Cloudflare நிறுவனம் முகவரிகளில் பொது DNS:
- 1.1.1.1
- 1.0.0.1
- 2606: 4700: 4700 1111 ::
- 2606: 4700: 4700 1001 ::
கொள்கையானது "தனியுரிமை முதலில்" எனக் கூறப்படுகிறது, இதனால் பயனர்கள் தங்கள் கோரிக்கைகளின் உள்ளடக்கத்தைப் பற்றி நிம்மதியாக இருக்க முடியும்.
இந்த சேவை சுவாரஸ்யமானது, வழக்கமான டிஎன்எஸ்க்கு கூடுதலாக, இது தொழில்நுட்பங்களைப் பயன்படுத்துவதற்கான திறனை வழங்குகிறது. டிஎன்எஸ்-ஓவர்-டிஎல்எஸ் и DNS-க்கு மேல்-HTTPS, கோரிக்கைகளின் பாதையில் உங்கள் கோரிக்கைகளை கேட்பதை வழங்குநர்கள் பெரிதும் தடுக்கும் - மேலும் புள்ளிவிவரங்களைச் சேகரித்து, கண்காணிக்கவும், விளம்பரங்களை நிர்வகிக்கவும். அறிவிப்பின் தேதி (ஏப்ரல் 1, 2018 அல்லது 04/01 அமெரிக்கக் குறியீட்டில்) தற்செயலாக தேர்ந்தெடுக்கப்படவில்லை என்று கிளவுட்ஃப்ளேர் கூறுகிறது: "நான்கு அலகுகள்" ஆண்டின் வேறு எந்த நாளில் வழங்கப்படும்?
ஹப்ரின் பார்வையாளர்கள் தொழில்நுட்ப ரீதியாக ஆர்வமுள்ளவர்கள் என்பதால், பாரம்பரிய பிரிவு "உங்களுக்கு ஏன் DNS தேவை?" நான் அதை இடுகையின் முடிவில் வைக்கிறேன், ஆனால் இங்கே நான் நடைமுறையில் பயனுள்ள விஷயங்களைக் கூறுவேன்:
புதிய சேவையை எவ்வாறு பயன்படுத்துவது?
உங்கள் டிஎன்எஸ் கிளையண்டில் (அல்லது நீங்கள் பயன்படுத்தும் உள்ளூர் டிஎன்எஸ் சேவையகத்தின் அமைப்புகளில் அப்ஸ்ட்ரீமில்) மேலே உள்ள டிஎன்எஸ் சேவையக முகவரிகளைக் குறிப்பிடுவதே எளிமையான விஷயம். வழக்கமான மதிப்புகளை மாற்றுவது அர்த்தமுள்ளதாக இருக்கிறது (8.8.8.8, முதலியன), அல்லது சற்று குறைவான பொதுவானது (77.88.8.8 மற்றும் அவர்களைப் போன்ற மற்றவர்கள்) Cloudflare இலிருந்து சேவையகங்களுக்கு - அவர்கள் உங்களுக்காக முடிவு செய்வார்கள், ஆனால் ஒரு தொடக்கநிலையாளருக்காகப் பேசுவார்கள் மறுமொழி வேகம், அதன்படி கிளவுட்ஃப்ளேர் அனைத்து போட்டியாளர்களையும் விட வேகமானது (நான் தெளிவுபடுத்துகிறேன்: அளவீடுகள் மூன்றாம் தரப்பு சேவையால் எடுக்கப்பட்டன, மேலும் ஒரு குறிப்பிட்ட வாடிக்கையாளருக்கான வேகம் நிச்சயமாக வேறுபடலாம்).
ஒரு மறைகுறியாக்கப்பட்ட இணைப்பு மூலம் சேவையகத்திற்கு கோரிக்கை பறக்கும் புதிய முறைகளுடன் பணிபுரிவது மிகவும் சுவாரஸ்யமானது (உண்மையில், பதில் அதன் மூலம் திரும்பும்), குறிப்பிடப்பட்ட DNS-over-TLS மற்றும் DNS-over-HTTPS. துரதிர்ஷ்டவசமாக, அவை "பெட்டிக்கு வெளியே" ஆதரிக்கப்படவில்லை (இது "இன்னும்" என்று ஆசிரியர்கள் நம்புகிறார்கள்), ஆனால் உங்கள் மென்பொருளில் (அல்லது உங்கள் வன்பொருளில் கூட) அவர்களின் வேலையை ஒழுங்கமைப்பது கடினம் அல்ல:
HTTPs (DoH) மூலம் DNS
பெயர் குறிப்பிடுவது போல, தகவல் தொடர்பு HTTPS சேனலில் நடைபெறுகிறது, அதாவது
- இறங்கும் புள்ளியின் இருப்பு (இறுதிப்புள்ளி) - இது முகவரியில் அமைந்துள்ளது மற்றும்
- கோரிக்கைகளை அனுப்ப மற்றும் பதில்களைப் பெறக்கூடிய வாடிக்கையாளர்.
கோரிக்கைகள் வரையறுக்கப்பட்ட DNS வயர்ஃபார்மட் வடிவத்தில் இருக்கலாம் (POST மற்றும் GET HTTP முறைகளைப் பயன்படுத்தி அனுப்பப்பட்டது), அல்லது JSON வடிவத்தில் (GET HTTP முறையைப் பயன்படுத்தி). தனிப்பட்ட முறையில் என்னைப் பொறுத்தவரை, HTTP கோரிக்கைகள் மூலம் DNS கோரிக்கைகளை உருவாக்கும் யோசனை எதிர்பாராததாகத் தோன்றியது, ஆனால் அதில் ஒரு பகுத்தறிவு தானியம் உள்ளது: அத்தகைய கோரிக்கை பல போக்குவரத்து வடிகட்டுதல் அமைப்புகளை கடந்து செல்லும், பதில்களை பாகுபடுத்துவது மிகவும் எளிதானது, மேலும் கோரிக்கைகளை உருவாக்குவது இன்னும் எளிதானது. வழக்கமான நூலகங்கள் மற்றும் நெறிமுறைகள் பாதுகாப்புக்கு பொறுப்பாகும்.
ஆவணங்களிலிருந்து நேராக எடுத்துக்காட்டுகளைக் கோருங்கள்:
DNS வயர்ஃபார்மேட் வடிவத்தில் கோரிக்கையைப் பெறவும்
$ curl -v "https://cloudflare-dns.com/dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB" | hexdump
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x7f968700a400)
GET /dns-query?ct=application/dns-udpwireformat&dns=q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB HTTP/2
Host: cloudflare-dns.com
User-Agent: curl/7.54.0
Accept: */*
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
HTTP/2 200
date: Fri, 23 Mar 2018 05:14:02 GMT
content-type: application/dns-udpwireformat
content-length: 49
cache-control: max-age=0
set-cookie: __cfduid=dd1fb65f0185fadf50bbb6cd14ecbc5b01521782042; expires=Sat, 23-Mar-19 05:14:02 GMT; path=/; domain=.cloudflare.com; HttpOnly
server: cloudflare-nginx
cf-ray: 3ffe69838a418c4c-SFO-DOG
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031டிஎன்எஸ் வயர்ஃபார்மேட் வடிவத்தில் POST கோரிக்கை
$ echo -n 'q80BAAABAAAAAAAAA3d3dwdleGFtcGxlA2NvbQAAAQAB' | base64 -D | curl -H 'Content-Type: application/dns-udpwireformat' --data-binary @- https://cloudflare-dns.com/dns-query -o - | hexdump
{ [49 bytes data]
100 49 100 49 0 0 493 0 --:--:-- --:--:-- --:--:-- 494
* Connection #0 to host cloudflare-dns.com left intact
0000000 ab cd 81 80 00 01 00 01 00 00 00 00 03 77 77 77
0000010 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00 00 01 00
0000020 01 c0 0c 00 01 00 01 00 00 0a 8b 00 04 5d b8 d8
0000030 22
0000031
அதே ஆனால் JSON ஐப் பயன்படுத்துகிறது
$ curl 'https://cloudflare-dns.com/dns-query?ct=application/dns-json&name=example.com&type=AAAA'
{
"Status": 0,
"TC": false,
"RD": true,
"RA": true,
"AD": true,
"CD": false,
"Question": [
{
"name": "example.com.",
"type": 1
}
],
"Answer": [
{
"name": "example.com.",
"type": 1,
"TTL": 1069,
"data": "93.184.216.34"
}
]
}வெளிப்படையாக, ஒரு அரிய (குறைந்தபட்சம் ஒன்று இருந்தால்) வீட்டு திசைவி DNS உடன் இந்த வழியில் வேலை செய்ய முடியும், ஆனால் இது ஆதரவு நாளை தோன்றாது என்று அர்த்தமல்ல - மேலும், சுவாரஸ்யமாக, இங்கே எங்கள் பயன்பாட்டில் DNS உடன் பணிபுரியலாம் (ஏற்கனவே போலவே , Cloudflare சேவையகங்களில் மட்டும்).
டிஎல்எஸ் வழியாக டிஎன்எஸ்
இயல்பாக, டிஎன்எஸ் வினவல்கள் குறியாக்கம் இல்லாமல் அனுப்பப்படும். டிஎல்எஸ் வழியாக டிஎன்எஸ் என்பது பாதுகாப்பான இணைப்பில் அவற்றை அனுப்புவதற்கான ஒரு வழியாகும். Cloudflare பரிந்துரைக்கப்பட்டபடி நிலையான போர்ட் 853 இல் TLS மூலம் DNS ஐ ஆதரிக்கிறது . இது cloudflare-dns.com ஹோஸ்டுக்காக வழங்கப்பட்ட சான்றிதழைப் பயன்படுத்துகிறது, TLS 1.2 மற்றும் TLS 1.3 ஆகியவை ஆதரிக்கப்படுகின்றன.
ஒரு இணைப்பை நிறுவுதல் மற்றும் நெறிமுறையின்படி வேலை செய்வது இது போன்றது:
- DNS இணைப்பை நிறுவுவதற்கு முன், கிளையன்ட் கிளவுட்ஃப்ளேர்-dns.com இன் TLS சான்றிதழின் (SPKI என அழைக்கப்படும்) பேஸ்64 குறியிடப்பட்ட SHA256 ஹாஷை சேமிக்கிறது.
- DNS கிளையன்ட் cloudflare-dns.com:853 உடன் TCP இணைப்பை நிறுவுகிறது
- டிஎன்எஸ் கிளையன்ட் டிஎல்எஸ் ஹேண்ட்ஷேக்கைத் தொடங்குகிறது
- TLS ஹேண்ட்ஷேக் செயல்பாட்டின் போது, cloudflare-dns.com ஹோஸ்ட் அதன் TLS சான்றிதழை வழங்குகிறது.
- ஒரு TLS இணைப்பு நிறுவப்பட்டதும், DNS கிளையன்ட் ஒரு பாதுகாப்பான சேனல் மூலம் DNS கோரிக்கைகளை அனுப்ப முடியும், இது கோரிக்கைகள் மற்றும் பதில்கள் கேட்கப்படுவதையும் ஏமாற்றுவதையும் தடுக்கிறது.
- TLS இணைப்பு மூலம் அனுப்பப்படும் அனைத்து DNS வினவல்களும் இதற்கு இணங்க வேண்டும் .
டிஎல்எஸ் வழியாக டிஎன்எஸ் வழியாக ஒரு கோரிக்கையின் எடுத்துக்காட்டு:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 msஉள்ளூர் நெட்வொர்க் அல்லது ஒரு பயனரின் தேவைகளைப் பூர்த்தி செய்யும் உள்ளூர் DNS சேவையகங்களுக்கு இந்த விருப்பம் சிறப்பாகச் செயல்படும். உண்மை, தரநிலையின் ஆதரவுடன் மிகவும் நன்றாக இல்லை, ஆனால் - நம்புவோம்!
உரையாடல் எதைப் பற்றியது என்பதற்கு இரண்டு வார்த்தைகள் விளக்கம்
DNS என்ற சுருக்கமானது டொமைன் பெயர் சேவையைக் குறிக்கிறது ("DNS சேவை" என்பது ஓரளவு தேவையற்றது, சுருக்கமானது ஏற்கனவே "சேவை" என்ற வார்த்தையைக் கொண்டுள்ளது), மேலும் ஒரு எளிய பணியைத் தீர்க்கப் பயன்படுகிறது - ஒரு குறிப்பிட்ட ஹோஸ்ட் பெயரின் ஐபி முகவரி என்ன என்பதைப் புரிந்து கொள்ள. ஒவ்வொரு முறையும் ஒருவர் இணைப்பைக் கிளிக் செய்யும் போது அல்லது உலாவியின் முகவரிப் பட்டியில் ஒரு முகவரியை உள்ளிடும்போது (சொல்லவும், ""), பக்கத்தின் உள்ளடக்கத்தைப் பெறுவதற்கான கோரிக்கையை எந்த சேவையகத்திற்கு அனுப்ப வேண்டும் என்பதைக் கண்டுபிடிக்க மனித கணினி முயற்சிக்கிறது. habrahabr.ru ஐப் பொறுத்தவரை, DNS இன் பதிலில் இணைய சேவையக IP முகவரி: 178.248.237.68 என்ற குறிப்பைக் கொண்டிருக்கும், பின்னர் உலாவி ஏற்கனவே குறிப்பிட்ட IP முகவரியுடன் சேவையகத்தைத் தொடர்பு கொள்ள முயற்சிக்கும்.
இதையொட்டி, DNS சேவையகம், "habrahabr.ru என்ற ஹோஸ்டின் ஐபி முகவரி என்ன?" என்ற கோரிக்கையைப் பெற்ற பிறகு, குறிப்பிட்ட ஹோஸ்டைப் பற்றி ஏதாவது தெரியுமா என்பதைத் தீர்மானிக்கிறது. இல்லையெனில், இது உலகின் பிற DNS சேவையகங்களுக்கு ஒரு கோரிக்கையை வைக்கிறது, மேலும், படிப்படியாக, கேட்கப்பட்ட கேள்விக்கான பதிலைக் கண்டுபிடிக்க முயற்சிக்கிறது. இதன் விளைவாக, இறுதி பதிலைக் கண்டறிந்ததும், கண்டுபிடிக்கப்பட்ட தரவு இன்னும் அவர்களுக்காகக் காத்திருக்கும் கிளையண்டிற்கு அனுப்பப்படும், மேலும் இது DNS சேவையகத்தின் தற்காலிக சேமிப்பில் சேமிக்கப்படுகிறது, இது அடுத்த முறை இதேபோன்ற கேள்விக்கு மிக வேகமாக பதிலளிக்க உங்களை அனுமதிக்கும்.
ஒரு பொதுவான பிரச்சனை என்னவென்றால், முதலில், டிஎன்எஸ் வினவல் தரவு தெளிவாக அனுப்பப்படுகிறது (இது போக்குவரத்து ஓட்டத்தை அணுகக்கூடிய எவருக்கும் டிஎன்எஸ் வினவல்களையும் அவர்கள் பெறும் பதில்களையும் தனிமைப்படுத்தி, பின்னர் அவர்களின் சொந்த நோக்கங்களுக்காக அவற்றைப் பகுப்பாய்வு செய்யும் திறனை வழங்குகிறது; இது வழங்குகிறது. DNS கிளையண்டிற்கான துல்லியத்துடன் விளம்பரங்களை குறிவைக்கும் திறன், இது மிகவும் அதிகம்!). இரண்டாவதாக, சில ISPகள் (நாங்கள் விரல்களை சுட்டிக்காட்ட மாட்டோம், ஆனால் சிறியவை அல்ல) ஒன்று அல்லது மற்றொரு கோரப்பட்ட பக்கத்திற்கு பதிலாக விளம்பரங்களைக் காட்ட முனைகின்றன (இது மிகவும் எளிமையாக செயல்படுத்தப்படுகிறது: habranabr.ru இன் வினவலுக்கு குறிப்பிட்ட IP முகவரிக்கு பதிலாக. புரவலன் பெயர், ஒரு சீரற்ற நபர் இவ்வாறு, வழங்குநரின் வலை சேவையகத்தின் முகவரி திருப்பி அனுப்பப்படும், அங்கு விளம்பரம் உள்ள பக்கம் வழங்கப்படுகிறது). மூன்றாவதாக, தடுக்கப்பட்ட வலை ஆதாரங்களின் ஐபி முகவரிகள் பற்றிய சரியான டிஎன்எஸ் பதில்களை ஸ்டப் பக்கங்களைக் கொண்ட தங்கள் சேவையகத்தின் ஐபி முகவரியுடன் மாற்றுவதன் மூலம் தனிப்பட்ட தளங்களைத் தடுப்பதற்கான தேவைகளைப் பூர்த்தி செய்வதற்கான வழிமுறையை செயல்படுத்தும் இணைய அணுகல் வழங்குநர்கள் உள்ளனர் (இதன் விளைவாக அத்தகைய தளங்கள் மிகவும் சிக்கலானவை), அல்லது வடிகட்டலைச் செய்யும் உங்கள் ப்ராக்ஸி சேவையகத்தின் முகவரிக்கு.
இது அநேகமாக தளத்தில் இருந்து எடுக்கப்பட்ட படமாக இருக்க வேண்டும். , சேவைக்கான இணைப்பை விவரிக்கப் பயன்படுகிறது. ஆசிரியர்கள் தங்கள் DNS இன் தரத்தில் மிகவும் நம்பிக்கையுடன் இருப்பதாகத் தெரிகிறது (இருப்பினும், Cloudflare இலிருந்து வேறு எதையும் எதிர்பார்ப்பது கடினம்):
சேவையை உருவாக்கிய கிளவுட்ஃப்ளேரை ஒருவர் முழுமையாகப் புரிந்து கொள்ள முடியும்: உலகின் மிகவும் பிரபலமான CDN நெட்வொர்க்குகளில் ஒன்றைப் பராமரித்து மேம்படுத்துவதன் மூலம் அவர்கள் தங்கள் ரொட்டியைப் பெறுகிறார்கள் (இதில் உள்ளடக்கத்தை விநியோகிப்பது மட்டுமல்லாமல், DNS மண்டலங்களை ஹோஸ்ட் செய்வதும் அடங்கும்), மேலும் இவர்களின் ஆசை, நன்கு அறியாதவர், அவற்றைக் கற்பிக்கவும் அவர்கள் யார் என்று தெரியவில்லை, அதற்கு எங்கே போக வேண்டும் உலகளாவிய நெட்வொர்க்கில், பெரும்பாலும் தங்கள் சேவையகங்களின் முகவரிகளைத் தடுப்பதால் பாதிக்கப்படுகின்றனர் யார் என்று சொல்ல வேண்டாம் - எனவே நிறுவனத்திற்கு "கூச்சல்கள், விசில்கள் மற்றும் எழுதுதல்களால்" பாதிக்கப்படாத DNS ஐ வைத்திருப்பது அவர்களின் வணிகத்திற்கு குறைவான தீங்கு விளைவிக்கும். மேலும் தொழில்நுட்ப நன்மைகள் (ஒரு சிறிய விஷயம், ஆனால் நன்றாக இருக்கிறது: குறிப்பாக, இலவச டிஎன்எஸ் கிளவுட்ஃப்ளேரின் வாடிக்கையாளர்களுக்கு, நிறுவனத்தின் டிஎன்எஸ் சர்வர்களில் ஹோஸ்ட் செய்யப்பட்ட ஆதாரங்களின் டிஎன்எஸ் பதிவுகளை உடனடியாகப் புதுப்பிப்பது) இடுகையில் விவரிக்கப்பட்டுள்ள சேவையைப் பயன்படுத்துவதை இன்னும் சுவாரஸ்யமாக்குகிறது.
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். , தயவு செய்து.
புதிய சேவையைப் பயன்படுத்துவீர்களா?
-
ஆம், அதை OS மற்றும் / அல்லது திசைவியில் குறிப்பிடுவதன் மூலம்
-
ஆம், நான் புதிய நெறிமுறைகளைப் பயன்படுத்துவேன் (HTTPகள் மூலம் DNS மற்றும் TLS மூலம் DNS)
-
இல்லை, என்னிடம் போதுமான தற்போதைய சேவையகங்கள் உள்ளன (இது ஒரு பொது வழங்குநர்: Google, Yandex, முதலியன)
-
இல்லை, நான் இப்போது எதைப் பயன்படுத்துகிறேன் என்று கூட எனக்குத் தெரியவில்லை
-
நான் என் சுழல்நிலை DNS ஐ அவர்களுக்கு ஒரு SSL சுரங்கப்பாதையுடன் பயன்படுத்துகிறேன்
693 பயனர்கள் வாக்களித்தனர். 191 பயனர் வாக்களிக்கவில்லை.
ஆதாரம்: www.habr.com