ProHoster > බ්ලොග් > පරිපාලනය > අපි Cloudflare වෙතින් සේවාව 1.1.1.1 සහ 1.0.0.1 ලිපිනයන් හෝ "පොදු DNS රාක්කය පැමිණ ඇත!"

අපි Cloudflare වෙතින් සේවාව 1.1.1.1 සහ 1.0.0.1 ලිපිනයන් හෝ "පොදු DNS රාක්කය පැමිණ ඇත!"

අපි Cloudflare වෙතින් සේවාව 1.1.1.1 සහ 1.0.0.1 ලිපිනයන් හෝ "පොදු DNS රාක්කය පැමිණ ඇත!"

Cloudflare සමාගම ඉදිරිපත් කරන ලදී ලිපිනයන්හි පොදු DNS:

  • 1.1.1.1
  • 1.0.0.1
  • 2606: 4700: 4700 1111 ::
  • 2606: 4700: 4700 1001 ::

පරිශීලකයින්ට ඔවුන්ගේ ඉල්ලීම්වල අන්තර්ගතය පිළිබඳව සහතික විය හැකි වන පරිදි, "පළමු පෞද්ගලිකත්වය" ප්‍රතිපත්තියක් භාවිතා කරන බව කියා සිටී.

සුපුරුදු DNS වලට අමතරව, එය තාක්ෂණයන් භාවිතා කිරීමට අවස්ථාව ලබා දෙන නිසා සේවාව සිත්ගන්නා සුළුය DNS-over-TLS и DNS-over-HTTPS, ඉල්ලීම් මාර්ගය ඔස්සේ ඔබේ ඉල්ලීම්වලට සවන් දීමෙන් සපයන්නන් බොහෝ සෙයින් වළක්වනු ඇත - සහ සංඛ්‍යාලේඛන එකතු කිරීම, අධීක්ෂණය සහ වෙළඳ ප්‍රචාරණය කළමනාකරණය කිරීම. Cloudflare ප්‍රකාශ කරන්නේ නිවේදන දිනය (අප්‍රේල් 1, 2018, හෝ 04/01 ඇමරිකානු අංකනය) අහම්බෙන් තෝරා නොගත් බවයි: වසරේ “ඒකක හතරක්” ඉදිරිපත් කරන්නේ කුමන දිනයේද?

හබ්ර්ගේ ප්‍රේක්ෂකයින් තාක්‍ෂණිකව බුද්ධිමත් බැවින්, සාම්ප්‍රදායික අංශය “අපට DNS අවශ්‍ය වන්නේ ඇයි?” මම එය ලිපියේ අවසානයේ තබමි, මෙහි මම වඩාත් ප්‍රායෝගිකව ප්‍රයෝජනවත් දේවල් ගෙනහැර දක්වමි:

නව සේවාව භාවිතා කරන්නේ කෙසේද?

සරලම දෙය නම් ඉහත DNS සේවාදායක ලිපින ඔබේ DNS සේවාලාභියා තුළ සඳහන් කිරීමයි (හෝ ඔබ භාවිතා කරන ප්‍රාදේශීය DNS සේවාදායකයේ සිටුවම්වල උඩුගත කිරීමක් ලෙස). සුපුරුදු අගයන් ආදේශ කිරීම අර්ථවත්ද? Google DNS (8.8.8.8, ආදිය), හෝ තරමක් අඩු පොදු Yandex පොදු DNS සේවාදායකයන් (77.88.8.8 සහ ඔවුන් වැනි වෙනත් අය) Cloudflare වෙතින් සේවාදායකයන් වෙත - ඔවුන් ඔබ වෙනුවෙන් තීරණය කරනු ඇත, නමුත් එය ආරම්භකයකු සඳහා කතා කරයි කාලසටහන ප්‍රතිචාරවල වේගය, ඒ අනුව Cloudflare සියලුම තරඟකරුවන්ට වඩා වේගයෙන් ක්‍රියා කරයි (මට පැහැදිලි කිරීමට ඉඩ දෙන්න: මිනුම් තෙවන පාර්ශවීය සේවාවක් මගින් සිදු කරන ලද අතර නිශ්චිත සේවාදායකයෙකුගේ වේගය වෙනස් විය හැකිය).

අපි Cloudflare වෙතින් සේවාව 1.1.1.1 සහ 1.0.0.1 ලිපිනයන් හෝ "පොදු DNS රාක්කය පැමිණ ඇත!"

සංකේතාත්මක සම්බන්ධතාවයක් හරහා ඉල්ලීම සේවාදායකය වෙත පියාසර කරන නව මාතයන් සමඟ වැඩ කිරීම වඩාත් සිත්ගන්නා සුළුය (ඇත්ත වශයෙන්ම, ප්‍රතිචාරය එය හරහා යවනු ලැබේ), සඳහන් කළ DNS-over-TLS සහ DNS-over-HTTPS. අවාසනාවකට, ඔවුන්ට කොටුවෙන් පිටත සහාය නොදක්වයි (මෙය “තවමත්” යැයි කතුවරුන් විශ්වාස කරයි), නමුත් ඔබේ මෘදුකාංගයේ (හෝ ඔබේ දෘඩාංගයේ පවා) ඔවුන්ගේ වැඩ සංවිධානය කිරීම අපහසු නැත:

HTTPs (DoH) හරහා DNS

නමට අනුව, සන්නිවේදනය HTTPS නාලිකාවක් හරහා සිදු වේ, එයින් ගම්‍ය වේ

  1. ගොඩබෑමේ ස්ථානයක් තිබීම (අවසාන ලක්ෂ්‍යය) - එය පිහිටා ඇත https://cloudflare-dns.com/dns-queryහා
  2. ඉල්ලීම් යැවීමට සහ ප්‍රතිචාර ලබා ගත හැකි සේවාදායකයෙක්.

ඉල්ලීම් අර්ථ දක්වා ඇති DNS Wireformat හි විය හැක ආර්එෆ්සී 1035 (POST සහ GET HTTP ක්‍රම භාවිතයෙන් යවනු ලැබේ), හෝ JSON ආකෘතියෙන් (GET HTTP ක්‍රමය භාවිතයෙන්). මට පුද්ගලිකව, HTTP ඉල්ලීම් හරහා DNS විමසුම් කිරීමේ අදහස අනපේක්ෂිත බවක් පෙනෙන්නට තිබුණි, නමුත් එහි තාර්කික ධාන්ය ඇත: එවැනි ඉල්ලීමක් බොහෝ රථවාහන පෙරහන් පද්ධති සමත් වනු ඇත, ප්‍රතිචාර විග්‍රහ කිරීම තරමක් සරල වන අතර ඉල්ලීම් උත්පාදනය කිරීම ඊටත් වඩා සරල ය. හුරුපුරුදු පුස්තකාල සහ ප්‍රොටෝකෝල ආරක්ෂාව සඳහා වගකිව යුතුය.

උදාහරණ විමසුම්, ලේඛනයෙන් කෙළින්ම:

DNS Wireformat ආකෘතියෙන් ඉල්ලීම ලබා ගන්න

$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*

* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

DNS Wireformat හි POST ඉල්ලීම

$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump

{ [49 bytes data]
100    49  100    49    0     0    493      0 --:--:-- --:--:-- --:--:--   494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031

එකම, නමුත් JSON භාවිතා කරයි

$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": true,
  "CD": false,
  "Question": [
    {
      "name": "example.com.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "example.com.",
      "type": 1,
      "TTL": 1069,
      "data": "93.184.216.34"
    }
  ]
}

නිසැකවම, ගෘහ රවුටර කිහිපයකට (ඇත්නම්) මෙවැනි DNS සමඟ ක්‍රියා කළ හැකිය, නමුත් මෙයින් අදහස් කරන්නේ සහාය හෙට නොපෙන්වන බව නොවේ - සහ, සිත්ගන්නා කරුණ නම්, මෙහිදී අපට අපගේ යෙදුමේ DNS සමඟ වැඩ පහසුවෙන් ක්‍රියාත්මක කළ හැකිය (දැනටමත් මෙන්) Mozilla හදන්න යනවා, Cloudflare සේවාදායකයන් මත පමණි).

TLS හරහා DNS

පෙරනිමියෙන්, DNS විමසුම් සංකේතනයකින් තොරව යවනු ලැබේ. DNS හරහා TLS යනු ඒවා ආරක්ෂිත සම්බන්ධතාවයක් හරහා යැවීමට මාර්ගයකි. Cloudflare නියමිත පරිදි සම්මත port 853 මත TLS හරහා DNS සඳහා සහය දක්වයි ආර්එෆ්සී 7858. මෙය සත්කාරක cloudflare-dns.com සඳහා නිකුත් කරන ලද සහතිකයක් භාවිතා කරයි, TLS 1.2 සහ TLS 1.3 සහාය දක්වයි.

සම්බන්ධතාවයක් ස්ථාපනය කිරීම සහ ප්‍රොටෝකෝලය සමඟ වැඩ කිරීම මේ වගේ දෙයක් සිදු වේ:

  • DNS වෙත සම්බන්ධතාවයක් ඇති කර ගැනීමට පෙර, සේවාදායකයා cloudflare-dns.com හි TLS සහතිකයේ (SPKI ලෙස හඳුන්වන) base64 කේතනය කළ SHA256 හැෂ් ගබඩා කරයි.
  • DNS සේවාදායකයා cloudflare-dns.com:853 වෙත TCP සම්බන්ධතාවයක් ස්ථාපිත කරයි
  • DNS සේවාලාභියා TLS අතට අත දීමේ ක්‍රියාවලිය ආරම්භ කරයි
  • TLS අතට අත දීම අතරතුර, cloudflare-dns.com සත්කාරක සමාගම එහි TLS සහතිකය ඉදිරිපත් කරයි.
  • TLS සම්බන්ධතාවය ස්ථාපිත වූ පසු, DNS සේවාලාභියාට ආරක්ෂිත නාලිකාවක් හරහා DNS විමසුම් යැවිය හැක, එය හොර රහසේ සවන්දීම සහ ඉල්ලීම් සහ ප්‍රතිචාර ව්‍යාජ ලෙස යැවීම වළක්වයි.
  • TLS සම්බන්ධතාවයක් හරහා යවන සියලුම DNS ඉල්ලීම් අනුව පිරිවිතරයන්ට අනුකූල විය යුතුය TCP හරහා DNS යැවීම.

TLS හරහා DNS හරහා ඉල්ලීමක උදාහරණය:

$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com  example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG:  #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG:      SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG:  #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG:      SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1

;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B

;; QUESTION SECTION:
;; example.com.             IN  A

;; ANSWER SECTION:
example.com.            2347    IN  A   93.184.216.34

;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms

මෙම විකල්පය දේශීය ජාලයක හෝ තනි පරිශීලකයෙකුගේ අවශ්‍යතා ඉටු කරන දේශීය DNS සේවාදායකයන් සඳහා වඩාත් සුදුසු බව පෙනේ. ඇත්ත, ප්‍රමිතිය සඳහා සහය එතරම් හොඳ නැත, නමුත් අපි බලාපොරොත්තු වෙමු!

අපි කතා කරන දේ පැහැදිලි කිරීමේ වචන දෙකක්

DNS යන කෙටි යෙදුම වසම් නාම සේවාව (එබැවින් "DNS සේවාව" යනුවෙන් පැවසීම තරමක් අනවශ්‍ය ය; කෙටි යෙදුමේ දැනටමත් "සේවා" යන වචනය අඩංගු වේ), සහ සරල කාර්යයක් විසඳීමට - නිශ්චිත සත්කාරක නාමයක් ඇති IP ලිපිනය තේරුම් ගැනීමට භාවිතා කරයි. පුද්ගලයෙකු සබැඳියක් ක්ලික් කරන විට හෝ බ්‍රවුසරයේ ලිපින තීරුවට ලිපිනයක් ඇතුළු කරන සෑම අවස්ථාවකම (කියන්න, " වැනි දෙයක්https://habrahabr.ru/post/346430/"), පුද්ගලයෙකුගේ පරිගණකය පිටුවක අන්තර්ගතය ලබා ගැනීම සඳහා ඉල්ලීමක් යැවිය යුතු සේවාදායකය සොයා ගැනීමට උත්සාහ කරයි. habrahabr.ru වලදී, DNS වෙතින් ලැබෙන ප්‍රතිචාරයේ වෙබ් සේවාදායකයේ IP ලිපිනය පිළිබඳ ඇඟවීමක් අඩංගු වේ: 178.248.237.68, පසුව බ්‍රව්සරය නිශ්චිත IP ලිපිනය සමඟ සේවාදායකය සම්බන්ධ කර ගැනීමට උත්සාහ කරයි.

අනෙක් අතට, DNS සේවාදායකය, “habrahabr.ru නම් ධාරකයේ IP ලිපිනය කුමක්ද?” යන ඉල්ලීම ලැබුණු පසු, එය නිශ්චිත ධාරකය ගැන යමක් දන්නේ දැයි තීරණය කරයි. එසේ නොවේ නම්, එය ලෝකයේ අනෙකුත් DNS සේවාදායකයන් වෙත විමසීමක් කරන අතර, පියවරෙන් පියවර, අසන ලද ප්රශ්නයට පිළිතුර සොයා ගැනීමට උත්සාහ කරයි. එහි ප්‍රතිඵලයක් වශයෙන්, අවසාන පිළිතුර සොයා ගැනීමෙන් පසු, සොයාගත් දත්ත තවමත් රැඳී සිටින සේවාදායකයා වෙත යවනු ලබන අතර, එය DNS සේවාදායකයේම හැඹිලියේ ගබඩා කර ඇත, එමඟින් ඊළඟ වතාවේ සමාන ප්‍රශ්නයකට වඩා වේගයෙන් පිළිතුරු දීමට ඔබට ඉඩ සලසයි.

පොදු ගැටළුවක් නම්, පළමුව, DNS විමසුම් දත්ත පැහැදිලි ලෙස යවනු ලැබේ (එමගින් ගමනාගමන ප්‍රවාහයට ප්‍රවේශය ඇති ඕනෑම කෙනෙකුට DNS විමසුම් සහ ප්‍රතිඵල ප්‍රතිචාර හුදකලා කිරීමට ඉඩ සලසයි, පසුව ඒවා ඔවුන්ගේම අරමුණු සඳහා විග්‍රහ කිරීමට; මෙය හැකියාවට ඉඩ සලසයි. DNS සේවාලාභියා සඳහා නිරවද්‍යව ප්‍රචාරණය ඉලක්ක කර ගැනීමට, මෙය බොහෝ දේ වේ!). දෙවනුව, සමහර අන්තර්ජාල සපයන්නන් (අපි ඇඟිල්ල දිගු නොකරමු, නමුත් කුඩාම ඒවා නොවේ) ඉල්ලූ පිටුවක් වෙනුවට වෙළඳ දැන්වීම් පෙන්වීමට නැඹුරු වේ (එය ඉතා සරලව ක්‍රියාත්මක වේ: සත්කාරක නාමය සඳහා ඉල්ලීමක් සඳහා නිශ්චිත IP ලිපිනය වෙනුවට. habranabr.ru අහඹු පුද්ගලයෙකුට මේ ආකාරයෙන්, සැපයුම්කරුගේ වෙබ් සේවාදායකයේ ලිපිනය ආපසු ලබා දෙනු ලැබේ, එහිදී වෙළඳ දැන්වීම අඩංගු පිටුව සේවය කරනු ලැබේ). තෙවනුව, අවහිර කරන ලද වෙබ් සම්පත් වල IP ලිපින පිළිබඳ නිවැරදි DNS ප්‍රතිචාර වෙනුවට ඔවුන්ගේ stub පිටු අඩංගු සේවාදායකයේ IP ලිපිනය (ප්‍රතිඵලයක් වශයෙන්, ප්‍රවේශය එවැනි අඩවි සැලකිය යුතු ලෙස වඩාත් සංකීර්ණ වේ), හෝ පෙරීම සිදු කරන ඔබේ ප්‍රොක්සි සේවාදායකයේ ලිපිනයට.

ඔබ බොහෝ විට වෙබ් අඩවියෙන් පින්තූරයක් මෙහි තැබිය යුතුය http://1.1.1.1/, සේවාවට සම්බන්ධය විස්තර කිරීමට සේවය කරයි. කතුවරුන්, පෙනෙන විදිහට, ඔවුන්ගේ DNS වල ගුණාත්මක භාවය ගැන සම්පූර්ණයෙන්ම විශ්වාසයි (කෙසේ වෙතත්, Cloudflare වලට වඩා වෙනස් දෙයක් බලාපොරොත්තු වීම අපහසුය):

අපි Cloudflare වෙතින් සේවාව 1.1.1.1 සහ 1.0.0.1 ලිපිනයන් හෝ "පොදු DNS රාක්කය පැමිණ ඇත!"

සේවාවේ නිර්මාතෘ වන ක්ලවුඩ්ෆ්ලෙයාර් සම්පූර්ණයෙන්ම තේරුම් ගත හැකිය: ඔවුන් ලොව ජනප්‍රියම CDN ජාලයකට සහය දැක්වීමෙන් සහ සංවර්ධනය කිරීමෙන් (අන්තර්ගත බෙදා හැරීම පමණක් නොව, DNS කලාප සත්කාරකත්වය ද ඇතුළත් වේ), සහ, ඒ අයගේ ආශාව නිසා, වැඩිය දන්නේ නැති කෙනෙක්, ඒවා උගන්වන්න ඔවුන් දන්නේ නැහැ, ඒකට කොහෙද යන්න ගෝලීය ජාලයේ, බොහෝ විට එහි සේවාදායක ලිපින අවහිර කිරීමෙන් පීඩා විඳිති අපි කියන්නේ නැහැ කවුද කියලා - එබැවින් "කෑගැසීම්, විස්ල් සහ ලිවීම්" වලින් බලපෑමට ලක් නොවන DNS එකක් තිබීම යනු සමාගමක් සඳහා ඔවුන්ගේ ව්‍යාපාරයට අඩු හානියක් වේ. තවද තාක්ෂණික වාසි (කුඩා දෙයක්, නමුත් හොඳයි: විශේෂයෙන්, නොමිලේ DNS Cloudflare සේවාදායකයින් සඳහා, සමාගමේ DNS සේවාදායකයන්හි සත්කාරකත්වය දරන සම්පත් වල DNS වාර්තා යාවත්කාලීන කිරීම ක්ෂණික වනු ඇත) පෝස්ට් එකේ විස්තර කර ඇති සේවාව භාවිතා කිරීම වඩාත් සිත්ගන්නා සුළු කරයි. .

සමීක්ෂණයට සහභාගී විය හැක්කේ ලියාපදිංචි පරිශීලකයින්ට පමණි. පුරන්නකරුණාකර.

ඔබ නව සේවාව භාවිතා කරන්නේද?

  • ඔව්, එය OS සහ/හෝ රවුටරයේ සඳහන් කිරීමෙන් පමණි

  • ඔව්, සහ මම නව ප්‍රොටෝකෝල භාවිතා කරමි (HTTPs හරහා DNS සහ TLS හරහා DNS)

  • නැත, මට ප්‍රමාණවත් වත්මන් සේවාදායකයන් ඇත (මෙය පොදු සැපයුම්කරුවෙකි: Google, Yandex, ආදිය)

  • නැහැ, මම දැන් භාවිතා කරන්නේ කුමක්දැයි මම නොදනිමි

  • මම ඔවුන්ට පෙර SSL උමගක් සමඟ මගේම පුනරාවර්තන DNS භාවිතා කරමි

පරිශීලකයින් 693 දෙනෙක් ඡන්දය දුන්හ. 191 පරිශීලකයෙක් වැළකී සිටියේය.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න