Kumpanija Cloudflare DNS pubbliku fl-indirizzi:
- 1.1.1.1
- 1.0.0.1
- 2606: 4700: 4700 1111 ::
- 2606: 4700: 4700 1001 ::
Jingħad li l-politika hija “Privacy first” sabiex l-utenti jkunu jistgħu jkollhom paċi tal-moħħ dwar il-kontenut tat-talbiet tagħhom.
Is-servizz huwa interessanti peress li, minbarra d-DNS tas-soltu, jipprovdi l-abbiltà li tuża t-teknoloġiji DNS-over-TLS и DNS-over-HTTPS, li se jipprevjeni bil-kbir lill-fornituri milli jisimgħu t-talbiet tiegħek tul it-triq tar-rikjesti - u jiġbru statistika, jimmonitorjaw, jimmaniġġjaw ir-reklamar. Cloudflare ssostni li d-data tat-tħabbira (1 ta 'April 2018, jew 04/01 f'notazzjoni Amerikana) ma ntgħażlitx b'kumbinazzjoni: liema jum ieħor tas-sena se jiġu ppreżentati l-"erba' unitajiet"?
Peress li l-udjenza ta' Habr hija teknikament sofistikata, it-taqsima tradizzjonali "għaliex għandek bżonn DNS?" Se npoġġiha fl-aħħar tal-post, iżda hawnhekk ser niddikjara affarijiet aktar utli prattikament:
Kif tuża s-servizz il-ġdid?
L-iktar ħaġa sempliċi hija li tispeċifika l-indirizzi tas-server DNS ta 'hawn fuq fil-klijent DNS tiegħek (jew bħala upstream fis-settings tas-server DNS lokali li tuża). Jagħmel sens li jissostitwixxu l-valuri tas-soltu (8.8.8.8, eċċ.), jew kemmxejn inqas komuni (77.88.8.8 u oħrajn bħalhom) lis-servers minn Cloudflare - huma jiddeċiedu għalik, iżda jitkellmu għal Bidu veloċità tar-rispons, li skontha Cloudflare huwa aktar mgħaġġel mill-kompetituri kollha (jiċċara: il-kejl ittieħdet minn servizz ta 'parti terza, u l-veloċità għal klijent speċifiku, ovvjament, tista' tvarja).
Huwa ħafna aktar interessanti li taħdem b'modi ġodda li fihom it-talba ttir lejn is-server fuq konnessjoni kriptata (fil-fatt, ir-rispons jintbagħat lura permezz tiegħu), id-DNS-over-TLS u DNS-over-HTTPS imsemmija. Sfortunatament, mhumiex appoġġjati "barra mill-kaxxa" (l-awturi jemmnu li dan huwa "għad"), iżda mhuwiex diffiċli li torganizza x-xogħol tagħhom fis-softwer tiegħek (jew anke fuq il-ħardwer tiegħek):
DNS fuq HTTPs (DoH)
Kif jissuġġerixxi l-isem, il-komunikazzjoni sseħħ fuq kanal HTTPS, li jfisser
- il-preżenza ta 'punt ta' nżul (endpoint) - tinsab fl-indirizz U
- klijent li jista 'jibgħat talbiet u jirċievi tweġibiet.
It-talbiet jistgħu jew ikunu fil-format DNS Wireformat definit fi (mibgħuta bl-użu tal-metodi POST u GET HTTP), jew fil-format JSON (bl-użu tal-metodu GET HTTP). Għalija personalment, l-idea li tagħmel talbiet DNS permezz ta 'talbiet HTTP dehret mhux mistennija, iżda hemm qamħ razzjonali fiha: talba bħal din se tgħaddi ħafna sistemi ta' filtrazzjoni tat-traffiku, l-analiżi tar-risponsi hija pjuttost sempliċi, u l-ġenerazzjoni ta 'talbiet hija saħansitra aktar faċli. Il-libreriji u l-protokolli tas-soltu huma responsabbli għas-sigurtà.
Itlob eżempji, direttament mid-dokumentazzjoni:
GET talba fil-format DNS Wireformat
$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031Talba POST fil-format DNS Wireformat
$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031
L-istess iżda bl-użu ta' JSON
$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'
{
"Status": 0,
"TC": false,
"RD": true,
"RA": true,
"AD": true,
"CD": false,
"Question": [
{
"name": "example.com.",
"type": 1
}
],
"Answer": [
{
"name": "example.com.",
"type": 1,
"TTL": 1069,
"data": "93.184.216.34"
}
]
}Ovvjament, router tad-dar rari (jekk mill-inqas wieħed) jista 'jaħdem mad-DNS b'dan il-mod, iżda dan ma jfissirx li l-appoġġ mhux se jidher għada - u, interessanti, hawnhekk nistgħu nimplimentaw il-ħidma mad-DNS fl-applikazzjoni tagħna (kif diġà , biss fuq servers Cloudflare).
DNS fuq TLS
B'mod awtomatiku, il-mistoqsijiet DNS huma trażmessi mingħajr encryption. DNS fuq TLS huwa mod kif tibgħathom fuq konnessjoni sigura. Cloudflare jappoġġja DNS fuq TLS fuq il-port standard 853 kif preskritt . Dan juża ċertifikat maħruġ għall-host cloudflare-dns.com, TLS 1.2 u TLS 1.3 huma appoġġjati.
L-istabbiliment ta 'konnessjoni u l-ħidma skont il-protokoll imur xi ħaġa bħal din:
- Qabel ma jistabbilixxi konnessjoni DNS, il-klijent jaħżen hash SHA64 kodifikat base256 taċ-ċertifikat TLS ta' cloudflare-dns.com (imsejjaħ SPKI)
- Il-klijent DNS jistabbilixxi konnessjoni TCP ma' cloudflare-dns.com:853
- Klijent DNS jibda handshake TLS
- Matul il-proċess ta' handshake TLS, il-host cloudflare-dns.com jippreżenta ċ-ċertifikat TLS tiegħu.
- Ladarba tiġi stabbilita konnessjoni TLS, il-klijent DNS jista 'jibgħat talbiet DNS fuq kanal sikur, li jipprevjeni li t-talbiet u r-risposti jiġu eavesdroved u spoofed.
- Il-mistoqsijiet DNS kollha mibgħuta fuq konnessjoni TLS għandhom jikkonformaw mal- .
Eżempju ta' talba permezz ta' DNS fuq TLS:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 msDin l-għażla tidher li taħdem l-aħjar għal servers DNS lokali li jaqdu l-ħtiġijiet ta 'netwerk lokali jew utent wieħed. Veru, bl-appoġġ ta 'l-istandard mhuwiex tajjeb ħafna, iżda - ejja nittamaw!
Żewġ kelmiet ta’ spjegazzjoni ta’ x’inhi l-konversazzjoni
L-abbrevjazzjoni DNS tirrappreżenta Domain Name Service (hekk li tgħid "servizz DNS" hija kemmxejn żejda, l-abbrevjazzjoni diġà fiha l-kelma "servizz"), u tintuża biex issolvi kompitu sempliċi - biex tifhem x'indirizz IP għandu isem ospitanti partikolari. Kull darba li persuna tikklikkja fuq link, jew ddaħħal indirizz fil-bar tal-indirizz tal-browser (jiġifieri, xi ħaġa bħal ""), il-kompjuter uman qed jipprova jifhem liema server għandu jibgħat talba biex jikseb il-kontenut tal-paġna. Fil-każ ta 'habrahabr.ru, ir-rispons mid-DNS se jkun fih indikazzjoni tal-indirizz IP tas-server tal-web: 178.248.237.68, u mbagħad il-browser diġà jipprova jikkuntattja lis-server bl-indirizz IP speċifikat.
Min-naħa tiegħu, is-server DNS, wara li rċieva t-talba "x'inhu l-indirizz IP tal-host imsejjaħ habrahabr.ru?", jiddetermina jekk jafx xi ħaġa dwar il-host speċifikat. Jekk le, tagħmel talba lil servers DNS oħra fid-dinja, u, pass pass, tipprova ssib it-tweġiba għall-mistoqsija li ssir. Bħala riżultat, malli tinstab it-tweġiba finali, id-dejta misjuba tintbagħat lill-klijent li għadu qed jistenniehom, flimkien ma 'din tinħażen fil-cache tas-server DNS innifsu, li jippermettilek twieġeb mistoqsija simili ħafna aktar malajr il-ħin li jmiss.
Problema komuni hija li, l-ewwel, id-dejta tal-mistoqsijiet DNS tiġi trażmessa b’mod ċar (li tagħti lil kull min għandu aċċess għall-fluss tat-traffiku l-abbiltà li jiżola l-mistoqsijiet tad-DNS u r-risposti li jirċievu u mbagħad janalizzahom għall-iskopijiet tiegħu stess; dan jagħti l-abbiltà li timmira r-reklami bi preċiżjoni għal klijent DNS, li hija pjuttost ħafna!). It-tieni nett, xi ISPs (mhux se nippuntaw is-swaba ', iżda mhux l-iżgħar) għandhom it-tendenza li juru reklami minflok paġna mitluba waħda jew oħra (li hija implimentata pjuttost sempliċi: minflok l-indirizz IP speċifikat għal mistoqsija mill-habranabr.ru isem ospitanti, persuna każwali Għalhekk, l-indirizz tas-server tal-web tal-fornitur huwa rritornat, fejn il-paġna li jkun fiha r-reklam hija notifikata). It-tielet nett, hemm fornituri ta’ aċċess għall-Internet li jimplimentaw mekkaniżmu biex jissodisfaw ir-rekwiżiti għall-imblukkar ta’ siti individwali billi jissostitwixxu t-tweġibiet DNS korretti dwar l-indirizzi IP tar-riżorsi tal-web imblukkati bl-indirizz IP tas-server tagħhom li jkun fih paġni stub (b’riżultat ta’ dan, aċċess għal siti bħal dawn notevolment aktar ikkumplikati), jew lill-indirizz tas-server proxy tiegħek li jwettaq filtrazzjoni.
Din għandha probabilment tkun stampa mis-sit. , użat biex jiddeskrivi l-konnessjoni mas-servizz. L-awturi jidhru li huma pjuttost kunfidenti fil-kwalità tad-DNS tagħhom (madankollu, huwa diffiċli li wieħed jistenna xi ħaġa oħra minn Cloudflare):
Wieħed jista 'jifhem bis-sħiħ lil Cloudflare, il-kreatur tas-servizz: jaqilgħu l-ħobż tagħhom billi jżommu u jiżviluppaw wieħed mill-aktar netwerks CDN popolari fid-dinja (li funzjonijiet jinkludu mhux biss id-distribuzzjoni tal-kontenut, iżda wkoll li jospitaw żoni DNS), u, minħabba ix-xewqa ta' dawk, li mhux kapaċi sew, jgħallmu dawk lil min ma jafux, għal dak fejn tmur fin-netwerk globali, spiss ibati mill-imblukkar tal-indirizzi tas-servers tagħhom minn ejja ma ngħidu min - għalhekk li jkollok DNS li ma jkunx affettwat minn "għajjat, sfafar u scribbles" għall-kumpanija jfisser inqas ħsara għan-negozju tagħhom. U vantaġġi tekniċi (trifle, iżda sbieħ: b'mod partikolari, għall-klijenti tad-DNS Cloudflare b'xejn, l-aġġornament tar-rekords DNS tar-riżorsi ospitati fuq is-servers DNS tal-kumpanija se jkun immedjat) jagħmlu l-użu tas-servizz deskritt fil-post saħansitra aktar interessanti.
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. , ta 'xejn.
Se tuża s-servizz il-ġdid?
-
Iva, billi sempliċement tispeċifikaha fl-OS u/jew fuq ir-router
-
Iva, u se nuża protokolli ġodda (DNS fuq HTTPs u DNS fuq TLS)
-
Le, għandi biżżejjed servers kurrenti (dan huwa fornitur pubbliku: Google, Yandex, eċċ.)
-
Le, lanqas biss naf x'qed nuża bħalissa
-
Jiena nuża d-DNS rikorsiv tiegħi b'mina SSL għalihom
693 utenti vvutaw. utent 191 astjena.
Sors: www.habr.com