🥇आम्ही क्लाउडफ्लेअर कडील सेवेला 1.1.1.1 आणि 1.0.0.1 या पत्त्यांवर भेटतो किंवा “सार्वजनिक DNS शेल्फ आला आहे!”

क्लाउडफ्लेअर कंपनी सादर पत्त्यांवर सार्वजनिक DNS:

1.1.1.1
1.0.0.1
2606: 4700: 4700 1111 ::
2606: 4700: 4700 1001 ::

धोरणाला "प्रथम गोपनीयता" असे म्हटले जाते जेणेकरून वापरकर्त्यांना त्यांच्या विनंत्यांच्या सामग्रीबद्दल मनःशांती मिळू शकेल.

ही सेवा मनोरंजक आहे, नेहमीच्या DNS व्यतिरिक्त, ती तंत्रज्ञान वापरण्याची क्षमता प्रदान करते DNS-ओव्हर-TLS и DNS-ओव्हर-HTTPS, जे विनंत्यांच्या मार्गावर तुमच्या विनंत्या ऐकण्यापासून प्रदात्यांना मोठ्या प्रमाणात प्रतिबंधित करेल - आणि आकडेवारी संकलित करेल, देखरेख करेल, जाहिरात व्यवस्थापित करेल. क्लाउडफ्लेअरचा दावा आहे की घोषणेची तारीख (एप्रिल 1, 2018, किंवा अमेरिकन नोटेशनमध्ये 04/01) योगायोगाने निवडली गेली नाही: वर्षातील इतर कोणत्या दिवशी "चार युनिट" सादर केले जातील?

Habr चे प्रेक्षक तांत्रिकदृष्ट्या जाणकार असल्याने, पारंपारिक विभाग "तुम्हाला DNS का आवश्यक आहे?" मी ते पोस्टच्या शेवटी ठेवेन, परंतु येथे मी अधिक व्यावहारिकदृष्ट्या उपयुक्त गोष्टी सांगेन:

नवीन सेवा कशी वापरायची?

सर्वात सोपी गोष्ट म्हणजे वरील DNS सर्व्हर पत्ते तुमच्या DNS क्लायंटमध्ये निर्दिष्ट करणे (किंवा तुम्ही वापरत असलेल्या स्थानिक DNS सर्व्हरच्या सेटिंग्जमध्ये अपस्ट्रीम म्हणून). नेहमीच्या मूल्यांना पुनर्स्थित करण्यात अर्थ आहे का? Google DNS (8.8.8.8, इ.), किंवा किंचित कमी सामान्य यांडेक्स सार्वजनिक DNS सर्व्हर (77.88.8.8 आणि त्यांच्यासारख्या इतर) क्लाउडफ्लेअरच्या सर्व्हरवर - ते तुमच्यासाठी निर्णय घेतील, परंतु नवशिक्यांसाठी बोलतात वेळापत्रक प्रतिसादाचा वेग, त्यानुसार क्लाउडफ्लेअर सर्व प्रतिस्पर्ध्यांपेक्षा वेगवान आहे (मी स्पष्ट करेन: मोजमाप तृतीय-पक्ष सेवेद्वारे घेण्यात आले होते आणि विशिष्ट क्लायंटची गती, अर्थातच भिन्न असू शकते).

नवीन मोड्ससह कार्य करणे अधिक मनोरंजक आहे ज्यामध्ये एनक्रिप्टेड कनेक्शनवर विनंती सर्व्हरवर उडते (खरं तर, प्रतिसाद त्याद्वारे परत केला जातो), उल्लेखित DNS-over-TLS आणि DNS-over-HTTPS. दुर्दैवाने, त्यांना "बॉक्सच्या बाहेर" समर्थित नाही (लेखकांचा असा विश्वास आहे की हे "अद्याप" आहे), परंतु त्यांचे कार्य आपल्या सॉफ्टवेअरमध्ये (किंवा आपल्या हार्डवेअरवर देखील) आयोजित करणे कठीण नाही:

HTTPs (DoH) वर DNS

नावाप्रमाणेच, संप्रेषण HTTPS चॅनेलवर होते, याचा अर्थ

लँडिंग पॉइंट (एंडपॉइंट) ची उपस्थिती - ते पत्त्यावर स्थित आहे https://cloudflare-dns.com/dns-queryआणि
एक क्लायंट जो विनंत्या पाठवू शकतो आणि प्रतिसाद प्राप्त करू शकतो.

विनंत्या एकतर परिभाषित केलेल्या DNS वायर फॉरमॅट फॉरमॅटमध्ये असू शकतात आरएफसी 1035 (POST आणि GET HTTP पद्धती वापरून पाठवलेले), किंवा JSON स्वरूपात (GET HTTP पद्धत वापरून). माझ्यासाठी वैयक्तिकरित्या, HTTP विनंत्यांद्वारे डीएनएस विनंत्या करण्याची कल्पना अनपेक्षित वाटली, परंतु त्यात एक तर्कशुद्ध धान्य आहे: अशी विनंती अनेक ट्रॅफिक फिल्टरिंग सिस्टम पास करेल, प्रतिसादांचे विश्लेषण करणे अगदी सोपे आहे आणि विनंत्या तयार करणे आणखी सोपे आहे. नेहमीच्या लायब्ररी आणि प्रोटोकॉल सुरक्षेसाठी जबाबदार असतात.

उदाहरणांची विनंती करा, थेट कागदपत्रांमधून:

DNS वायर फॉरमॅट फॉरमॅटमध्ये विनंती मिळवा

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS वायर फॉरमॅट फॉरमॅटमध्ये पोस्ट विनंती

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

तेच पण JSON वापरून

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

अर्थात, एक दुर्मिळ (किमान एक असल्यास) होम राउटर अशा प्रकारे DNS सह कार्य करू शकतो, परंतु याचा अर्थ असा नाही की उद्या समर्थन दिसणार नाही - आणि विशेष म्हणजे, येथे आम्ही आमच्या अनुप्रयोगात DNS सह कार्य पूर्ण करू शकतो (आधीपासूनच) Mozilla बनवणार आहे, फक्त Cloudflare सर्व्हरवर).

TLS वर DNS

डीफॉल्टनुसार, डीएनएस क्वेरी एन्क्रिप्शनशिवाय प्रसारित केल्या जातात. TLS वर DNS हा त्यांना सुरक्षित कनेक्शनवर पाठवण्याचा मार्ग आहे. क्लाउडफ्लेअर निर्धारित केल्यानुसार मानक पोर्ट 853 वर TLS वर DNS चे समर्थन करते आरएफसी 7858. हे cloudflare-dns.com होस्टसाठी जारी केलेले प्रमाणपत्र वापरते, TLS 1.2 आणि TLS 1.3 समर्थित आहेत.

कनेक्शन स्थापित करणे आणि प्रोटोकॉलनुसार कार्य करणे असे काहीतरी होते:

DNS कनेक्शन स्थापित करण्यापूर्वी, क्लायंट cloudflare-dns.com च्या TLS प्रमाणपत्राचा बेस64 एन्कोड केलेला SHA256 हॅश संग्रहित करतो (याला SPKI म्हणतात)
DNS क्लायंट cloudflare-dns.com:853 वर TCP कनेक्शन स्थापित करतो
DNS क्लायंट TLS हँडशेक सुरू करतो
TLS हँडशेक प्रक्रियेदरम्यान, cloudflare-dns.com होस्ट त्याचे TLS प्रमाणपत्र सादर करतो.
एकदा TLS कनेक्शन स्थापित झाल्यानंतर, DNS क्लायंट सुरक्षित चॅनेलवर DNS विनंत्या पाठवू शकतो, जे विनंत्या आणि प्रतिसादांना ऐकून आणि फसवणूक होण्यापासून प्रतिबंधित करते.
TLS कनेक्शनवर पाठवलेल्या सर्व DNS क्वेरीचे पालन करणे आवश्यक आहे TCP वर DNS पाठवत आहे.

TLS वर DNS द्वारे विनंतीचे उदाहरण:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

हा पर्याय स्थानिक नेटवर्क किंवा एकल वापरकर्त्याच्या गरजा पूर्ण करणार्‍या स्थानिक DNS सर्व्हरसाठी सर्वोत्तम कार्य करतो असे दिसते. खरे आहे, मानकांच्या समर्थनासह फार चांगले नाही, परंतु - चला आशा करूया!

संभाषण कशाबद्दल आहे याचे स्पष्टीकरण देणारे दोन शब्द

संक्षेप DNS म्हणजे डोमेन नेम सेवा (म्हणून "DNS सेवा" असे म्हणणे काहीसे अनावश्यक आहे, संक्षेपात आधीपासूनच "सेवा" हा शब्द आहे), आणि एक साधे कार्य सोडवण्यासाठी वापरले जाते - विशिष्ट होस्ट नावाचा IP पत्ता काय आहे हे समजून घेण्यासाठी. प्रत्येक वेळी एखादी व्यक्ती दुव्यावर क्लिक करते किंवा ब्राउझरच्या अॅड्रेस बारमध्ये पत्ता प्रविष्ट करते (म्हणा, असे काहीतरीhttps://habrahabr.ru/post/346430/"), मानवी संगणक पृष्ठाची सामग्री मिळविण्यासाठी कोणत्या सर्व्हरवर विनंती पाठवायची हे शोधण्याचा प्रयत्न करत आहे. habrahabr.ru च्या बाबतीत, DNS कडील प्रतिसादात वेब सर्व्हर IP पत्त्याचा संकेत असेल: 178.248.237.68, आणि नंतर ब्राउझर आधीच निर्दिष्ट IP पत्त्यासह सर्व्हरशी संपर्क साधण्याचा प्रयत्न करेल.

त्या बदल्यात, DNS सर्व्हरला, “habrahabr.ru नावाच्या होस्टचा IP पत्ता काय आहे?” अशी विनंती प्राप्त झाल्यावर, त्याला निर्दिष्ट होस्टबद्दल काही माहिती आहे की नाही हे निर्धारित करते. तसे नसल्यास, ते जगातील इतर DNS सर्व्हरना विनंती करते आणि चरण-दर-चरण, विचारलेल्या प्रश्नाचे उत्तर शोधण्याचा प्रयत्न करते. परिणामी, अंतिम उत्तर मिळाल्यावर, सापडलेला डेटा क्लायंटला पाठविला जातो जो अद्याप त्यांची वाट पाहत आहे, तसेच तो DNS सर्व्हरच्या कॅशेमध्ये संग्रहित केला जातो, जो आपल्याला पुढील वेळी समान प्रश्नाचे उत्तर अधिक जलद करण्यास अनुमती देईल.

एक सामान्य समस्या अशी आहे की, प्रथम, DNS क्वेरी डेटा स्पष्टपणे प्रसारित केला जातो (जे ट्रॅफिक प्रवाहात प्रवेश असलेल्या कोणालाही DNS क्वेरी आणि त्यांना मिळालेले प्रतिसाद वेगळे करण्याची आणि नंतर त्यांच्या स्वतःच्या हेतूंसाठी त्यांचे विश्लेषण करण्याची क्षमता देते; यामुळे DNS क्लायंटसाठी अचूकतेसह जाहिरातींना लक्ष्य करण्याची क्षमता, जे खूप आहे!). दुसरे म्हणजे, काही इंटरनेट प्रदाते (आम्ही बोटे दाखवणार नाही, परंतु सर्वात लहान नाही) एक किंवा दुसर्‍या विनंती केलेल्या पृष्ठाऐवजी जाहिराती प्रदर्शित करण्याचा कल असतो (जे अगदी सोप्या पद्धतीने लागू केले जाते: habranabr.ru होस्टद्वारे विनंतीसाठी निर्दिष्ट केलेल्या IP पत्त्याऐवजी. नाव, एक यादृच्छिक व्यक्ती अशा प्रकारे, प्रदात्याच्या वेब सर्व्हरचा पत्ता परत केला जातो, जेथे जाहिरात असलेले पृष्ठ दिले जाते). तिसरे म्हणजे, इंटरनेट ऍक्सेस प्रदाते आहेत जे ब्लॉक केलेल्या वेब संसाधनांच्या IP पत्त्यांबद्दल योग्य DNS प्रतिसाद बदलून त्यांच्या सर्व्हरच्या IP पत्त्यासह स्टब पृष्ठे (परिणामी, ऍक्सेस करण्यासाठी) वैयक्तिक साइट अवरोधित करण्याच्या आवश्यकता पूर्ण करण्यासाठी यंत्रणा कार्यान्वित करतात. अशा साइट्स लक्षणीयरीत्या अधिक क्लिष्ट) किंवा फिल्टरिंग करत असलेल्या तुमच्या प्रॉक्सी सर्व्हरच्या पत्त्यावर.

हे बहुधा साइटवरील चित्र असावे. http://1.1.1.1/, सेवेच्या कनेक्शनचे वर्णन करण्यासाठी वापरले जाते. लेखकांना त्यांच्या DNS च्या गुणवत्तेवर पूर्ण विश्वास आहे असे दिसते (तथापि, क्लाउडफ्लेअरकडून इतर कशाचीही अपेक्षा करणे कठीण आहे):

सेवेचे निर्माते क्लाउडफ्लेअर यांना पूर्णपणे समजू शकते: ते जगातील सर्वात लोकप्रिय CDN नेटवर्क (ज्या फंक्शन्समध्ये केवळ सामग्रीचे वितरणच नाही तर DNS झोन होस्ट करणे देखील समाविष्ट आहे) राखून आणि विकसित करून त्यांची कमाई करतात. त्यांची इच्छा, ज्याला चांगले ज्ञान नाही, त्यांना शिकवा ज्यांना ते माहित नाहीत, ते कुठे जायचे आहे जागतिक नेटवर्कमध्ये, बरेचदा त्यांच्या सर्व्हरचे पत्ते अवरोधित केल्याचा त्रास होतो कोण म्हणू नका - त्यामुळे कंपनीसाठी "ओरडणे, शिट्ट्या आणि स्क्रिबल" यांचा परिणाम न होणारा DNS असणे म्हणजे त्यांच्या व्यवसायाचे कमी नुकसान. आणि तांत्रिक फायदे (एक क्षुल्लक, परंतु छान: विशेषतः, विनामूल्य DNS क्लाउडफ्लेअरच्या क्लायंटसाठी, कंपनीच्या DNS सर्व्हरवर होस्ट केलेल्या संसाधनांचे DNS रेकॉर्ड अद्यतनित करणे त्वरित होईल) पोस्टमध्ये वर्णन केलेली सेवा वापरणे अधिक मनोरंजक बनवते.

केवळ नोंदणीकृत वापरकर्तेच सर्वेक्षणात भाग घेऊ शकतात. साइन इन करा, आपले स्वागत आहे.

तुम्ही नवीन सेवा वापराल का?

होय, ते फक्त OS आणि / किंवा राउटरमध्ये निर्दिष्ट करून
होय, आणि मी नवीन प्रोटोकॉल वापरेन (HTTPs वर DNS आणि TLS वर DNS)
नाही, माझ्याकडे पुरेसे वर्तमान सर्व्हर आहेत (हे सार्वजनिक प्रदाता आहे: Google, Yandex, इ.)
नाही, मी सध्या काय वापरत आहे हे देखील मला माहित नाही
मी त्यांच्यासाठी एसएसएल बोगद्यासह माझे आवर्ती DNS वापरतो

693 वापरकर्त्यांनी मतदान केले. 191 वापरकर्ता दूर राहिला.

स्त्रोत: www.habr.com

आम्ही क्लाउडफ्लेअर कडून 1.1.1.1 आणि 1.0.0.1 या पत्त्यांवर किंवा "सार्वजनिक DNS शेल्फ आला आहे!"

नवीन सेवा कशी वापरायची?

HTTPs (DoH) वर DNS

TLS वर DNS

संभाषण कशाबद्दल आहे याचे स्पष्टीकरण देणारे दोन शब्द

तुम्ही नवीन सेवा वापराल का?

एक टिप्पणी जोडा Отменить ответ