🥇हामी क्लाउडफ्लेयरको ठेगाना १.१.१.१ र १.०.०.१ मा भेट्छौं, वा "सार्वजनिक DNS शेल्फ आइपुग्यो!"

क्लाउडफ्लेयर कम्पनी प्रस्तुत ठेगानाहरूमा सार्वजनिक DNS:

1.1.1.1
1.0.0.1
2606: 4700: 4700 :: 1111
2606: 4700: 4700 :: 1001

नीतिलाई "गोपनीयता पहिले" भनिन्छ ताकि प्रयोगकर्ताहरूले उनीहरूको अनुरोधहरूको सामग्रीको बारेमा मनमा शान्ति पाउन सकून्।

यो सेवा चाखलाग्दो छ, सामान्य DNS को अतिरिक्त, यसले प्रविधिहरू प्रयोग गर्ने क्षमता प्रदान गर्दछ। DNS-over-TLS и DNS-over-HTTPS, जसले प्रदायकहरूलाई अनुरोधहरूको मार्गमा तपाइँका अनुरोधहरू सुन्ने काम गर्नबाट रोक्छ - र तथ्याङ्कहरू सङ्कलन, निगरानी, विज्ञापन व्यवस्थापन। क्लाउडफ्लेयरले घोषणाको मिति (अप्रिल १, २०१८, वा अमेरिकी नोटेशनमा ०४/०१) संयोगले छनोट गरिएको छैन भनी दाबी गर्छ: वर्षको अर्को कुन दिन "चार इकाइहरू" प्रस्तुत गरिनेछ?

Habr को दर्शकहरू प्राविधिक रूपमा जानकार भएकाले, परम्परागत खण्ड "किन तपाईंलाई DNS चाहिन्छ?" म यसलाई पोस्टको अन्त्यमा राख्नेछु, तर यहाँ म अधिक व्यावहारिक रूपमा उपयोगी चीजहरू बताउनेछु:

नयाँ सेवा कसरी प्रयोग गर्ने?

सरल कुरा भनेको माथिको DNS सर्भर ठेगानाहरू तपाईंको DNS क्लाइन्टमा निर्दिष्ट गर्नु हो (वा तपाईंले प्रयोग गर्ने स्थानीय DNS सर्भरको सेटिङहरूमा अपस्ट्रिमको रूपमा)। के यो सामान्य मानहरू प्रतिस्थापन गर्न अर्थ बनाउँछ Google DNS (8.8.8.8, आदि), वा थोरै कम सामान्य Yandex सार्वजनिक DNS सर्भरहरू Cloudflare बाट सर्भरहरूमा (77.88.8.8 र तिनीहरू जस्तै अरूहरू) - तिनीहरूले तपाईंको लागि निर्णय गर्नेछन्, तर एक शुरुवातको लागि बोल्छन्। अनुसूची प्रतिक्रिया गति, जस अनुसार क्लाउडफ्लेयर सबै प्रतिस्पर्धीहरू भन्दा छिटो छ (म स्पष्ट गर्नेछु: मापन तेस्रो-पक्ष सेवा द्वारा लिइएको थियो, र एक विशिष्ट ग्राहकको गति, अवश्य पनि, फरक हुन सक्छ)।

यो नयाँ मोडहरूसँग काम गर्न धेरै रोचक छ जसमा अनुरोध एन्क्रिप्टेड जडानमा सर्भरमा उड्छ (वास्तवमा, यसको माध्यमबाट प्रतिक्रिया फर्काइन्छ), उल्लेख गरिएको DNS-over-TLS र DNS-over-HTTPS। दुर्भाग्यवश, तिनीहरू "बाकस बाहिर" समर्थित छैनन् (लेखकहरू विश्वास गर्छन् कि यो "अझै" हो), तर तपाईंको सफ्टवेयरमा (वा तपाईंको हार्डवेयरमा पनि) तिनीहरूको काम व्यवस्थित गर्न गाह्रो छैन):

HTTP माथि DNS (DoH)

नामले सुझाव दिन्छ, संचार HTTPS च्यानलमा हुन्छ, जसको अर्थ हो

अवतरण बिन्दु (अन्त बिन्दु) को उपस्थिति - यो ठेगाना मा स्थित छ https://cloudflare-dns.com/dns-queryर
एक ग्राहक जसले अनुरोधहरू पठाउन र प्रतिक्रियाहरू प्राप्त गर्न सक्छ।

अनुरोधहरू या त DNS Wireformat मा परिभाषित ढाँचामा हुन सक्छन् RFC1035 (POST र GET HTTP विधिहरू प्रयोग गरेर पठाइयो), वा JSON ढाँचामा (GET HTTP विधि प्रयोग गरेर)। मेरो लागि व्यक्तिगत रूपमा, HTTP अनुरोधहरू मार्फत DNS अनुरोधहरू गर्ने विचार अप्रत्याशित देखिन्थ्यो, तर यसमा एक तर्कसंगत अन्न छ: यस्तो अनुरोधले धेरै ट्राफिक फिल्टरिङ प्रणालीहरू पार गर्नेछ, प्रतिक्रियाहरू पार्सिङ एकदम सरल छ, र अनुरोधहरू उत्पन्न गर्न अझ सजिलो छ। सामान्य पुस्तकालयहरू र प्रोटोकलहरू सुरक्षाको लागि जिम्मेवार छन्।

उदाहरणहरू अनुरोध गर्नुहोस्, सीधा कागजातबाट:

DNS वायरफर्म्याट ढाँचामा अनुरोध प्राप्त गर्नुहोस्

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS वायरफर्म्याट ढाँचामा POST अनुरोध

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

समान तर JSON प्रयोग गर्दै

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

जाहिर छ, एक दुर्लभ (यदि कम्तिमा एक) गृह राउटरले यस तरीकाले DNS सँग काम गर्न सक्छ, तर यसको मतलब यो होइन कि समर्थन भोलि देखा पर्दैन - र, चाखलाग्दो कुरा, यहाँ हामी हाम्रो अनुप्रयोगमा DNS सँग काम गर्न पर्याप्त रूपमा कार्यान्वयन गर्न सक्छौं (पहिले नै मोजिला बनाउन जाँदैछ, केवल Cloudflare सर्भरहरूमा)।

TLS मा DNS

पूर्वनिर्धारित रूपमा, DNS प्रश्नहरू एन्क्रिप्शन बिना प्रसारित हुन्छन्। TLS मा DNS तिनीहरूलाई सुरक्षित जडानमा पठाउने तरिका हो। Cloudflare ले मानक पोर्ट 853 मा TLS मा DNS लाई तोकिए अनुसार समर्थन गर्दछ RFC7858। यसले cloudflare-dns.com होस्टको लागि जारी गरिएको प्रमाणपत्र प्रयोग गर्दछ, TLS 1.2 र TLS 1.3 समर्थित छन्।

एक जडान स्थापना र प्रोटोकल अनुसार काम यो जस्तै जान्छ:

DNS जडान स्थापना गर्नु अघि, क्लाइन्टले cloudflare-dns.com को TLS प्रमाणपत्र (SPKI भनिन्छ) को आधार64 इन्कोड गरिएको SHA256 ह्यास भण्डारण गर्छ।
DNS ग्राहकले cloudflare-dns.com:853 मा TCP जडान स्थापना गर्दछ
DNS क्लाइन्टले TLS ह्यान्डशेक सुरु गर्छ
TLS ह्यान्डशेक प्रक्रियाको क्रममा, cloudflare-dns.com होस्टले यसको TLS प्रमाणपत्र प्रस्तुत गर्दछ।
एक पटक TLS जडान स्थापित भएपछि, DNS क्लाइन्टले DNS प्रश्नहरू सुरक्षित च्यानलमा पठाउन सक्छ, जसले अनुरोधहरू र प्रतिक्रियाहरूलाई सुन्दै र नक्कली हुनबाट रोक्छ।
TLS जडानमा पठाइएका सबै DNS प्रश्नहरूले पालना गर्नुपर्छ TCP मा DNS पठाउँदै.

TLS मा DNS मार्फत अनुरोधको उदाहरण:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

यो विकल्पले स्थानीय नेटवर्क वा एकल प्रयोगकर्ताको आवश्यकताहरू पूरा गर्ने स्थानीय DNS सर्भरहरूको लागि राम्रो काम गरेको देखिन्छ। सत्य, मानक को समर्थन संग धेरै राम्रो छैन, तर - आशा गरौं!

कुराकानी के बारे मा व्याख्या को दुई शब्द

संक्षिप्त नाम DNS डोमेन नाम सेवा को लागि खडा छ (यसैले "DNS सेवा" केहि अनावश्यक छ, संक्षिप्त नाम पहिले नै "सेवा" शब्द समावेश गर्दछ), र एक साधारण कार्य समाधान गर्न प्रयोग गरिन्छ - एक विशेष होस्ट नाम के IP ठेगाना बुझ्न। प्रत्येक पटक एक व्यक्तिले लिङ्कमा क्लिक गर्दछ, वा ब्राउजरको ठेगाना पट्टीमा ठेगाना प्रविष्ट गर्दछ (भन्नुहोस्, जस्तै "https://habrahabr.ru/post/346430/"), मानव कम्प्युटरले पृष्ठको सामग्री प्राप्त गर्न अनुरोध पठाउने सर्भर पत्ता लगाउन प्रयास गरिरहेको छ। habrahabr.ru को मामला मा, DNS बाट प्रतिक्रिया वेब सर्भर IP ठेगाना को एक संकेत समावेश हुनेछ: 178.248.237.68, र त्यसपछि ब्राउजर पहिले नै निर्दिष्ट IP ठेगाना संग सर्भर सम्पर्क गर्न प्रयास गर्नेछ।

बारीमा, DNS सर्भरले "habrahabr.ru नामक होस्टको IP ठेगाना के हो?" अनुरोध प्राप्त गरेपछि, निर्दिष्ट होस्टको बारेमा केहि थाहा छ कि छैन भनेर निर्धारण गर्दछ। यदि होइन भने, यसले विश्वका अन्य DNS सर्भरहरूलाई अनुरोध गर्दछ, र, चरण-दर-चरण, सोधिएको प्रश्नको जवाफ पत्ता लगाउन प्रयास गर्दछ। नतिजाको रूपमा, अन्तिम जवाफ फेला पारेपछि, फेला परेको डाटा ग्राहकलाई पठाइन्छ अझै पनि तिनीहरूको लागि पर्खिरहेको छ, साथै यो DNS सर्भरको क्यासमा भण्डार गरिएको छ, जसले तपाईंलाई अर्को पटक धेरै छिटो उस्तै प्रश्नको जवाफ दिन अनुमति दिनेछ।

एउटा सामान्य समस्या यो हो कि, पहिले, DNS क्वेरी डेटा स्पष्ट रूपमा प्रसारित हुन्छ (जसले ट्राफिक प्रवाहमा पहुँच भएको जो कोहीलाई DNS प्रश्नहरू र उनीहरूले प्राप्त गर्ने प्रतिक्रियाहरूलाई अलग गर्ने क्षमता दिन्छ र त्यसपछि तिनीहरूलाई आफ्नै उद्देश्यका लागि पार्स गर्दछ; यसले दिन्छ। DNS क्लाइन्टको लागि सटीकताका साथ विज्ञापनहरू लक्षित गर्ने क्षमता, जुन धेरै हो!) दोस्रो, केही ISP हरू (हामी औंलाहरू देखाउँदैनौं, तर सबैभन्दा सानो होइन) एक वा अर्को अनुरोध गरिएको पृष्ठको सट्टा विज्ञापनहरू देखाउने प्रवृत्ति हुन्छ (जुन एकदम सरल रूपमा लागू गरिएको छ: habranabr.ru द्वारा क्वेरीको लागि निर्दिष्ट IP ठेगानाको सट्टा। होस्ट नाम, एक अनियमित व्यक्ति यसरी, प्रदायकको वेब सर्भरको ठेगाना फर्काइन्छ, जहाँ विज्ञापन समावेश पृष्ठ सेवा गरिन्छ)। तेस्रो, त्यहाँ इन्टरनेट पहुँच प्रदायकहरू छन् जसले ब्लक गरिएका वेब स्रोतहरूको IP ठेगानाहरूको बारेमा सही DNS प्रतिक्रियाहरू प्रतिस्थापन गरेर तिनीहरूको सर्भरको IP ठेगानाले स्टब पृष्ठहरू समावेश गरेर व्यक्तिगत साइटहरू ब्लक गर्ने आवश्यकताहरू पूरा गर्ने संयन्त्र लागू गर्दछ (परिणामस्वरूप, पहुँच। त्यस्ता साइटहरू उल्लेखनीय रूपमा अधिक जटिल), वा फिल्टरिङ प्रदर्शन गर्ने तपाईंको प्रोक्सी सर्भरको ठेगानामा।

यो सायद साइटबाट एक तस्वीर हुनुपर्छ। http://1.1.1.1/, सेवामा जडान वर्णन गर्न प्रयोग गरियो। लेखकहरू उनीहरूको DNS को गुणस्तरमा धेरै विश्वस्त देखिन्छन् (यद्यपि, क्लाउडफ्लेयरबाट अरू केहि आशा गर्न गाह्रो छ):

एकले क्लाउडफ्लेयर, सेवाको सिर्जनाकर्तालाई पूर्ण रूपमा बुझ्न सक्छ: तिनीहरूले संसारको सबैभन्दा लोकप्रिय CDN नेटवर्कहरू (जसका कार्यहरूमा सामग्री वितरण मात्र होइन, तर DNS जोनहरू होस्ट गर्ने पनि समावेश गर्दछ) को रखरखाव र विकास गरेर आफ्नो रोटी कमाउँछन्, र, कारण। तिनीहरुको चाहना, जो राम्रोसँग जान्दैनन्, तिनीहरूलाई सिकाउनुहोस् जसलाई थाहा छैन, त्यसलाई कहाँ जाने विश्वव्यापी सञ्जालमा, प्रायः तिनीहरूको सर्भरहरूको ठेगानाहरू ब्लक गर्नबाट पीडित हुन्छन् को हो भनौं न - त्यसैले कम्पनीको लागि "हाउ, सिट्टी र स्क्रिबल" द्वारा प्रभावित नहुने DNS हुनु भनेको उनीहरूको व्यवसायलाई कम हानि गर्नु हो। र प्राविधिक फाइदाहरू (एक सानो, तर राम्रो: विशेष गरी, नि: शुल्क DNS क्लाउडफ्लेयरका ग्राहकहरूका लागि, कम्पनीको DNS सर्भरहरूमा होस्ट गरिएका स्रोतहरूको DNS रेकर्डहरू अद्यावधिक गर्न तत्काल हुनेछ) पोस्टमा वर्णन गरिएको सेवा प्रयोग गरेर अझ रोचक बनाउँदछ।

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाइँ नयाँ सेवा प्रयोग गर्नुहुन्छ?

हो, यसलाई ओएस र / वा राउटरमा मात्र निर्दिष्ट गरेर
हो, र म नयाँ प्रोटोकलहरू प्रयोग गर्नेछु (HTTP मा DNS र TLS मा DNS)
होइन, मसँग पर्याप्त वर्तमान सर्भरहरू छन् (यो सार्वजनिक प्रदायक हो: गुगल, यान्डेक्स, आदि)
होइन, म अहिले के प्रयोग गरिरहेको छु थाहा छैन
म मेरो पुनरावर्ती DNS को SSL टनेलको साथ प्रयोग गर्दछु

693 प्रयोगकर्ताहरूले मतदान गरे। १ प्रयोगकर्ता रोकिए।

स्रोत: www.habr.com

हामी क्लाउडफ्लेयर बाट सेवा 1.1.1.1 र 1.0.0.1 मा भेट्छौं, वा "सार्वजनिक DNS शेल्फ आइपुग्यो!"

नयाँ सेवा कसरी प्रयोग गर्ने?

HTTP माथि DNS (DoH)

TLS मा DNS

कुराकानी के बारे मा व्याख्या को दुई शब्द

के तपाइँ नयाँ सेवा प्रयोग गर्नुहुन्छ?

एक टिप्पणी थप्न Отменить ответ