ProHoster > بلاګ > اداره > موږ د Cloudflare څخه خدمت په 1.1.1.1 او 1.0.0.1 ادرسونو کې ګورو، یا "د عامه DNS شیلف رارسیدلی!"

موږ د Cloudflare څخه خدمت په 1.1.1.1 او 1.0.0.1 ادرسونو کې ګورو، یا "د عامه DNS شیلف رارسیدلی!"

موږ د Cloudflare څخه خدمت په 1.1.1.1 او 1.0.0.1 ادرسونو کې ګورو، یا "د عامه DNS شیلف رارسیدلی!"

Cloudflare شرکت وړاندې په پته کې عامه DNS:

  • 1.1.1.1
  • 1.0.0.1
  • 2606: 4700: 4700 1111 ::
  • 2606: 4700: 4700 1001 ::

پالیسي ته "لومړی محرمیت" ویل کیږي ترڅو کاروونکي وکولی شي د دوی د غوښتنو مینځپانګې په اړه ذهن ارامه کړي.

خدمت پدې کې په زړه پوري دی ، د معمول DNS سربیره ، دا د ټیکنالوژیو کارولو وړتیا چمتو کوي DNS-اوور-TLS и DNS-over-HTTPS، کوم چې به د وړاندیز کونکو څخه د غوښتنې په لاره کې ستاسو د غوښتنو د اوریدو مخه ونیسي - او احصایې راټول کړي ، نظارت وکړي ، اعلانات اداره کړي. Cloudflare ادعا کوي چې د اعلان نیټه (اپریل 1، 2018، یا 04/01 په امریکایی نوټیشن کې) د تصادف له مخې نه وه ټاکل شوې: د کال بله کومه ورځ به "څلور واحدونه" وړاندې شي؟

څرنګه چې د حبر لیدونکي په تخنیکي توګه پوه دي، دودیز برخه "ولې تاسو DNS ته اړتیا لرئ؟" زه به دا د پوسټ په پای کې وسپارم، مګر دلته به زه ډیر عملي ګټور شیان بیان کړم:

د نوي خدمت کارولو څرنګوالی؟

ترټولو ساده شی دا دی چې ستاسو د DNS مراجعینو کې د پورته DNS سرور پتې مشخص کړئ (یا د محلي DNS سرور په ترتیباتو کې چې تاسو یې کاروئ). ایا دا د معمول ارزښتونو ځای په ځای کول معنی لري ګوګل DNS (8.8.8.8، او نور)، یا یو څه لږ عام د Yandex عامه DNS سرورونه (77.88.8.8 او د دوی په څیر نور) د Cloudflare څخه سرورونو ته - دوی به ستاسو لپاره پریکړه وکړي، مګر د پیل کونکي لپاره خبرې کوي مهالویش د غبرګون سرعت، د دې له مخې Cloudflare د ټولو سیالیو په پرتله ګړندی دی (زه به روښانه کړم: اندازه کول د دریمې ډلې خدمت لخوا اخیستل شوي، او د ځانګړي پیرودونکي سرعت، البته، ممکن توپیر ولري).

موږ د Cloudflare څخه خدمت په 1.1.1.1 او 1.0.0.1 ادرسونو کې ګورو، یا "د عامه DNS شیلف رارسیدلی!"

دا خورا په زړه پوري ده چې د نوي حالتونو سره کار وکړئ په کوم کې چې غوښتنه د کوډ شوي پیوستون له لارې سرور ته الوتنه کوي (په حقیقت کې ځواب د دې له لارې بیرته راستون کیږي) ، ذکر شوي DNS-over-TLS او DNS-over-HTTPS. له بده مرغه، دوی د "بکس څخه بهر" نه ملاتړ کیږي (لیکوال پدې باور دي چې دا "تر اوسه" دی)، مګر دا ستونزمنه نه ده چې خپل کار ستاسو په سافټویر کې تنظیم کړئ (یا حتی ستاسو په هارډویر کې):

DNS په HTTPs (DoH)

لکه څنګه چې نوم وړاندیز کوي، اړیکه د HTTPS چینل کې ترسره کیږي، چې پدې معنی ده

  1. د لینډینګ پوائنټ شتون (د پای ټکی) - دا په پته کې موقعیت لري https://cloudflare-dns.com/dns-queryاو
  2. یو پیرودونکی چې کولی شي غوښتنې واستوي او ځوابونه ترلاسه کړي.

غوښتنې یا هم د DNS وائر فارمیټ فارمیټ کې ټاکل کیدی شي RFC1035 (د POST او GET HTTP میتودونو په کارولو سره لیږل شوی)، یا د JSON بڼه کې (د GET HTTP میتود په کارولو سره). زما لپاره په شخصي توګه، د HTTP غوښتنو له لارې د DNS غوښتنو کولو نظر غیر متوقع ښکاري، مګر په دې کې یو منطقي غله شتون لري: دا ډول غوښتنه به ډیری ټرافيکي فلټرینګ سیسټمونه تیر کړي، د ځوابونو تحلیل خورا ساده دی، او د غوښتنو تولید کول خورا اسانه دي. معمول کتابتونونه او پروتوکولونه د امنیت مسولیت لري.

د مثالونو غوښتنه وکړئ، مستقیم د اسنادو څخه:

د DNS Wireformat بڼه کې د GET غوښتنه

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

د DNS وائر فارمیټ فارمیټ کې د پوسټ غوښتنه

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

ورته مګر د JSON په کارولو سره

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

په ښکاره ډول ، یو نادر (که لږترلږه یو) د کور روټر کولی شي پدې ډول د DNS سره کار وکړي ، مګر دا پدې معنی ندي چې ملاتړ به سبا نه څرګندیږي - او په زړه پورې خبره دا ده چې دلته موږ کولی شو زموږ په غوښتنلیک کې د DNS سره کار کول خورا پلي کړو (لکه څنګه چې دمخه موزیلا جوړوي، یوازې په Cloudflare سرورونو کې).

په TLS کې DNS

د ډیفالټ په واسطه، د DNS پوښتنې پرته له کوډ کولو لیږدول کیږي. DNS په TLS کې د خوندي پیوستون له لارې د لیږلو یوه لاره ده. Cloudflare په معیاري بندر 853 کې د TLS په اړه د DNS ملاتړ کوي لکه څنګه چې وړاندیز شوي RFC7858. دا د cloudflare-dns.com کوربه لپاره صادر شوی سند کاروي، TLS 1.2 او TLS 1.3 ملاتړ کیږي.

د اتصال رامینځته کول او د پروتوکول سره سم کار کول یو څه داسې کیږي:

  • د DNS اتصال رامینځته کولو دمخه ، پیرودونکي د cloudflare-dns.com د TLS سند (د SPKI په نوم یادیږي) د بیس64 کوډ شوی SHA256 هش ذخیره کوي.
  • د DNS مراجع د کلاوډ فلایر-dns.com:853 سره د TCP پیوستون رامینځته کوي
  • د DNS پیرودونکي د TLS لاسونه پیلوي
  • د TLS لاسوند پروسې په جریان کې ، د cloudflare-dns.com کوربه خپل TLS سند وړاندې کوي.
  • یوځل چې د TLS اتصال رامینځته شي ، د DNS پیرودونکی کولی شي د DNS غوښتنې په خوندي چینل کې واستوي ، کوم چې غوښتنې او ځوابونه د اوریدلو او سپکولو مخه نیسي.
  • د DNS ټولې پوښتنې چې د TLS اتصال له لارې لیږل شوي باید د دې سره مطابقت ولري د TCP له لارې د DNS لیږل.

د TLS په اړه د DNS له لارې د غوښتنې یوه بیلګه:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

دا اختیار داسې ښکاري چې د محلي DNS سرورونو لپاره غوره کار کوي چې د محلي شبکې یا یو واحد کاروونکي اړتیاوې پوره کوي. ریښتیا، د معیاري ملاتړ سره خورا ښه نه دی، مګر - راځئ چې هیله وکړو!

د خبرو اترو په اړه د وضاحت دوه کلمې

د DNS لنډیز د ډومین نوم خدمت لپاره ولاړ دی (نو د "DNS خدمت" ویل یو څه بې ځایه دي، لنډیز دمخه د "خدمت" کلمه لري)، او د یو ساده کار حل کولو لپاره کارول کیږي - د دې پوهیدلو لپاره چې IP پته کوم ځانګړي کوربه نوم لري. هرکله چې یو څوک په لینک کلیک کوي، یا د براوزر په پته بار کې پته ننوځي (ووایه، یو څه لکه "https://habrahabr.ru/post/346430/")، د انسان کمپیوټر هڅه کوي چې معلومه کړي چې کوم سرور د پاڼې مینځپانګې ترلاسه کولو لپاره غوښتنه واستوي. د habrahabr.ru په قضیه کې، د DNS ځواب به د ویب سرور IP پتې یوه نښه ولري: 178.248.237.68، او بیا براوزر به دمخه هڅه وکړي چې د ټاکل شوي IP پتې سره سرور سره اړیکه ونیسي.

په بدل کې، د DNS سرور، د غوښتنې ترلاسه کولو سره چې "د habrahabr.ru په نوم د کوربه IP پته څه ده؟"، دا معلومه کوي چې ایا دا د ټاکل شوي کوربه په اړه څه پوهیږي. که نه، دا په نړۍ کې نورو DNS سرورونو ته غوښتنه کوي، او ګام په ګام، د پوښتنې ځواب موندلو هڅه کوي. د پایلې په توګه، د وروستي ځواب په موندلو سره، موندل شوي ډاټا پیرودونکي ته لیږل کیږي چې لاهم د دوی په تمه دي، او دا پخپله د DNS سرور په زیرمه کې ساتل کیږي، کوم چې تاسو ته اجازه درکوي چې بل ځل ورته ورته پوښتنې ته ډیر ګړندی ځواب ووایی.

یوه عامه ستونزه دا ده چې لومړی، د DNS پوښتنو ډاټا په روښانه ډول لیږدول کیږي (کوم چې د ټرافیک جریان ته د لاسرسي وړ هر چا ته د دې وړتیا ورکوي چې د DNS پوښتنې جلا کړي او هغه ځوابونه چې دوی یې ترلاسه کوي او بیا یې د خپلو موخو لپاره تجزیه کوي؛ دا ورکوي د DNS پیرودونکي لپاره دقت سره د اعلاناتو په نښه کولو وړتیا، کوم چې خورا ډیر دی!). دوهم، ځینې ISPs (موږ به ګوتې په ګوته نه کړو، مګر کوچني نه) د یوې یا بلې غوښتل شوي پاڼې پر ځای اعلانونه ښکاره کوي (کوم چې په ساده ډول پلي کیږي: د habranabr.ru لخوا د پوښتنې لپاره د ټاکل شوي IP پتې پرځای د کوربه نوم، یو تصادفي شخص په دې توګه، د چمتو کونکي ویب سرور پته بیرته راستانه کیږي، چیرته چې هغه پاڼه چې اعلان پکې وي خدمت کیږي). دریم، د انټرنیټ لاسرسي چمتو کونکي شتون لري چې د انفرادي سایټونو بلاک کولو اړتیاو پوره کولو لپاره میکانیزم پلي کوي د بلاک شوي ویب سرچینو IP پتې په اړه د سم DNS ځوابونو ځای په ځای کولو سره د دوی سرور IP پتې سره چې سټب پاڼې لري (د پایلې په توګه ، لاسرسي دا ډول سایټونه د پام وړ ډیر پیچلي دي) یا ستاسو د پراکسي سرور پته ته چې فلټر کول ترسره کوي.

دا باید د سایټ څخه یو انځور وي. http://1.1.1.1/، د خدمت سره د تړاو تشریح کولو لپاره کارول کیږي. داسې ښکاري چې لیکوالان د دوی د DNS کیفیت کې خورا باوري دي (په هرصورت، د کلاوډ فلیر څخه د بل څه تمه کول سخت دي):

موږ د Cloudflare څخه خدمت په 1.1.1.1 او 1.0.0.1 ادرسونو کې ګورو، یا "د عامه DNS شیلف رارسیدلی!"

یو څوک کولی شي په بشپړ ډول د Cloudflare په اړه پوه شي، د خدمت جوړونکی: دوی په نړۍ کې د یوې خورا مشهور CDN شبکې ساتلو او پراختیا له لارې خپله ډوډۍ ګټي (کوم چې دندې پکې نه یوازې د مینځپانګې توزیع کول ، بلکه د DNS زونونو کوربه کول هم شامل دي) ، او له امله. د هغو هیله، څوک چې ښه نه وي، هغوی ته درس ورکړئ څوک چې نه پوهیږي، دې ته چیرته لاړ شی په نړیواله شبکه کې، ډیری وختونه د دوی د سرورونو پته بندولو سره مخ کیږي راځئ چې ووایو څوک - نو د DNS درلودل چې د شرکت لپاره د "چیغې، ویستې او سکریبل" لخوا نه اغیزمن کیږي د دوی سوداګرۍ ته لږ زیان رسوي. او تخنیکي ګټې (یوه وړه ، مګر ښه: په ځانګړي توګه د وړیا DNS کلاوډ فلیر پیرودونکو لپاره ، د شرکت DNS سرورونو کې کوربه شوي سرچینو DNS ریکارډونو تازه کول به سمدستي وي) په پوسټ کې بیان شوي خدمت کارول نور هم په زړه پوري کوي.

یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. ننوزئمهرباني وکړئ

ایا تاسو به نوی خدمت وکاروئ؟

  • هو، په ساده ډول دا په OS او / یا په روټر کې مشخص کولو سره

  • هو، او زه به نوي پروتوکولونه وکاروم (DNS په HTTPs او DNS په TLS)

  • نه، زه کافي اوسني سرورونه لرم (دا یو عامه برابرونکی دی: ګوګل، یانډیکس، او نور)

  • نه، زه حتی نه پوهیږم چې زه اوس څه کاروم

  • زه خپل تکراري DNS دوی ته د SSL تونل سره کاروم

693 کاروونکو رایه ورکړه. 191 کارن پاتې شو.

سرچینه: www.habr.com

Add a comment