Что такое 1.1.1.1? Как он ускоряет Интернет и защищает данные при просмотре?

Что такое 1.1.1.1?

1.1.1.1 — это высокоскоростной и хорошо защищенный DNS-сервис от Cloudflare, известного поставщика услуг обратного прокси-сервера. Служба DNS Cloudflare поможет пользователям минимизировать отслеживание истории просмотров и одновременно увеличить скорость доступа в Интернет . По данным Cloudflare, время ответа службы DNS составляет всего 14 мс, что намного быстрее, чем у OpenDNS (20 мс) и Google DNS (34 мс).

IPv4-адреса Cloudflare, предоставленные APNIC, легко запомнить: 1.1.1.1 и 1.0.0.1.

Кроме того, пользователи могут быть уверены при использовании службы DNS Cloudflare, поскольку она удалит все записанные записи в течение 24 часов, поэтому данные не будут раскрыты или использованы.

Роль преобразователя в DNS

При разрешении доменного имени запрос передается от серверной системы (т. е. веб-браузера) к рекурсивной службе DNS . Если запись DNS отсутствует в локальном кэше службы, вы рекурсивно запрашиваете доверенную иерархию DNS, чтобы найти искомую информацию об IP-адресе. Рекурсия — это часть того, что делает DNS 1.1.1.1, поэтому она должна быть быстрой и безопасной.

Цель 1.1.1.1

Цель Cloudflare — создать самый быстрый общедоступный преобразователь в мире, одновременно подняв планку защиты конфиденциальности пользователей. Чтобы ускорить Интернет, компания построила центры обработки данных по всему миру, чтобы сократить расстояние (т.е. задержку) от пользователей до контента.

Только в марте Cloudflare активировала 31 новый центр обработки данных по всему миру (Стамбул, Рейкьявик, Эр-Рияд, Макао, Багдад, Хьюстон, Индианаполис, Монтгомери, Питтсбург, Сакраменто, Мехико, Тель-Авив, Дурбан, Порт-Луи, Себу, Эдинбург, Рига, Таллинн, Вильнюс, Калгари, Саскатун, Виннипег, Джексонвилл, Мемфис, Таллахасси, Богота, Люксембург, Кишинев) и, как и в любом другом городе в этой сети, на новых сайтах в первый день работает DNS Resolver 1.1.1.1.

Эта быстрая и широко распределенная сеть создана для обслуживания любого протокола, и Cloudflare в настоящее время является самым быстрым и надежным поставщиком DNS в Интернете. Кроме того, компания также предоставляет службу Anycast для двух из тридцати корневых серверов имен (служба разрешения имен корневых доменов) и предоставляет пользователям рекурсивные службы DNS. Рекурсия может использовать преимущества совместного расположения авторитетных серверов для ускорения поиска всех доменных имен.

Хотя DNSSEC обеспечивает целостность данных между преобразователем и доверенным сервером, он не защищает конфиденциальность пользователей на «последней миле». Однако DNS Resolver 1.1.1.1 поддерживает новые стандарты безопасности DNS — DNS-over-TLS и DNS-over-HTTPS, обеспечивая шифрование последней мили для обеспечения конфиденциальности и конфиденциальности DNS-запросов пользователей.

Резолвер защищает конфиденциальность

Раньше полное доменное имя рекурсивно отправлялось любому посреднику, чтобы найти путь к корневым или доверенным DNS. Это означает, что если вы посетите веб-сайт quantrimang.com, корневой сервер и сервер .com будут запрашиваться с полным доменным именем (т. е. quantrimang и частью com), даже если корневой сервер просто перенаправляет .com (конвертируется в .com ( независимо от полного домена). Легкий доступ ко всей этой личной информации о просмотре через DNS является проблемой для многих людей. Эту проблему решают некоторые пакеты программного обеспечения резольвера, хотя не все знают об этих решениях.

Служба DNS Resolver 1.1.1.1 предоставляет все механизмы защиты конфиденциальности DNS, определенные и рекомендуемые для использования между заглушкой и рекурсивным преобразователем. Заглушка преобразователя — это компонент операционной системы, который «общается» с рекурсивными преобразователями. Используя только DNS с минимизацией имен запросов, определенную в RFC7816, преобразователь DNS 1.1.1.1 снижает вероятность утечки информации на промежуточные DNS-серверы, такие как корневые и TLD. Это означает, что преобразователь DNS 1.1.1.1 отправляет только достаточное количество имен, чтобы преобразователь знал, что запрашивать дальше.

DNS-преобразователь 1.1.1.1 также поддерживает частные запросы TLS на порту 853 (DNS поверх TLS), поэтому он может скрывать запросы от утечек в сети. Кроме того, предоставляя экспериментальный протокол DoH (DNS через HTTPS), сервис в будущем улучшит конфиденциальность и скорость для пользователей, поскольку браузеры и другие приложения смогут подключаться друг к другу. Консолидирует трафик DNS и HTTPS в одно соединение.

С увеличением использования отрицательного кеша (Negative кэш — это кеш, в котором хранятся «отрицательные» ответы, означающие ошибки) в DNS, как описано в RFC8198, Cloudflare может продолжать снижать нагрузку на систему Global DNS. Этот метод сначала использует отрицательный кэш для существующих преобразователей для хранения отрицательной (или несуществующей) информации в течение определенного периода времени. Для зон, подписанных DNSSE, и из записей NSEC в памяти преобразователь может определить, что запрошенное имя не существует, не выполняя никаких дополнительных запросов. Поэтому, если вы наберете точку wwwwww и напишите что-нибудь, а затем точку wwww и напишите что-нибудь, на второй запрос очень быстро будет получен ответ «нет» (NXDOMAIN в мире DNS). Отрицательный кэш работает только с зонами, подписанными DNSSEC, включая корневую зону и 1400 из 1544 TLD, подписанных вчера.

Компания использует аутентификацию DNSSEC, поскольку это позволяет гарантировать правильность ответов при низких и экономичных затратах на проверку подписи. Cloudflare всегда хочет, чтобы пользователи доверяли полученным ответам, и выполняет все возможные проверки, чтобы избежать негативных ответов для клиентов.

Однако ошибки в конфигурации DNSSEC, вызванные операторами DNS, могут привести к неправильной настройке доменов. Чтобы устранить эту проблему, Cloudflare настроит « Негативные якоря доверия » на доменах с выявленными и исправленными ошибками DNSSEC и удалит их, когда операторы исправят конфигурацию. Это ограничивает влияние неисправных доменов DNSSEC путем временного отключения проверки DNSSEC для определенного неправильно настроенного домена, восстанавливая доступ конечным клиентам.

Как формировался сервис DNS Resolver 1.1.1.1?

Первоначально Cloudflare думала о создании собственного резолвера, но позже эта идея была отвергнута из-за сложности и соображений, связанных со стратегией выхода на рынок (GTM) — предоставления уникальной ценности для клиентов и получения конкурентного преимущества. После того, как они рассмотрели все резолверы с открытым исходным кодом, представленные на рынке, из этого длинного списка, они сузили выбор до двух или трех вариантов, которые соответствуют большинству целей проекта. Наконец, компания решила построить систему на базе Knot Resolver от CZ NIC, выпущенного два с половиной года назад. Выбор Knot Resolver также увеличивает разнообразие программного обеспечения. Изюминкой является то, что у него больше основных функций, чем хотелось Cloudflare. Knot Resolver с модульной архитектурой, аналогичной OpenResty, используется и развивается.

Интересные особенности, которые отличают преобразователь Cloudflare

Расширенные возможности службы DNS Resolver 1.1.1.1:

• Минимизация запроса RFC7816
• DNS-over-TLS (безопасность транспортного уровня) RFC7858
• Протокол DoH DNS-over-HTTPS
• RFC8198 «отрицательные» ответы

Обратите внимание: ведущий разработчик Knot Resolver Марек Вавруша работает в команде Cloudflare DNS уже более двух лет.

Как сделать резольвер быстрее

На скорость резольвера влияет множество факторов. Прежде всего: может ли он ответить из кеша? Там, где это возможно, время ответа — это просто время прохождения пакета от клиента к преобразователю.

Ко��да преобразователю требуется ответ от органа власти, все становится немного сложнее, поскольку преобразователю необходимо отслеживать иерархию DNS для разрешения доменных имен, а это означает, что ему приходится взаимодействовать с несколькими доверенными серверами, начиная с имени домена. исходный сервер. Например, распознавателю в Буэнос-Айресе, Аргентина, потребуется больше времени для мониторинга иерархии DNS, чем распознавателю во Франкфурте, Германия, поскольку он находится рядом с доверенными серверами. Чтобы решить эту проблему, нам необходимо предварительно заполнить кеш вне диапазона общих имен, а это означает, что при поступлении фактического запроса ответы могут быть получены из кеша гораздо быстрее.

Одна из проблем горизонтально масштабируемых сетей заключается в том, что частота попадания в кэш обратно пропорциональна количеству узлов, настроенных в каждом центре обработки данных. Если в ближайшем дата-центре только один узел, вы можете быть уверены, что задав один и тот же запрос дважды, вы получите кэшированный ответ во второй раз. Однако, поскольку в каждом центре обработки данных имеются сотни узлов, пользователи могут получать неразрешенные ответы, что приводит к задержке для каждого запроса. Распространенным решением является размещение балансировщика нагрузки кэша перед всеми преобразователями, но это становится единой точкой отказа для всей системы, и Cloudflare не делает этого. Вместо того, чтобы полагаться на централизованный кеш, преобразователь DNS 1.1.1.1 использует расширенный распределенный кеш.

Политика данных

Cloudflare утверждает, что никогда не хранит IP-адреса клиентов и использует имена запросов только для улучшения производительности преобразователя DNS (например, заполнение кешей на основе популярных доменов в регионе и/или после размытия).

Cloudflare никогда не будет хранить в журналах какую-либо информацию, идентифицирующую конечного пользователя, и все эти собранные записи будут удалены в течение 24 часов. Компания заявила, что продолжит следовать своей политике конфиденциальности и следить за тем, чтобы никакие пользовательские данные не продавались рекламодателям и не использовались для таргетирования потребителей.

Как настроить преобразователь DNS 1.1.1.1

На Quantrimang.com есть вполне конкретные инструкции по настройке DNS на ПК и мобильных устройствах. Если вам интересно, вы можете следовать им.

• Измените DNS на 1.1.1.1 на своем компьютере для обеспечения безопасности и более быстрого просмотра веб-страниц.
• Как быстро сменить DNS на 1.1.1.1 на Android и iPhone

Несколько слов об адресе преобразователя DNS

Cloudflare работал с APNIC и использовал адреса IPv4 1.0.0.1 и 1.1.1.1 (все согласились, что эти адреса легко запомнить). Без многих лет исследований и испытаний эти объекты не были бы запущены в производство.

Для IPv6 компания выбрала для этой услуги 2606:4700:4700::1111 и 2606:4700:4700::1001. Как вы знаете, получить адрес IPv6 непросто, однако они выбрали адрес, в котором используются только цифры.

Но зачем использовать легко запоминающийся адрес? Что особенного в этом публичном преобразователе? Первое, что нужно сделать в этом процессе, — это куда поместить эти цифры. Им нужен номер, который можно ввести на любой компьютер или подключить к устройству, которое пользователь использует для поиска службы распознавания.

Любой человек в Интернете может использовать этот общедоступный преобразователь, и вы можете увидеть, как это делается, перейдя на https://1.1.1.1/ и нажав НАЧАТЬ .

Зачем объявлять о выпуске преобразователя DNS в апреле?

Для большинства людей в мире воскресенье — это 1 апреля 2018 г. (В США дата пишется за месяц до дня, следующего за 4 января 2018 г.). Вы видите 4 и 1? Вот почему Cloudflare объявила в этот день четыре номера один (1.1.1.1).