અમે Cloudflare તરફથી 1.1.1.1 અને 1.0.0.1 સરનામાં પર સેવા મેળવીએ છીએ, અથવા "સાર્વજનિક DNS શેલ્ફ આવી ગયો છે!"

ક્લાઉડફ્લેર કંપની પ્રસ્તુત સરનામાં પર જાહેર DNS:

• 1.1.1.1
• 1.0.0.1
• 2606: 4700: 4700 1111 ::
• 2606: 4700: 4700 1001 ::

નીતિને "પ્રાઇવસી ફર્સ્ટ" કહેવામાં આવે છે જેથી કરીને વપરાશકર્તાઓ તેમની વિનંતીઓની સામગ્રી વિશે મનની શાંતિ મેળવી શકે.

સેવા તેમાં રસપ્રદ છે, સામાન્ય DNS ઉપરાંત, તે તકનીકોનો ઉપયોગ કરવાની ક્ષમતા પ્રદાન કરે છે. DNS-ઓવર-TLS и DNS-ઓવર-HTTPS, જે પ્રદાતાઓને વિનંતીઓના માર્ગ પર તમારી વિનંતીઓ પર છળકપટ કરતા અટકાવશે - અને આંકડા એકત્રિત કરશે, મોનિટર કરશે, જાહેરાતનું સંચાલન કરશે. Cloudflare દાવો કરે છે કે જાહેરાતની તારીખ (એપ્રિલ 1, 2018, અથવા અમેરિકન નોટેશનમાં 04/01) તક દ્વારા પસંદ કરવામાં આવી ન હતી: વર્ષના બીજા કયા દિવસે "ચાર એકમો" રજૂ કરવામાં આવશે?

હેબ્રના પ્રેક્ષકો તકનીકી રીતે સમજદાર હોવાથી, પરંપરાગત વિભાગ "તમને DNS શા માટે જરૂરી છે?" હું તેને પોસ્ટના અંતે મૂકીશ, પરંતુ અહીં હું વધુ વ્યવહારિક રીતે ઉપયોગી વસ્તુઓ જણાવીશ:

નવી સેવાનો ઉપયોગ કેવી રીતે કરવો?

સૌથી સરળ બાબત એ છે કે તમારા DNS ક્લાયન્ટમાં ઉપરોક્ત DNS સર્વર સરનામાંનો ઉલ્લેખ કરો (અથવા તમે ઉપયોગ કરો છો તે સ્થાનિક DNS સર્વરની સેટિંગ્સમાં અપસ્ટ્રીમ તરીકે). શું સામાન્ય મૂલ્યોને બદલવાનો અર્થ છે Google DNS (8.8.8.8, વગેરે), અથવા થોડું ઓછું સામાન્ય યાન્ડેક્ષ સાર્વજનિક DNS સર્વર્સ (77.88.8.8 અને તેમના જેવા અન્ય) ક્લાઉડફ્લેરથી સર્વર્સ પર - તેઓ તમારા માટે નક્કી કરશે, પરંતુ શિખાઉ માણસ માટે બોલે છે અનુસૂચિ પ્રતિભાવ ગતિ, જે મુજબ ક્લાઉડફ્લેર બધા સ્પર્ધકો કરતા ઝડપી છે (હું સ્પષ્ટ કરીશ: માપ તૃતીય-પક્ષ સેવા દ્વારા લેવામાં આવ્યા હતા, અને ચોક્કસ ક્લાયંટની ઝડપ, અલબત્ત, અલગ હોઈ શકે છે).

નવા મોડ્સ સાથે કામ કરવું વધુ રસપ્રદ છે જેમાં એનક્રિપ્ટેડ કનેક્શન (હકીકતમાં, તેના દ્વારા પ્રતિસાદ પરત કરવામાં આવે છે), ઉલ્લેખિત DNS-over-TLS અને DNS-over-HTTPS પર વિનંતી સર્વર પર ઉડે છે. કમનસીબે, તેઓ "બૉક્સની બહાર" સમર્થિત નથી (લેખકો માને છે કે આ "હજુ સુધી" છે), પરંતુ તેમના કાર્યને તમારા સૉફ્ટવેરમાં (અથવા તમારા હાર્ડવેર પર પણ) ગોઠવવાનું મુશ્કેલ નથી:

HTTPs પર DNS (DoH)

નામ સૂચવે છે તેમ, સંચાર HTTPS ચેનલ પર થાય છે, જેનો અર્થ થાય છે

1. ઉતરાણ બિંદુ (અંતિમ બિંદુ) ની હાજરી - તે સરનામાં પર સ્થિત છે https://cloudflare-dns.com/dns-queryઅને
2. એક ક્લાયંટ કે જે વિનંતીઓ મોકલી શકે છે અને પ્રતિભાવો પ્રાપ્ત કરી શકે છે.

વિનંતીઓ કાં તો DNS વાયરફોર્મેટ ફોર્મેટમાં વ્યાખ્યાયિત કરી શકાય છે આરએફસી 1035 (POST અને GET HTTP પદ્ધતિઓનો ઉપયોગ કરીને મોકલવામાં આવે છે), અથવા JSON ફોર્મેટમાં (GET HTTP પદ્ધતિનો ઉપયોગ કરીને). મારા માટે વ્યક્તિગત રીતે, HTTP વિનંતીઓ દ્વારા DNS વિનંતીઓ કરવાનો વિચાર અણધાર્યો લાગતો હતો, પરંતુ તેમાં એક તર્કસંગત અનાજ છે: આવી વિનંતી ઘણી ટ્રાફિક ફિલ્ટરિંગ સિસ્ટમ્સને પસાર કરશે, પ્રતિસાદોને પાર્સિંગ કરવું એકદમ સરળ છે, અને વિનંતીઓ જનરેટ કરવી વધુ સરળ છે. સામાન્ય પુસ્તકાલયો અને પ્રોટોકોલ સુરક્ષા માટે જવાબદાર છે.

સીધા દસ્તાવેજોમાંથી ઉદાહરણોની વિનંતી કરો:

DNS વાયરફોર્મેટ ફોર્મેટમાં વિનંતી મેળવો

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS વાયરફોર્મેટ ફોર્મેટમાં પોસ્ટ વિનંતી

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

સમાન પરંતુ JSON નો ઉપયોગ કરીને

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

દેખીતી રીતે, એક દુર્લભ (જો ઓછામાં ઓછું એક) હોમ રાઉટર આ રીતે DNS સાથે કામ કરી શકે છે, પરંતુ આનો અર્થ એ નથી કે સપોર્ટ આવતીકાલે દેખાશે નહીં - અને, રસપ્રદ રીતે, અહીં અમે અમારી એપ્લિકેશનમાં DNS સાથે કામ કરવાનું તદ્દન અમલમાં મૂકી શકીએ છીએ (જેમ કે પહેલાથી જ મોઝિલા બનાવવા જઈ રહ્યા છીએ, ફક્ત Cloudflare સર્વર્સ પર).

TLS પર DNS

ડિફૉલ્ટ રૂપે, DNS ક્વેરીઝ એન્ક્રિપ્શન વિના પ્રસારિત થાય છે. TLS પર DNS એ તેમને સુરક્ષિત કનેક્શન પર મોકલવાની રીત છે. ક્લાઉડફ્લેર નિર્ધારિત મુજબ પ્રમાણભૂત પોર્ટ 853 પર TLS પર DNS ને સપોર્ટ કરે છે આરએફસી 7858. આ cloudflare-dns.com હોસ્ટ માટે જારી કરાયેલ પ્રમાણપત્રનો ઉપયોગ કરે છે, TLS 1.2 અને TLS 1.3 સમર્થિત છે.

કનેક્શન સ્થાપિત કરવું અને પ્રોટોકોલ અનુસાર કાર્ય કરવું કંઈક આના જેવું છે:

• DNS કનેક્શન સ્થાપિત કરતા પહેલા, ક્લાયંટ cloudflare-dns.com ના TLS પ્રમાણપત્ર (જેને SPKI કહેવાય છે) ના base64 એન્કોડેડ SHA256 હેશનો સંગ્રહ કરે છે.
• DNS ક્લાયંટ cloudflare-dns.com:853 સાથે TCP કનેક્શન સ્થાપિત કરે છે
• DNS ક્લાયંટ TLS હેન્ડશેક શરૂ કરે છે
• TLS હેન્ડશેક પ્રક્રિયા દરમિયાન, cloudflare-dns.com હોસ્ટ તેનું TLS પ્રમાણપત્ર રજૂ કરે છે.
• એકવાર TLS કનેક્શન સ્થાપિત થઈ જાય તે પછી, DNS ક્લાયંટ સુરક્ષિત ચેનલ પર DNS ક્વેરીઝ મોકલી શકે છે, જે વિનંતીઓ અને પ્રતિસાદોને છીનવી લેવાથી અને નકલી થવાથી અટકાવે છે.
• TLS કનેક્શન પર મોકલવામાં આવેલી તમામ DNS ક્વેરીઝનું પાલન કરવું આવશ્યક છે TCP પર DNS મોકલી રહ્યું છે.

TLS પર DNS દ્વારા વિનંતીનું ઉદાહરણ:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

સ્થાનિક નેટવર્ક અથવા સિંગલ યુઝરની જરૂરિયાતો પૂરી કરતા સ્થાનિક DNS સર્વર્સ માટે આ વિકલ્પ શ્રેષ્ઠ કામ કરે છે. સાચું, ધોરણના સમર્થન સાથે ખૂબ સારું નથી, પરંતુ - ચાલો આશા રાખીએ!

વાતચીત શેના વિશે છે તેની સમજૂતીના બે શબ્દો

સંક્ષેપ DNS એ ડોમેન નામ સેવા માટે વપરાય છે (તેથી "DNS સેવા" કહેવાનું કંઈક અંશે નિરર્થક છે, સંક્ષેપમાં પહેલેથી જ "સેવા" શબ્દ છે), અને તેનો ઉપયોગ એક સરળ કાર્યને ઉકેલવા માટે થાય છે - ચોક્કસ હોસ્ટ નામનું IP સરનામું શું છે તે સમજવા માટે. દર વખતે જ્યારે કોઈ વ્યક્તિ લિંક પર ક્લિક કરે છે, અથવા બ્રાઉઝરના એડ્રેસ બારમાં સરનામું દાખલ કરે છે (કહો, કંઈક આના જેવુંhttps://habrahabr.ru/post/346430/"), માનવ કમ્પ્યુટર એ શોધવાનો પ્રયાસ કરી રહ્યું છે કે પૃષ્ઠની સામગ્રી મેળવવા માટે કયા સર્વરને વિનંતી મોકલવી. habrahabr.ru ના કિસ્સામાં, DNS ના પ્રતિસાદમાં વેબ સર્વર IP સરનામાંનો સંકેત હશે: 178.248.237.68, અને પછી બ્રાઉઝર પહેલાથી જ ઉલ્લેખિત IP સરનામા સાથે સર્વરનો સંપર્ક કરવાનો પ્રયાસ કરશે.

બદલામાં, DNS સર્વર, "habrahabr.ru નામના હોસ્ટનું IP સરનામું શું છે?" વિનંતી પ્રાપ્ત કર્યા પછી, તે નિર્દિષ્ટ હોસ્ટ વિશે કંઈપણ જાણે છે કે કેમ તે નિર્ધારિત કરે છે. જો નહીં, તો તે વિશ્વના અન્ય DNS સર્વર્સને વિનંતી કરે છે, અને, સ્ટેપ બાય સ્ટેપ, પૂછેલા પ્રશ્નનો જવાબ શોધવાનો પ્રયાસ કરે છે. પરિણામે, અંતિમ જવાબ મળ્યા પછી, મળેલ ડેટા ક્લાયંટને મોકલવામાં આવે છે જે હજી પણ તેમની રાહ જોઈ રહ્યા છે, ઉપરાંત તે DNS સર્વરની જ કેશમાં સંગ્રહિત થાય છે, જે તમને આગલી વખતે સમાન પ્રશ્નનો વધુ ઝડપથી જવાબ આપવા દેશે.

એક સામાન્ય સમસ્યા એ છે કે, પ્રથમ, DNS ક્વેરી ડેટા સ્પષ્ટ રીતે પ્રસારિત કરવામાં આવે છે (જે ટ્રાફિક પ્રવાહની ઍક્સેસ ધરાવતા કોઈપણને DNS ક્વેરીઝ અને તેઓ પ્રાપ્ત કરેલા પ્રતિસાદોને અલગ કરવાની ક્ષમતા આપે છે અને પછી તેમના પોતાના હેતુઓ માટે તેનું વિશ્લેષણ કરે છે; આ આપે છે. DNS ક્લાયંટ માટે ચોકસાઈ સાથે જાહેરાતોને લક્ષ્ય બનાવવાની ક્ષમતા, જે ઘણી બધી છે!). બીજું, કેટલાક ISPs (અમે આંગળી ચીંધીશું નહીં, પરંતુ સૌથી નાની નહીં) એક અથવા બીજા વિનંતી કરેલ પૃષ્ઠને બદલે જાહેરાતો બતાવવાનું વલણ ધરાવે છે (જે એકદમ સરળ રીતે લાગુ કરવામાં આવે છે: habranabr.ru દ્વારા ક્વેરી માટે ઉલ્લેખિત IP સરનામાને બદલે. યજમાનનું નામ, રેન્ડમ વ્યક્તિ આમ, પ્રદાતાના વેબ સર્વરનું સરનામું પરત કરવામાં આવે છે, જ્યાં જાહેરાત ધરાવતું પૃષ્ઠ આપવામાં આવે છે). ત્રીજે સ્થાને, ત્યાં ઈન્ટરનેટ એક્સેસ પ્રદાતાઓ છે જે બ્લોક કરેલા વેબ સંસાધનોના IP સરનામાઓ વિશેના સાચા DNS પ્રતિસાદોને તેમના સ્ટબ પૃષ્ઠો ધરાવતા સર્વરના IP સરનામાં સાથે બદલીને વ્યક્તિગત સાઇટ્સને અવરોધિત કરવા માટેની આવશ્યકતાઓને પરિપૂર્ણ કરવા માટેની પદ્ધતિનો અમલ કરે છે (પરિણામે, ઍક્સેસ આવી સાઇટ્સ નોંધપાત્ર રીતે વધુ જટિલ), અથવા તમારા પ્રોક્સી સર્વરના સરનામા પર કે જે ફિલ્ટરિંગ કરે છે.

આ કદાચ સાઇટ પરથી એક ચિત્ર હોવું જોઈએ. http://1.1.1.1/, સેવા સાથેના જોડાણનું વર્ણન કરવા માટે વપરાય છે. લેખકો તેમના DNS ની ગુણવત્તામાં પૂરેપૂરો વિશ્વાસ ધરાવતા હોય તેવું લાગે છે (જોકે, Cloudflare પાસેથી અન્ય કંઈપણની અપેક્ષા રાખવી મુશ્કેલ છે):

સેવાના નિર્માતા, ક્લાઉડફ્લેરને કોઈ પણ વ્યક્તિ સંપૂર્ણપણે સમજી શકે છે: તેઓ વિશ્વના સૌથી લોકપ્રિય CDN નેટવર્ક્સમાંથી એકને જાળવી રાખીને અને વિકસાવીને તેમની રોટલી કમાય છે (જે કાર્યોમાં માત્ર સામગ્રીનું વિતરણ જ નહીં, પણ DNS ઝોનને હોસ્ટ કરવાનું પણ શામેલ છે), અને, તેના કારણે તે ની ઈચ્છા, જે સારી રીતે વાકેફ નથી, તે શીખવો જેમને તેઓ જાણતા નથી, તે માટે ક્યાં જવું વૈશ્વિક નેટવર્કમાં, ઘણી વાર તેમના સર્વરના સરનામાંને અવરોધિત કરવાથી પીડાય છે ચાલો કોણ કહીએ નહીં - તેથી કંપની માટે "શાઉટ્સ, વ્હિસલ અને સ્ક્રિબલ્સ" થી પ્રભાવિત ન હોય તેવા DNS હોવાનો અર્થ તેમના વ્યવસાયને ઓછું નુકસાન થાય છે. અને તકનીકી ફાયદાઓ (એક નાનકડી, પણ સરસ: ખાસ કરીને, મફત DNS ક્લાઉડફ્લેરના ક્લાયન્ટ્સ માટે, કંપનીના DNS સર્વર્સ પર હોસ્ટ કરેલા સંસાધનોના DNS રેકોર્ડ્સને અપડેટ કરવાનું તાત્કાલિક હશે) પોસ્ટમાં વર્ણવેલ સેવાનો ઉપયોગ કરીને વધુ રસપ્રદ બનાવે છે.

ફક્ત નોંધાયેલા વપરાશકર્તાઓ જ સર્વેમાં ભાગ લઈ શકે છે. સાઇન ઇન કરો, મહેરબાની કરીને.

શું તમે નવી સેવાનો ઉપયોગ કરશો?

• હા, તેને ફક્ત OS અને / અથવા રાઉટર પર સ્પષ્ટ કરીને

• હા, અને હું નવા પ્રોટોકોલનો ઉપયોગ કરીશ (HTTPs પર DNS અને TLS પર DNS)

• ના, મારી પાસે પર્યાપ્ત વર્તમાન સર્વર્સ છે (આ સાર્વજનિક પ્રદાતા છે: Google, Yandex, વગેરે.)

• ના, મને એ પણ ખબર નથી કે હું અત્યારે શું વાપરી રહ્યો છું

• હું તેમના માટે SSL ટનલ સાથે મારા પુનરાવર્તિત DNS નો ઉપયોગ કરું છું

693 વપરાશકર્તાઓએ મત ​​આપ્યો. 191 વપરાશકર્તા દૂર રહ્યો.

સોર્સ: www.habr.com