín ann a chuireann meicníocht i bhfeidhm chun na ceanglais maidir le bac a chur ar shuíomhanna aonair a chomhlíonadh trí sheoladh IP a gcuid freastalaí ina bhfuil stub-leathanaigh a chur in ionad na bhfreagraí DNS cearta faoi sheoltaí IP na n-acmhainní gréasáin blocáilte (mar thoradh air sin, rochtain ar láithreáin den sórt sin go suntasach níos casta), nó chuig an seoladh do seachfhreastalaí a dhéanann scagadh.
Is dócha gur pictiúr ón suíomh é seo. , a úsáidtear chun cur síos a dhéanamh ar an nasc leis an tseirbhís. Is cosúil go bhfuil na húdair sách muiníneach i gcáilíocht a gcuid DNS (mar sin féin, tá sé deacair a bheith ag súil le haon rud eile ó Cloudflare):
Is féidir le duine a thuiscint go hiomlán Cloudflare, cruthaitheoir na seirbhíse: tuilleann siad a n-arán trí cheann de na líonraí CDN is mó tóir ar domhan a chothabháil agus a fhorbairt (lena n-áirítear feidhmeanna ní hamháin ábhar a dháileadh, ach freisin criosanna DNS a óstáil), agus, mar gheall ar mian na ndaoine sin , nach bhfuil go maith eolach, iad siúd a mhúineadh cé nach bhfuil a fhios acu, chuige sin cá háit le dul sa líonra domhanda, is minic a bhíonn sé ag fulaingt ó bhlocáil seoltaí a gcuid freastalaithe ní abair linn cé - mar sin is lú an dochar dá ngnó a bheith i gceist le DNS nach bhfuil tionchar ag “gáirí, feadóga agus scribbles” air don chuideachta. Agus buntáistí teicniúla (trifle, ach deas: go háirithe, do chliaint an DNS Cloudflare saor in aisce, beidh nuashonrú ar thaifid DNS na n-acmhainní arna óstáil ar fhreastalaithe DNS na cuideachta láithreach) ag baint úsáide as an tseirbhís a thuairiscítear sa phost fiú níos suimiúla.
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. , le do thoil.
An mbainfidh tú úsáid as an tseirbhís nua?
-
Sea, ach é a shonrú san OS agus / nó ar an ródaire
-
Sea, agus úsáidfidh mé prótacail nua (DNS thar HTTPs agus DNS thar TLS)
-
Níl go leor freastalaithe reatha agam (is soláthraí poiblí é seo: Google, Yandex, srl.)
-
Ní hea, níl a fhios agam fiú cad atá in úsáid agam faoi láthair
-
Úsáidim mo DNS athchúrsach le tollán SSL chucu
Vótáil 693 úsáideoir. Staon úsáideoir amháin.
Foinse: will.com