주소 1.1.1.1 및 1.0.0.1 또는 "공용 DNS 선반이 도착했습니다!"에서 Cloudflare의 서비스를 만납니다.

Cloudflare 회사 제시 주소의 공개 DNS:

• 1.1.1.1
• 1.0.0.1
• 2606 : 4700 : 4700 :: 1111
• 2606 : 4700 : 4700 :: 1001

이 정책은 사용자가 요청 내용에 대해 안심할 수 있도록 "개인 정보 보호 우선"이라고 합니다.

이 서비스는 일반적인 DNS 외에도 기술을 사용할 수 있는 기능을 제공한다는 점에서 흥미롭습니다. DNS-over-TLS и DNS를 통한 HTTPS, 이는 공급자가 요청 경로를 따라 귀하의 요청을 도청하는 것을 크게 방지하고 통계를 수집하고, 광고를 모니터링하고, 관리합니다. Cloudflare는 발표 날짜(1년 2018월 04일 또는 미국 표기법으로 01/XNUMX)가 우연히 선택되지 않았다고 주장합니다. "XNUMX개 단위"가 다른 어느 날에 표시됩니까?

Habr의 청중은 기술적으로 정통하기 때문에 "DNS가 왜 필요한가?"라는 전통적인 섹션이 있습니다. 포스팅 마지막 부분에 올리겠습니다만, 여기서는 보다 실용적으로 유용한 사항을 설명하겠습니다.

새로운 서비스는 어떻게 이용하나요?

가장 간단한 방법은 DNS 클라이언트에서 위의 DNS 서버 주소를 지정하는 것입니다(또는 사용하는 로컬 DNS 서버 설정의 업스트림으로). 일반적인 값을 바꾸는 것이 합리적입니까? 구글 DNS (8.8.8.8 등) 또는 약간 덜 일반적입니다. Yandex 공용 DNS 서버 (77.88.8.8 및 기타 유사한 항목)을 Cloudflare의 서버로 전송 - 결정은 사용자를 대신하지만 초보자를 위한 것입니다. 예정 Cloudflare가 모든 경쟁사보다 빠른 응답 속도(명확히 설명하겠습니다. 측정은 타사 서비스에서 수행되었으며 특정 클라이언트에 대한 속도는 물론 다를 수 있습니다).

요청이 암호화된 연결을 통해 서버로 이동하는(실제로 응답은 이를 통해 반환됨) 언급된 DNS-over-TLS 및 DNS-over-HTTPS와 같은 새로운 모드를 사용하여 작업하는 것이 훨씬 더 흥미롭습니다. 불행하게도 이들은 "즉시" 지원되지는 않지만(저자는 이것이 "아직"이라고 생각합니다) 소프트웨어(또는 하드웨어에서도)에서 작업을 구성하는 것은 어렵지 않습니다.

DoH(DNS over HTTP)

이름에서 알 수 있듯이 통신은 HTTPS 채널을 통해 이루어집니다.

1. 착륙 지점(종점)의 존재 - 주소에 위치 https://cloudflare-dns.com/dns-query과
2. 요청을 보내고 응답을 받을 수 있는 클라이언트입니다.

요청은 다음에 정의된 DNS Wireformat 형식일 수 있습니다. RFC1035 (POST 및 GET HTTP 메서드를 사용하여 전송) 또는 JSON 형식(GET HTTP 메서드 사용). 개인적으로 HTTP 요청을 통해 DNS 요청을 한다는 아이디어는 예상치 못한 것처럼 보였지만 그 안에는 합리적인 요소가 있습니다. 이러한 요청은 많은 트래픽 필터링 시스템을 통과하고 응답 구문 분석은 매우 간단하며 요청 생성은 훨씬 더 쉽습니다. 일반적인 라이브러리와 프로토콜은 보안을 담당합니다.

문서에서 바로 예제를 요청하세요.

DNS Wireformat 형식의 GET 요청

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS Wireformat 형식의 POST 요청

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

동일하지만 JSON을 사용함

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

분명히 드문(적어도 하나라도) 홈 라우터가 이런 방식으로 DNS와 작동할 수 있지만 이것이 내일 지원이 나타나지 않을 것이라는 의미는 아닙니다. 흥미롭게도 여기서는 애플리케이션에서 DNS 작업을 구현할 수 있습니다(이미 모질라를 만들거야, Cloudflare 서버에만 있음).

TLS를 통한 DNS

기본적으로 DNS 쿼리는 암호화 없이 전송됩니다. TLS를 통한 DNS는 보안 연결을 통해 전송하는 방법입니다. Cloudflare는 규정에 따라 표준 포트 853에서 TLS를 통한 DNS를 지원합니다. RFC7858. 이는 cloudflare-dns.com 호스트에 대해 발급된 인증서를 사용하며 TLS 1.2 및 TLS 1.3이 지원됩니다.

프로토콜에 따라 연결을 설정하고 작업하는 과정은 다음과 같습니다.

• DNS 연결을 설정하기 전에 클라이언트는 cloudflare-dns.com TLS 인증서(SPKI라고 함)의 base64로 인코딩된 SHA256 해시를 저장합니다.
• DNS 클라이언트는 cloudflare-dns.com:853에 대한 TCP 연결을 설정합니다.
• DNS 클라이언트가 TLS 핸드셰이크를 시작합니다.
• TLS 핸드셰이크 프로세스 중에 cloudflare-dns.com 호스트는 TLS 인증서를 제공합니다.
• TLS 연결이 설정되면 DNS 클라이언트는 보안 채널을 통해 DNS 요청을 보낼 수 있으므로 요청과 응답이 도청되거나 스푸핑되는 것을 방지할 수 있습니다.
• TLS 연결을 통해 전송된 모든 DNS 쿼리는 다음을 준수해야 합니다. TCP를 통해 DNS 보내기.

TLS를 통한 DNS를 통한 요청의 예:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

이 옵션은 로컬 네트워크 또는 단일 사용자의 요구 사항을 충족하는 로컬 DNS 서버에 가장 적합한 것으로 보입니다. 사실, 표준 지원이 그다지 좋지는 않지만 희망합시다!

대화의 내용을 설명하는 두 단어

약어 DNS는 Domain Name Service(즉, "DNS 서비스"는 다소 중복되며 약어에는 이미 "서비스"라는 단어가 포함되어 있음)를 나타내며 특정 호스트 이름의 IP 주소를 이해하는 간단한 작업을 해결하는 데 사용됩니다. 사람이 링크를 클릭하거나 브라우저의 주소 표시줄에 주소(예: 'https://habrahabr.ru/post/346430/"), 인간 컴퓨터는 페이지의 콘텐츠를 가져오기 위해 요청을 보낼 서버를 알아내려고 합니다. habrahabr.ru의 경우 DNS의 응답에는 웹 서버 IP 주소(178.248.237.68) 표시가 포함되며 브라우저는 이미 지정된 IP 주소를 사용하여 서버에 연결을 시도합니다.

그러면 DNS 서버는 "habrahabr.ru라는 호스트의 IP 주소는 무엇입니까?"라는 요청을 받은 후 지정된 호스트에 대해 아는 것이 있는지 확인합니다. 그렇지 않다면 전 세계의 다른 DNS 서버에 요청을 하고, 질문에 대한 답을 단계별로 찾으려고 노력합니다. 결과적으로 최종 답변을 찾으면 발견된 데이터가 아직 기다리고 있는 클라이언트로 전송되며, DNS 서버 자체의 캐시에 저장되므로 다음 번에 유사한 질문에 훨씬 더 빠르게 답변할 수 있습니다.

일반적인 문제는 먼저 DNS 쿼리 데이터가 일반 형식으로 전송된다는 것입니다(트래픽 흐름에 액세스할 수 있는 사람은 누구나 DNS 쿼리와 수신한 응답을 분리한 다음 자신의 목적에 맞게 구문 분석할 수 있음). DNS 클라이언트에 대해 정확하게 광고를 타겟팅하는 기능은 상당히 많습니다!). 둘째, 일부 ISP(가장 작은 ISP는 아니지만 손가락질은 하지 않음)는 하나 또는 다른 요청 페이지 대신 광고를 표시하는 경향이 있습니다(이는 매우 간단하게 구현됩니다: habranabr.ru의 쿼리에 대해 지정된 IP 주소 대신). 호스트 이름, 임의의 사람 따라서 광고가 포함된 페이지가 제공되는 공급자의 웹 서버 주소가 반환됩니다. 셋째, 차단된 웹 리소스의 IP 주소에 대한 올바른 DNS 응답을 스텁 페이지가 포함된 서버의 IP 주소로 대체하여 개별 사이트 차단 요구 사항을 충족하기 위한 메커니즘을 구현하는 인터넷 액세스 공급자가 있습니다. 그러한 사이트는 눈에 띄게 더 복잡함) 또는 필터링을 수행하는 프록시 서버의 주소로 전송됩니다.

아마 사이트에서 가져온 사진일 겁니다. http://1.1.1.1/, 서비스에 대한 연결을 설명하는 데 사용됩니다. 작성자는 DNS 품질에 상당한 자신감을 갖고 있는 것 같습니다(그러나 Cloudflare에서 다른 것을 기대하기는 어렵습니다).

서비스 창시자인 Cloudflare를 완전히 이해할 수 있습니다. Cloudflare는 세계에서 가장 인기 있는 CDN 네트워크 중 하나(콘텐츠 배포뿐만 아니라 DNS 영역 호스팅도 포함하는 기능)를 유지 및 개발하여 수입을 얻습니다. 그 사람들의 욕망, 잘 모르는 사람, 그걸 가르쳐 그들이 모르는 사람, 그것에 어디로 가야 글로벌 네트워크에서는 서버 주소를 차단하는 경우가 종종 있습니다. 누구인지는 말하지 말자 - 따라서 회사의 "고함, 휘파람, 낙서"에 영향을 받지 않는 DNS를 보유한다는 것은 회사의 비즈니스에 해를 끼치는 일이 적다는 것을 의미합니다. 그리고 기술적 이점(사소하지만 좋은 점: 특히 무료 DNS Cloudflare 클라이언트의 경우 회사의 DNS 서버에 호스팅된 리소스의 DNS 레코드를 즉시 업데이트할 수 있음)으로 인해 게시물에 설명된 서비스를 더욱 흥미롭게 사용할 수 있습니다.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

새로운 서비스를 이용하시겠습니까?

• 예, 간단히 OS 및/또는 라우터에서 지정하면 됩니다.

• 예, 그리고 새로운 프로토콜(HTTP를 통한 DNS 및 TLS를 통한 DNS)을 사용하겠습니다.

• 아니요, 현재 서버가 충분합니다(공개 공급자: Google, Yandex 등).

• 아니요, 제가 지금 무엇을 사용하고 있는지조차 모르겠습니다.

• SSL 터널과 함께 재귀 DNS를 사용합니다.

693명의 사용자가 투표했습니다. 191명의 사용자가 기권했습니다.

출처 : habr.com