Was ist 1.1.1.1? Wie beschleunigt es das Internet und sichert Daten beim Surfen?

Was ist 1.1.1.1?

1.1.1.1 ist ein schneller und gut gesicherter DNS-Dienst von Cloudflare, einem bekannten Reverse-Proxy-Dienstanbieter. Der DNS-Dienst von Cloudflare hilft Benutzern dabei, die Verfolgung des Browserverlaufs zu minimieren und gleichzeitig die Geschwindigkeit des Internetzugriffs zu erhöhen . Laut Cloudflare hat der DNS-Dienst eine Antwortzeit von nur 14 ms, viel schneller als OpenDNS (20 ms) und Google DNS (34 ms).

Die von APNIC bereitgestellten IPv4-Adressen von Cloudflare sind leicht zu merken: 1.1.1.1 und 1.0.0.1.

Darüber hinaus können Benutzer beruhigt sein, wenn sie den DNS-Dienst von Cloudflare nutzen, da dieser alle aufgezeichneten Datensätze innerhalb von 24 Stunden löscht, sodass die Daten nicht weitergegeben oder verwendet werden.

Die Rolle des Resolvers im DNS

Beim Auflösen eines Domänennamens wird eine Anfrage vom Back-End-System (d. h. einem Webbrowser) an einen rekursiven DNS-Dienst weitergeleitet. Wenn sich der DNS- Eintrag nicht im lokalen Cache des Dienstes befindet, fragt er rekursiv die vertrauenswürdige DNS-Hierarchie ab, um die gesuchten IP-Adressinformationen zu finden. Rekursion ist Teil der Funktionsweise von DNS 1.1.1.1 und muss daher schnell und sicher sein.

Ziel von 1.1.1.1

Das Ziel von Cloudflare ist es, den schnellsten öffentlichen Resolver der Welt zu betreiben und gleichzeitig die Messlatte für den Schutz der Privatsphäre der Benutzer höher zu legen. Um das Internet zu beschleunigen, hat das Unternehmen weltweit Rechenzentren errichtet, um die Entfernung (dh die Latenz) zwischen Benutzern und Inhalten zu verringern.

Allein im März hat Cloudflare weltweit 31 neue Rechenzentren aktiviert (Istanbul, Reykjavik, Riad, Macau, Bagdad, Houston, Indianapolis, Montgomery, Pittsburgh, Sacramento, Mexiko-Stadt, Tel Aviv, Durban, Port Louis, Cebu City, Edinburgh, Riga, Tallinn, Vilnius, Calgary, Saskatoon, Winnipeg, Jacksonville, Memphis, Tallahassee, Bogotá, Luxemburg-Stadt, Chișinău) und wie jede andere Stadt in diesem Netzwerk führen die neuen Websites am ersten Tag DNS Resolver 1.1 .1.1 aus.

Dieses schnelle und weit verteilte Netzwerk ist für die Unterstützung aller Protokolle ausgelegt und Cloudflare ist derzeit der schnellste und zuverlässigste DNS-Anbieter im Internet. Darüber hinaus stellt das Unternehmen auch Anycast-Dienste für zwei der dreißig Root-Nameserver (Root-Domain-Name-Resolution-Service) und rekursive DNS-Dienste für Benutzer bereit. Die Rekursion kann die Vorteile von am gleichen Standort befindlichen autorisierenden Servern nutzen, um die Suche nach allen Domänennamen zu beschleunigen.

Obwohl DNSSEC die Datenintegrität zwischen dem Resolver und dem vertrauenswürdigen Server gewährleistet, schützt es nicht die Privatsphäre der Benutzer auf der „letzten Meile“. Allerdings unterstützt DNS Resolver 1.1.1.1 die neuen DNS-Sicherheitsstandards – DNS-over-TLS und DNS-over-HTTPS – und bietet eine Verschlüsselung auf der letzten Meile, um die DNS-Anfragen der Benutzer privat und vertraulich zu halten. wird manipuliert.

Resolver schützt die Privatsphäre

Bisher wurde der vollständige Domänenname rekursiv an einen Zwischenhändler gesendet, um den Weg zum Root oder zu vertrauenswürdigen DNSs zu finden. Das heißt, wenn Sie die Website quantrimang.com besuchen, werden der Root-Server und der .com-Server mit dem vollständigen Domainnamen (also quantrimang und dem Com-Teil) abgefragt, obwohl der Root-Server einfach weiterleitet. in .com konvertiert ( unabhängig von der Gesamtdomäne). Der einfache Zugriff auf all diese persönlichen Browserinformationen über DNS ist für viele Menschen ein Problem. Dieses Problem wird durch einige Resolver-Softwarepakete gelöst, obwohl nicht jeder über diese Lösungen Bescheid weiß.

Der DNS-Resolver-Dienst 1.1.1.1 stellt alle identifizierten und empfohlenen DNS-Datenschutzmechanismen zur Verwendung zwischen dem Stub-Resolver und dem rekursiven Resolver bereit. Der Stub-Resolver ist eine Komponente des Betriebssystems, die mit rekursiven Resolvern „kommuniziert“. Durch die ausschließliche Verwendung des in RFC7816 definierten DNS zur Minimierung von Abfragenamen verringert der DNS-Resolver 1.1.1.1 die Wahrscheinlichkeit, dass Informationen an zwischengeschaltete DNS-Server wie Roots und TLDs weitergegeben werden. Das bedeutet, dass der DNS-Resolver 1.1.1.1 nur so viele Namen sendet, dass der Resolver weiß, was er als Nächstes fragen muss.

Der DNS-Resolver 1.1.1.1 unterstützt auch private TLS-Abfragen an Port 853 (DNS über TLS), sodass Abfragen vor Netzwerklecks verborgen bleiben können. Darüber hinaus hat der Dienst durch die Bereitstellung eines experimentellen DoH-Protokolls (DNS über HTTPS) in Zukunft sowohl den Datenschutz als auch die Geschwindigkeit für Benutzer verbessert, da Browser und andere Anwendungen miteinander verbunden werden können. Konsolidiert DNS- und HTTPS-Verkehr in einer einzigen Verbindung.

Mit der zunehmenden Verwendung von negativem Cache (negativer Cache ist ein Cache, der „negative“ Antworten, also Fehler speichert) im DNS, wie in RFC8198 beschrieben, kann Cloudflare die Belastung des Systems weiter reduzieren. Globales DNS. Bei dieser Technik wird zunächst ein negativer Cache für vorhandene Resolver verwendet, um negative (oder nicht vorhandene) Informationen für einen bestimmten Zeitraum zu speichern. Bei DNSSE-signierten Zonen und aus speicherinternen NSEC-Einträgen kann der Resolver ohne zusätzliche Abfragen feststellen, dass der angeforderte Name nicht vorhanden ist. Wenn man also „wwwwww dot and write Something“ und dann „wwwwww dot and write Something“ eintippt, wird die zweite Abfrage sehr schnell mit „Nein“ beantwortet (NXDOMAIN in der DNS-Welt). Negativer Cache funktioniert nur mit DNSSEC-signierten Zonen, einschließlich Root und 1400 der 1544 gestern signierten TLDs.

Das Unternehmen nutzt die DNSSEC-Authentifizierung, da dadurch sichergestellt werden kann, dass die Antworten korrekt sind, und das bei geringen und kostengünstigen Kosten für die Signaturüberprüfung. Cloudflare möchte stets, dass Benutzer den Antworten vertrauen, die sie erhalten, und führt alle möglichen Prüfungen durch, um negative Antworten für Kunden zu vermeiden.

Allerdings können durch DNS-Betreiber verursachte Fehler in der DNSSEC-Konfiguration dazu führen, dass Domänen falsch konfiguriert werden. Um dieses Problem zu beheben, konfiguriert Cloudflare „ Negative Trust Anchors “ auf Domänen mit identifizierten und korrigierten DNSSEC-Fehlern und entfernt diese, wenn Betreiber die Konfiguration korrigieren. Dadurch werden die Auswirkungen ausgefallener DNSSEC-Domänen begrenzt, indem die DNSSEC-Validierung für eine bestimmte falsch konfigurierte Domäne vorübergehend deaktiviert und der Zugriff für Endkunden wiederhergestellt wird.

Wie entstand der DNS-Resolver-1.1.1.1-Dienst?

Zunächst dachte Cloudflare darüber nach, einen eigenen Resolver zu entwickeln, doch diese Idee wurde später aufgrund der Komplexität und Überlegungen im Zusammenhang mit der Go-to-Market-Strategie (GTM) – Bereitstellung eines einzigartigen Mehrwerts für Kunden und Erzielung eines Wettbewerbsvorteils – verworfen. Nachdem sie alle Open-Source-Resolver auf dem Markt überprüft hatten, grenzten sie die Auswahl aus dieser langen Liste auf zwei oder drei Optionen ein, die für die meisten Projektziele geeignet sind. Schließlich entschied sich das Unternehmen, das System auf dem Knot Resolver von CZ NIC aufzubauen, der vor zweieinhalb Jahren veröffentlicht wurde. Mit der Wahl von Knot Resolver wird auch die Softwarevielfalt erhöht. Der Clou ist, dass es mehr Kernfunktionen hat, als Cloudflare wollte. Mit einer modularen Architektur ähnlich OpenResty wird Knot Resolver verwendet und entwickelt.

Interessante Dinge, die den Resolver von Cloudflare anders machen

Die erweiterten Funktionen des DNS-Resolver-1.1.1.1-Dienstes sind:

• Abfrageminimierung RFC7816
• DNS-over-TLS (Transport Layer Security) RFC7858
• DoH DNS-over-HTTPS-Protokoll
• RFC8198 „negative“ Antworten

Beachten Sie, dass der Hauptentwickler von Knot Resolver, Marek Vavruša, seit über zwei Jahren im Cloudflare DNS-Team arbeitet.

So machen Sie den Resolver schneller

Es gibt viele Faktoren, die die Resolvergeschwindigkeit beeinflussen. In erster Linie geht es darum: Kann aus dem Cache geantwortet werden? Wo es möglich ist, entspricht die Antwortzeit nur der „Round-Trip“-Zeit für ein Paket vom Client zum Resolver.

Wenn der Resolver eine Antwort von einer Autorität benötigt, werden die Dinge etwas komplizierter, da der Resolver die DNS-Hierarchie verfolgen muss, um Domänennamen aufzulösen, was bedeutet, dass er mit mehreren vertrauenswürdigen Servern kommunizieren muss, beginnend mit dem Domänennamen der Ursprungsserver. Beispielsweise benötigt ein Resolver in Buenos Aires, Argentinien, mehr Zeit für die Überwachung der DNS-Hierarchie als ein Resolver in Frankfurt, Deutschland, da er sich in der Nähe vertrauenswürdiger Server befindet. Um dieses Problem zu lösen, müssen wir den Cache out-of-band für gebräuchliche Namen vorab füllen, was bedeutet, dass Antworten viel schneller aus dem Cache abgerufen werden können, wenn eine tatsächliche Anfrage eingeht.

Ein Problem bei Scale-out-Netzwerken besteht darin, dass die Cache-Trefferrate umgekehrt proportional zur Anzahl der in jedem Rechenzentrum konfigurierten Knoten ist. Wenn es im nächstgelegenen Rechenzentrum nur einen Knoten gibt, können Sie sicher sein, dass Sie bei zweimaliger Abfrage derselben Abfrage beim zweiten Mal eine zwischengespeicherte Antwort erhalten. Da es jedoch in jedem Rechenzentrum Hunderte von Knoten gibt, erhalten Benutzer möglicherweise ungelöste Antworten, was zu Latenz bei jeder Anfrage führt. Eine gängige Lösung besteht darin, einen Cache-Load-Balancer vor allen Resolvern zu platzieren, aber dies wird zu einem Single-Point-of-Failure für das gesamte System und Cloudflare. Tun Sie das nicht. Anstatt sich auf einen zentralen Cache zu verlassen, verwendet der DNS-Resolver 1.1.1.1 einen erweiterten verteilten Cache.

Datenrichtlinie

Cloudflare gibt an, niemals Kunden-IP-Adressen zu speichern und Abfragenamen nur zur Verbesserung der DNS-Resolver-Leistung zu verwenden (z. B. zum Füllen von Caches basierend auf beliebten Domänen in einer Region und/oder nach der Unschärfe).

Cloudflare speichert niemals Informationen in Protokollen, die den Endbenutzer identifizieren, und alle diese gesammelten Datensätze werden innerhalb von 24 Stunden gelöscht. Das Unternehmen sagte, es werde weiterhin seine Datenschutzrichtlinien befolgen und sicherstellen, dass keine Benutzerdaten an Werbetreibende verkauft oder zur gezielten Verbraucheransprache verwendet werden.

So richten Sie den DNS-Resolver 1.1.1.1 ein

Quantrimang.com verfügt über recht spezifische Anweisungen zum Einrichten dieses DNS auf PC und Mobilgeräten. Wenn Sie interessiert sind, können Sie dieser folgen.

• Ändern Sie DNS auf Ihrem Computer auf 1.1.1.1, um die Sicherheit zu gewährleisten und das Surfen im Internet zu beschleunigen
• So ändern Sie DNS auf Android und iPhone schnell auf 1.1.1.1

Ein paar Dinge zur DNS-Resolver-Adresse

Cloudflare arbeitete mit APNIC und verwendete die IPv4-Adressen 1.0.0.1 und 1.1.1.1 (alle waren sich einig, dass diese Adressen leicht zu merken waren). Ohne jahrelange Forschung und Tests hätten diese Websites es nicht in die Produktion geschafft.

Für IPv6 hat das Unternehmen für diesen Dienst 2606:4700:4700::1111 und 2606:4700:4700::1001 gewählt. Wie Sie wissen, ist es nicht einfach, eine IPv6-Adresse zu erhalten. Sie haben sich jedoch für eine Adresse entschieden, die nur Zahlen verwendet.

Aber warum sollte man eine leicht zu merkende Adresse verwenden? Was ist das Besondere an diesem öffentlichen Resolver? Das erste, was Sie in diesem Prozess tun müssen, ist, wo diese Zahlen einzutragen sind. Sie benötigen eine Nummer, die in jeden Computer eingegeben oder an das Gerät angeschlossen werden kann, mit dem der Benutzer den Resolver-Dienst findet.

Jeder im Internet kann diesen öffentlichen Resolver verwenden. Sie können sehen, wie das geht, indem Sie zu https://1.1.1.1/ gehen und auf ERSTE SCHRITTE klicken .

Warum die Veröffentlichung des DNS-Resolvers im April ankündigen?

Für die meisten Menschen auf der Welt ist Sonntag der 1. April 2018 (in den USA wird das Datum als Monat vor dem Tag nach dem 4. Januar 2018 geschrieben). Sehen Sie 4 und 1? Deshalb hat Cloudflare an diesem Tag vier Nummern eins (1.1.1.1) bekannt gegeben.