ProHoster > blog > Amministrazzjoni > Niltaqgħu mas-servizz minn Cloudflare fl-indirizzi 1.1.1.1 u 1.0.0.1, jew "l-ixkaffa tad-DNS pubbliku waslet!"
Niltaqgħu mas-servizz minn Cloudflare fl-indirizzi 1.1.1.1 u 1.0.0.1, jew "l-ixkaffa tad-DNS pubbliku waslet!"
Kumpanija Cloudflare ippreżentata DNS pubbliku fl-indirizzi:
1.1.1.1
1.0.0.1
2606: 4700: 4700 1111 ::
2606: 4700: 4700 1001 ::
Jingħad li l-politika hija “Privacy first” sabiex l-utenti jkunu jistgħu jkollhom paċi tal-moħħ dwar il-kontenut tat-talbiet tagħhom.
Is-servizz huwa interessanti peress li, minbarra d-DNS tas-soltu, jipprovdi l-abbiltà li tuża t-teknoloġiji DNS-over-TLS и DNS-over-HTTPS, li se jipprevjeni bil-kbir lill-fornituri milli jisimgħu t-talbiet tiegħek tul it-triq tar-rikjesti - u jiġbru statistika, jimmonitorjaw, jimmaniġġjaw ir-reklamar. Cloudflare ssostni li d-data tat-tħabbira (1 ta 'April 2018, jew 04/01 f'notazzjoni Amerikana) ma ntgħażlitx b'kumbinazzjoni: liema jum ieħor tas-sena se jiġu ppreżentati l-"erba' unitajiet"?
Peress li l-udjenza ta' Habr hija teknikament sofistikata, it-taqsima tradizzjonali "għaliex għandek bżonn DNS?" Se npoġġiha fl-aħħar tal-post, iżda hawnhekk ser niddikjara affarijiet aktar utli prattikament:
Kif tuża s-servizz il-ġdid?
L-iktar ħaġa sempliċi hija li tispeċifika l-indirizzi tas-server DNS ta 'hawn fuq fil-klijent DNS tiegħek (jew bħala upstream fis-settings tas-server DNS lokali li tuża). Jagħmel sens li jissostitwixxu l-valuri tas-soltu Google DNS (8.8.8.8, eċċ.), jew kemmxejn inqas komuni Servers DNS pubbliċi Yandex (77.88.8.8 u oħrajn bħalhom) lis-servers minn Cloudflare - huma jiddeċiedu għalik, iżda jitkellmu għal Bidu skeda veloċità tar-rispons, li skontha Cloudflare huwa aktar mgħaġġel mill-kompetituri kollha (jiċċara: il-kejl ittieħdet minn servizz ta 'parti terza, u l-veloċità għal klijent speċifiku, ovvjament, tista' tvarja).
Huwa ħafna aktar interessanti li taħdem b'modi ġodda li fihom it-talba ttir lejn is-server fuq konnessjoni kriptata (fil-fatt, ir-rispons jintbagħat lura permezz tiegħu), id-DNS-over-TLS u DNS-over-HTTPS imsemmija. Sfortunatament, mhumiex appoġġjati "barra mill-kaxxa" (l-awturi jemmnu li dan huwa "għad"), iżda mhuwiex diffiċli li torganizza x-xogħol tagħhom fis-softwer tiegħek (jew anke fuq il-ħardwer tiegħek):
DNS fuq HTTPs (DoH)
Kif jissuġġerixxi l-isem, il-komunikazzjoni sseħħ fuq kanal HTTPS, li jfisser
il-preżenza ta 'punt ta' nżul (endpoint) - tinsab fl-indirizz https://cloudflare-dns.com/dns-queryU
klijent li jista 'jibgħat talbiet u jirċievi tweġibiet.
It-talbiet jistgħu jew ikunu fil-format DNS Wireformat definit fi RFC1035 (mibgħuta bl-użu tal-metodi POST u GET HTTP), jew fil-format JSON (bl-użu tal-metodu GET HTTP). Għalija personalment, l-idea li tagħmel talbiet DNS permezz ta 'talbiet HTTP dehret mhux mistennija, iżda hemm qamħ razzjonali fiha: talba bħal din se tgħaddi ħafna sistemi ta' filtrazzjoni tat-traffiku, l-analiżi tar-risponsi hija pjuttost sempliċi, u l-ġenerazzjoni ta 'talbiet hija saħansitra aktar faċli. Il-libreriji u l-protokolli tas-soltu huma responsabbli għas-sigurtà.
Ovvjament, router tad-dar rari (jekk mill-inqas wieħed) jista 'jaħdem mad-DNS b'dan il-mod, iżda dan ma jfissirx li l-appoġġ mhux se jidher għada - u, interessanti, hawnhekk nistgħu nimplimentaw il-ħidma mad-DNS fl-applikazzjoni tagħna (kif diġà se tagħmel Mozilla, biss fuq servers Cloudflare).
DNS fuq TLS
B'mod awtomatiku, il-mistoqsijiet DNS huma trażmessi mingħajr encryption. DNS fuq TLS huwa mod kif tibgħathom fuq konnessjoni sigura. Cloudflare jappoġġja DNS fuq TLS fuq il-port standard 853 kif preskritt RFC7858. Dan juża ċertifikat maħruġ għall-host cloudflare-dns.com, TLS 1.2 u TLS 1.3 huma appoġġjati.
L-istabbiliment ta 'konnessjoni u l-ħidma skont il-protokoll imur xi ħaġa bħal din:
Qabel ma jistabbilixxi konnessjoni DNS, il-klijent jaħżen hash SHA64 kodifikat base256 taċ-ċertifikat TLS ta' cloudflare-dns.com (imsejjaħ SPKI)
Il-klijent DNS jistabbilixxi konnessjoni TCP ma' cloudflare-dns.com:853
Klijent DNS jibda handshake TLS
Matul il-proċess ta' handshake TLS, il-host cloudflare-dns.com jippreżenta ċ-ċertifikat TLS tiegħu.
Ladarba tiġi stabbilita konnessjoni TLS, il-klijent DNS jista 'jibgħat talbiet DNS fuq kanal sikur, li jipprevjeni li t-talbiet u r-risposti jiġu eavesdroved u spoofed.
Il-mistoqsijiet DNS kollha mibgħuta fuq konnessjoni TLS għandhom jikkonformaw mal- jibgħat DNS fuq TCP.
Eżempju ta' talba permezz ta' DNS fuq TLS:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms
Din l-għażla tidher li taħdem l-aħjar għal servers DNS lokali li jaqdu l-ħtiġijiet ta 'netwerk lokali jew utent wieħed. Veru, bl-appoġġ ta 'l-istandard mhuwiex tajjeb ħafna, iżda - ejja nittamaw!
Żewġ kelmiet ta’ spjegazzjoni ta’ x’inhi l-konversazzjoni
L-abbrevjazzjoni DNS tirrappreżenta Domain Name Service (hekk li tgħid "servizz DNS" hija kemmxejn żejda, l-abbrevjazzjoni diġà fiha l-kelma "servizz"), u tintuża biex issolvi kompitu sempliċi - biex tifhem x'indirizz IP għandu isem ospitanti partikolari. Kull darba li persuna tikklikkja fuq link, jew ddaħħal indirizz fil-bar tal-indirizz tal-browser (jiġifieri, xi ħaġa bħal "https://habrahabr.ru/post/346430/"), il-kompjuter uman qed jipprova jifhem liema server għandu jibgħat talba biex jikseb il-kontenut tal-paġna. Fil-każ ta 'habrahabr.ru, ir-rispons mid-DNS se jkun fih indikazzjoni tal-indirizz IP tas-server tal-web: 178.248.237.68, u mbagħad il-browser diġà jipprova jikkuntattja lis-server bl-indirizz IP speċifikat.
Min-naħa tiegħu, is-server DNS, wara li rċieva t-talba "x'inhu l-indirizz IP tal-host imsejjaħ habrahabr.ru?", jiddetermina jekk jafx xi ħaġa dwar il-host speċifikat. Jekk le, tagħmel talba lil servers DNS oħra fid-dinja, u, pass pass, tipprova ssib it-tweġiba għall-mistoqsija li ssir. Bħala riżultat, malli tinstab it-tweġiba finali, id-dejta misjuba tintbagħat lill-klijent li għadu qed jistenniehom, flimkien ma 'din tinħażen fil-cache tas-server DNS innifsu, li jippermettilek twieġeb mistoqsija simili ħafna aktar malajr il-ħin li jmiss.
Problema komuni hija li, l-ewwel, id-dejta tal-mistoqsijiet DNS tiġi trażmessa b’mod ċar (li tagħti lil kull min għandu aċċess għall-fluss tat-traffiku l-abbiltà li jiżola l-mistoqsijiet tad-DNS u r-risposti li jirċievu u mbagħad janalizzahom għall-iskopijiet tiegħu stess; dan jagħti l-abbiltà li timmira r-reklami bi preċiżjoni għal klijent DNS, li hija pjuttost ħafna!). It-tieni nett, xi ISPs (mhux se nippuntaw is-swaba ', iżda mhux l-iżgħar) għandhom it-tendenza li juru reklami minflok paġna mitluba waħda jew oħra (li hija implimentata pjuttost sempliċi: minflok l-indirizz IP speċifikat għal mistoqsija mill-habranabr.ru isem ospitanti, persuna każwali Għalhekk, l-indirizz tas-server tal-web tal-fornitur huwa rritornat, fejn il-paġna li jkun fiha r-reklam hija notifikata). It-tielet nett, hemm fornituri ta’ aċċess għall-Internet li jimplimentaw mekkaniżmu biex jissodisfaw ir-rekwiżiti għall-imblukkar ta’ siti individwali billi jissostitwixxu t-tweġibiet DNS korretti dwar l-indirizzi IP tar-riżorsi tal-web imblukkati bl-indirizz IP tas-server tagħhom li jkun fih paġni stub (b’riżultat ta’ dan, aċċess għal siti bħal dawn notevolment aktar ikkumplikati), jew lill-indirizz tas-server proxy tiegħek li jwettaq filtrazzjoni.
Din għandha probabilment tkun stampa mis-sit. http://1.1.1.1/, użat biex jiddeskrivi l-konnessjoni mas-servizz. L-awturi jidhru li huma pjuttost kunfidenti fil-kwalità tad-DNS tagħhom (madankollu, huwa diffiċli li wieħed jistenna xi ħaġa oħra minn Cloudflare):
Wieħed jista 'jifhem bis-sħiħ lil Cloudflare, il-kreatur tas-servizz: jaqilgħu l-ħobż tagħhom billi jżommu u jiżviluppaw wieħed mill-aktar netwerks CDN popolari fid-dinja (li funzjonijiet jinkludu mhux biss id-distribuzzjoni tal-kontenut, iżda wkoll li jospitaw żoni DNS), u, minħabba ix-xewqa ta' dawk, li mhux kapaċi sew, jgħallmu dawk lil min ma jafux, għal dak fejn tmur fin-netwerk globali, spiss ibati mill-imblukkar tal-indirizzi tas-servers tagħhom minn ejja ma ngħidu min - għalhekk li jkollok DNS li ma jkunx affettwat minn "għajjat, sfafar u scribbles" għall-kumpanija jfisser inqas ħsara għan-negozju tagħhom. U vantaġġi tekniċi (trifle, iżda sbieħ: b'mod partikolari, għall-klijenti tad-DNS Cloudflare b'xejn, l-aġġornament tar-rekords DNS tar-riżorsi ospitati fuq is-servers DNS tal-kumpanija se jkun immedjat) jagħmlu l-użu tas-servizz deskritt fil-post saħansitra aktar interessanti.
Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.
Se tuża s-servizz il-ġdid?
Iva, billi sempliċement tispeċifikaha fl-OS u/jew fuq ir-router
Iva, u se nuża protokolli ġodda (DNS fuq HTTPs u DNS fuq TLS)
Le, għandi biżżejjed servers kurrenti (dan huwa fornitur pubbliku: Google, Yandex, eċċ.)
Le, lanqas biss naf x'qed nuża bħalissa
Jiena nuża d-DNS rikorsiv tiegħi b'mina SSL għalihom