புரோஹோஸ்டர் > Блог > நிர்வாகம் > Cloudflare இன் சேவையை 1.1.1.1 மற்றும் 1.0.0.1 அல்லது "பொது DNS ஷெல்ஃப் வந்துவிட்டது!"
Cloudflare இன் சேவையை 1.1.1.1 மற்றும் 1.0.0.1 அல்லது "பொது DNS ஷெல்ஃப் வந்துவிட்டது!"
Cloudflare நிறுவனம் வழங்கப்பட்டது முகவரிகளில் பொது DNS:
1.1.1.1
1.0.0.1
2606: 4700: 4700 1111 ::
2606: 4700: 4700 1001 ::
கொள்கையானது "தனியுரிமை முதலில்" எனக் கூறப்படுகிறது, இதனால் பயனர்கள் தங்கள் கோரிக்கைகளின் உள்ளடக்கத்தைப் பற்றி நிம்மதியாக இருக்க முடியும்.
இந்த சேவை சுவாரஸ்யமானது, வழக்கமான டிஎன்எஸ்க்கு கூடுதலாக, இது தொழில்நுட்பங்களைப் பயன்படுத்துவதற்கான திறனை வழங்குகிறது. டிஎன்எஸ்-ஓவர்-டிஎல்எஸ் и DNS-க்கு மேல்-HTTPS, கோரிக்கைகளின் பாதையில் உங்கள் கோரிக்கைகளை கேட்பதை வழங்குநர்கள் பெரிதும் தடுக்கும் - மேலும் புள்ளிவிவரங்களைச் சேகரித்து, கண்காணிக்கவும், விளம்பரங்களை நிர்வகிக்கவும். அறிவிப்பின் தேதி (ஏப்ரல் 1, 2018 அல்லது 04/01 அமெரிக்கக் குறியீட்டில்) தற்செயலாக தேர்ந்தெடுக்கப்படவில்லை என்று கிளவுட்ஃப்ளேர் கூறுகிறது: "நான்கு அலகுகள்" ஆண்டின் வேறு எந்த நாளில் வழங்கப்படும்?
ஹப்ரின் பார்வையாளர்கள் தொழில்நுட்ப ரீதியாக ஆர்வமுள்ளவர்கள் என்பதால், பாரம்பரிய பிரிவு "உங்களுக்கு ஏன் DNS தேவை?" நான் அதை இடுகையின் முடிவில் வைக்கிறேன், ஆனால் இங்கே நான் நடைமுறையில் பயனுள்ள விஷயங்களைக் கூறுவேன்:
புதிய சேவையை எவ்வாறு பயன்படுத்துவது?
உங்கள் டிஎன்எஸ் கிளையண்டில் (அல்லது நீங்கள் பயன்படுத்தும் உள்ளூர் டிஎன்எஸ் சேவையகத்தின் அமைப்புகளில் அப்ஸ்ட்ரீமில்) மேலே உள்ள டிஎன்எஸ் சேவையக முகவரிகளைக் குறிப்பிடுவதே எளிமையான விஷயம். வழக்கமான மதிப்புகளை மாற்றுவது அர்த்தமுள்ளதாக இருக்கிறது Google DNS (8.8.8.8, முதலியன), அல்லது சற்று குறைவான பொதுவானது யாண்டெக்ஸ் பொது DNS சேவையகங்கள் (77.88.8.8 மற்றும் அவர்களைப் போன்ற மற்றவர்கள்) Cloudflare இலிருந்து சேவையகங்களுக்கு - அவர்கள் உங்களுக்காக முடிவு செய்வார்கள், ஆனால் ஒரு தொடக்கநிலையாளருக்காகப் பேசுவார்கள் அட்டவணை மறுமொழி வேகம், அதன்படி கிளவுட்ஃப்ளேர் அனைத்து போட்டியாளர்களையும் விட வேகமானது (நான் தெளிவுபடுத்துகிறேன்: அளவீடுகள் மூன்றாம் தரப்பு சேவையால் எடுக்கப்பட்டன, மேலும் ஒரு குறிப்பிட்ட வாடிக்கையாளருக்கான வேகம் நிச்சயமாக வேறுபடலாம்).
ஒரு மறைகுறியாக்கப்பட்ட இணைப்பு மூலம் சேவையகத்திற்கு கோரிக்கை பறக்கும் புதிய முறைகளுடன் பணிபுரிவது மிகவும் சுவாரஸ்யமானது (உண்மையில், பதில் அதன் மூலம் திரும்பும்), குறிப்பிடப்பட்ட DNS-over-TLS மற்றும் DNS-over-HTTPS. துரதிர்ஷ்டவசமாக, அவை "பெட்டிக்கு வெளியே" ஆதரிக்கப்படவில்லை (இது "இன்னும்" என்று ஆசிரியர்கள் நம்புகிறார்கள்), ஆனால் உங்கள் மென்பொருளில் (அல்லது உங்கள் வன்பொருளில் கூட) அவர்களின் வேலையை ஒழுங்கமைப்பது கடினம் அல்ல:
HTTPs (DoH) மூலம் DNS
பெயர் குறிப்பிடுவது போல, தகவல் தொடர்பு HTTPS சேனலில் நடைபெறுகிறது, அதாவது
இறங்கும் புள்ளியின் இருப்பு (இறுதிப்புள்ளி) - இது முகவரியில் அமைந்துள்ளது https://cloudflare-dns.com/dns-queryமற்றும்
கோரிக்கைகளை அனுப்ப மற்றும் பதில்களைப் பெறக்கூடிய வாடிக்கையாளர்.
கோரிக்கைகள் வரையறுக்கப்பட்ட DNS வயர்ஃபார்மட் வடிவத்தில் இருக்கலாம் RFC1035 (POST மற்றும் GET HTTP முறைகளைப் பயன்படுத்தி அனுப்பப்பட்டது), அல்லது JSON வடிவத்தில் (GET HTTP முறையைப் பயன்படுத்தி). தனிப்பட்ட முறையில் என்னைப் பொறுத்தவரை, HTTP கோரிக்கைகள் மூலம் DNS கோரிக்கைகளை உருவாக்கும் யோசனை எதிர்பாராததாகத் தோன்றியது, ஆனால் அதில் ஒரு பகுத்தறிவு தானியம் உள்ளது: அத்தகைய கோரிக்கை பல போக்குவரத்து வடிகட்டுதல் அமைப்புகளை கடந்து செல்லும், பதில்களை பாகுபடுத்துவது மிகவும் எளிதானது, மேலும் கோரிக்கைகளை உருவாக்குவது இன்னும் எளிதானது. வழக்கமான நூலகங்கள் மற்றும் நெறிமுறைகள் பாதுகாப்புக்கு பொறுப்பாகும்.
ஆவணங்களிலிருந்து நேராக எடுத்துக்காட்டுகளைக் கோருங்கள்:
வெளிப்படையாக, ஒரு அரிய (குறைந்தபட்சம் ஒன்று இருந்தால்) வீட்டு திசைவி DNS உடன் இந்த வழியில் வேலை செய்ய முடியும், ஆனால் இது ஆதரவு நாளை தோன்றாது என்று அர்த்தமல்ல - மேலும், சுவாரஸ்யமாக, இங்கே எங்கள் பயன்பாட்டில் DNS உடன் பணிபுரியலாம் (ஏற்கனவே போலவே மொஸில்லாவை உருவாக்கப் போகிறது, Cloudflare சேவையகங்களில் மட்டும்).
டிஎல்எஸ் வழியாக டிஎன்எஸ்
இயல்பாக, டிஎன்எஸ் வினவல்கள் குறியாக்கம் இல்லாமல் அனுப்பப்படும். டிஎல்எஸ் வழியாக டிஎன்எஸ் என்பது பாதுகாப்பான இணைப்பில் அவற்றை அனுப்புவதற்கான ஒரு வழியாகும். Cloudflare பரிந்துரைக்கப்பட்டபடி நிலையான போர்ட் 853 இல் TLS மூலம் DNS ஐ ஆதரிக்கிறது RFC7858. இது cloudflare-dns.com ஹோஸ்டுக்காக வழங்கப்பட்ட சான்றிதழைப் பயன்படுத்துகிறது, TLS 1.2 மற்றும் TLS 1.3 ஆகியவை ஆதரிக்கப்படுகின்றன.
ஒரு இணைப்பை நிறுவுதல் மற்றும் நெறிமுறையின்படி வேலை செய்வது இது போன்றது:
DNS இணைப்பை நிறுவுவதற்கு முன், கிளையன்ட் கிளவுட்ஃப்ளேர்-dns.com இன் TLS சான்றிதழின் (SPKI என அழைக்கப்படும்) பேஸ்64 குறியிடப்பட்ட SHA256 ஹாஷை சேமிக்கிறது.
DNS கிளையன்ட் cloudflare-dns.com:853 உடன் TCP இணைப்பை நிறுவுகிறது
TLS ஹேண்ட்ஷேக் செயல்பாட்டின் போது, cloudflare-dns.com ஹோஸ்ட் அதன் TLS சான்றிதழை வழங்குகிறது.
ஒரு TLS இணைப்பு நிறுவப்பட்டதும், DNS கிளையன்ட் ஒரு பாதுகாப்பான சேனல் மூலம் DNS கோரிக்கைகளை அனுப்ப முடியும், இது கோரிக்கைகள் மற்றும் பதில்கள் கேட்கப்படுவதையும் ஏமாற்றுவதையும் தடுக்கிறது.
டிஎல்எஸ் வழியாக டிஎன்எஸ் வழியாக ஒரு கோரிக்கையின் எடுத்துக்காட்டு:
$ kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com
;; DEBUG: Querying for owner(example.com.), class(1), type(1), server(1.1.1.1), port(853), protocol(TCP)
;; DEBUG: TLS, imported 170 system certificates
;; DEBUG: TLS, received certificate hierarchy:
;; DEBUG: #1, C=US,ST=CA,L=San Francisco,O=Cloudflare, Inc.,CN=*.cloudflare-dns.com
;; DEBUG: SHA-256 PIN: yioEpqeR4WtDwE9YxNVnCEkTxIjx6EEIwFSQW+lJsbc=
;; DEBUG: #2, C=US,O=DigiCert Inc,CN=DigiCert ECC Secure Server CA
;; DEBUG: SHA-256 PIN: PZXN3lRAy+8tBKk2Ox6F7jIlnzr2Yzmwqc3JnyfXoCw=
;; DEBUG: TLS, skipping certificate PIN check
;; DEBUG: TLS, The certificate is trusted.
;; TLS session (TLS1.2)-(ECDHE-ECDSA-SECP256R1)-(AES-256-GCM)
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 58548
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 1
;; EDNS PSEUDOSECTION:
;; Version: 0; flags: ; UDP size: 1536 B; ext-rcode: NOERROR
;; PADDING: 408 B
;; QUESTION SECTION:
;; example.com. IN A
;; ANSWER SECTION:
example.com. 2347 IN A 93.184.216.34
;; Received 468 B
;; Time 2018-03-31 15:20:57 PDT
;; From 1.1.1.1@853(TCP) in 12.6 ms
உள்ளூர் நெட்வொர்க் அல்லது ஒரு பயனரின் தேவைகளைப் பூர்த்தி செய்யும் உள்ளூர் DNS சேவையகங்களுக்கு இந்த விருப்பம் சிறப்பாகச் செயல்படும். உண்மை, தரநிலையின் ஆதரவுடன் மிகவும் நன்றாக இல்லை, ஆனால் - நம்புவோம்!
உரையாடல் எதைப் பற்றியது என்பதற்கு இரண்டு வார்த்தைகள் விளக்கம்
DNS என்ற சுருக்கமானது டொமைன் பெயர் சேவையைக் குறிக்கிறது ("DNS சேவை" என்பது ஓரளவு தேவையற்றது, சுருக்கமானது ஏற்கனவே "சேவை" என்ற வார்த்தையைக் கொண்டுள்ளது), மேலும் ஒரு எளிய பணியைத் தீர்க்கப் பயன்படுகிறது - ஒரு குறிப்பிட்ட ஹோஸ்ட் பெயரின் ஐபி முகவரி என்ன என்பதைப் புரிந்து கொள்ள. ஒவ்வொரு முறையும் ஒருவர் இணைப்பைக் கிளிக் செய்யும் போது அல்லது உலாவியின் முகவரிப் பட்டியில் ஒரு முகவரியை உள்ளிடும்போது (சொல்லவும், "https://habrahabr.ru/post/346430/"), பக்கத்தின் உள்ளடக்கத்தைப் பெறுவதற்கான கோரிக்கையை எந்த சேவையகத்திற்கு அனுப்ப வேண்டும் என்பதைக் கண்டுபிடிக்க மனித கணினி முயற்சிக்கிறது. habrahabr.ru ஐப் பொறுத்தவரை, DNS இன் பதிலில் இணைய சேவையக IP முகவரி: 178.248.237.68 என்ற குறிப்பைக் கொண்டிருக்கும், பின்னர் உலாவி ஏற்கனவே குறிப்பிட்ட IP முகவரியுடன் சேவையகத்தைத் தொடர்பு கொள்ள முயற்சிக்கும்.
இதையொட்டி, DNS சேவையகம், "habrahabr.ru என்ற ஹோஸ்டின் ஐபி முகவரி என்ன?" என்ற கோரிக்கையைப் பெற்ற பிறகு, குறிப்பிட்ட ஹோஸ்டைப் பற்றி ஏதாவது தெரியுமா என்பதைத் தீர்மானிக்கிறது. இல்லையெனில், இது உலகின் பிற DNS சேவையகங்களுக்கு ஒரு கோரிக்கையை வைக்கிறது, மேலும், படிப்படியாக, கேட்கப்பட்ட கேள்விக்கான பதிலைக் கண்டுபிடிக்க முயற்சிக்கிறது. இதன் விளைவாக, இறுதி பதிலைக் கண்டறிந்ததும், கண்டுபிடிக்கப்பட்ட தரவு இன்னும் அவர்களுக்காகக் காத்திருக்கும் கிளையண்டிற்கு அனுப்பப்படும், மேலும் இது DNS சேவையகத்தின் தற்காலிக சேமிப்பில் சேமிக்கப்படுகிறது, இது அடுத்த முறை இதேபோன்ற கேள்விக்கு மிக வேகமாக பதிலளிக்க உங்களை அனுமதிக்கும்.
ஒரு பொதுவான பிரச்சனை என்னவென்றால், முதலில், டிஎன்எஸ் வினவல் தரவு தெளிவாக அனுப்பப்படுகிறது (இது போக்குவரத்து ஓட்டத்தை அணுகக்கூடிய எவருக்கும் டிஎன்எஸ் வினவல்களையும் அவர்கள் பெறும் பதில்களையும் தனிமைப்படுத்தி, பின்னர் அவர்களின் சொந்த நோக்கங்களுக்காக அவற்றைப் பகுப்பாய்வு செய்யும் திறனை வழங்குகிறது; இது வழங்குகிறது. DNS கிளையண்டிற்கான துல்லியத்துடன் விளம்பரங்களை குறிவைக்கும் திறன், இது மிகவும் அதிகம்!). இரண்டாவதாக, சில ISPகள் (நாங்கள் விரல்களை சுட்டிக்காட்ட மாட்டோம், ஆனால் சிறியவை அல்ல) ஒன்று அல்லது மற்றொரு கோரப்பட்ட பக்கத்திற்கு பதிலாக விளம்பரங்களைக் காட்ட முனைகின்றன (இது மிகவும் எளிமையாக செயல்படுத்தப்படுகிறது: habranabr.ru இன் வினவலுக்கு குறிப்பிட்ட IP முகவரிக்கு பதிலாக. புரவலன் பெயர், ஒரு சீரற்ற நபர் இவ்வாறு, வழங்குநரின் வலை சேவையகத்தின் முகவரி திருப்பி அனுப்பப்படும், அங்கு விளம்பரம் உள்ள பக்கம் வழங்கப்படுகிறது). மூன்றாவதாக, தடுக்கப்பட்ட வலை ஆதாரங்களின் ஐபி முகவரிகள் பற்றிய சரியான டிஎன்எஸ் பதில்களை ஸ்டப் பக்கங்களைக் கொண்ட தங்கள் சேவையகத்தின் ஐபி முகவரியுடன் மாற்றுவதன் மூலம் தனிப்பட்ட தளங்களைத் தடுப்பதற்கான தேவைகளைப் பூர்த்தி செய்வதற்கான வழிமுறையை செயல்படுத்தும் இணைய அணுகல் வழங்குநர்கள் உள்ளனர் (இதன் விளைவாக அத்தகைய தளங்கள் மிகவும் சிக்கலானவை), அல்லது வடிகட்டலைச் செய்யும் உங்கள் ப்ராக்ஸி சேவையகத்தின் முகவரிக்கு.
இது அநேகமாக தளத்தில் இருந்து எடுக்கப்பட்ட படமாக இருக்க வேண்டும். http://1.1.1.1/, சேவைக்கான இணைப்பை விவரிக்கப் பயன்படுகிறது. ஆசிரியர்கள் தங்கள் DNS இன் தரத்தில் மிகவும் நம்பிக்கையுடன் இருப்பதாகத் தெரிகிறது (இருப்பினும், Cloudflare இலிருந்து வேறு எதையும் எதிர்பார்ப்பது கடினம்):
சேவையை உருவாக்கிய கிளவுட்ஃப்ளேரை ஒருவர் முழுமையாகப் புரிந்து கொள்ள முடியும்: உலகின் மிகவும் பிரபலமான CDN நெட்வொர்க்குகளில் ஒன்றைப் பராமரித்து மேம்படுத்துவதன் மூலம் அவர்கள் தங்கள் ரொட்டியைப் பெறுகிறார்கள் (இதில் உள்ளடக்கத்தை விநியோகிப்பது மட்டுமல்லாமல், DNS மண்டலங்களை ஹோஸ்ட் செய்வதும் அடங்கும்), மேலும் இவர்களின் ஆசை, நன்கு அறியாதவர், அவற்றைக் கற்பிக்கவும் அவர்கள் யார் என்று தெரியவில்லை, அதற்கு எங்கே போக வேண்டும் உலகளாவிய நெட்வொர்க்கில், பெரும்பாலும் தங்கள் சேவையகங்களின் முகவரிகளைத் தடுப்பதால் பாதிக்கப்படுகின்றனர் யார் என்று சொல்ல வேண்டாம் - எனவே நிறுவனத்திற்கு "கூச்சல்கள், விசில்கள் மற்றும் எழுதுதல்களால்" பாதிக்கப்படாத DNS ஐ வைத்திருப்பது அவர்களின் வணிகத்திற்கு குறைவான தீங்கு விளைவிக்கும். மேலும் தொழில்நுட்ப நன்மைகள் (ஒரு சிறிய விஷயம், ஆனால் நன்றாக இருக்கிறது: குறிப்பாக, இலவச டிஎன்எஸ் கிளவுட்ஃப்ளேரின் வாடிக்கையாளர்களுக்கு, நிறுவனத்தின் டிஎன்எஸ் சர்வர்களில் ஹோஸ்ட் செய்யப்பட்ட ஆதாரங்களின் டிஎன்எஸ் பதிவுகளை உடனடியாகப் புதுப்பிப்பது) இடுகையில் விவரிக்கப்பட்டுள்ள சேவையைப் பயன்படுத்துவதை இன்னும் சுவாரஸ்யமாக்குகிறது.
பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். உள்நுழையவும், தயவு செய்து.
புதிய சேவையைப் பயன்படுத்துவீர்களா?
ஆம், அதை OS மற்றும் / அல்லது திசைவியில் குறிப்பிடுவதன் மூலம்
ஆம், நான் புதிய நெறிமுறைகளைப் பயன்படுத்துவேன் (HTTPகள் மூலம் DNS மற்றும் TLS மூலம் DNS)
இல்லை, என்னிடம் போதுமான தற்போதைய சேவையகங்கள் உள்ளன (இது ஒரு பொது வழங்குநர்: Google, Yandex, முதலியன)
இல்லை, நான் இப்போது எதைப் பயன்படுத்துகிறேன் என்று கூட எனக்குத் தெரியவில்லை
நான் என் சுழல்நிலை DNS ஐ அவர்களுக்கு ஒரு SSL சுரங்கப்பாதையுடன் பயன்படுத்துகிறேன்
693 பயனர்கள் வாக்களித்தனர். 191 பயனர் வாக்களிக்கவில்லை.