Cloudflare oferuje nowe DNS-y - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Inne (https://safegroup.pl/forum-15.html) +--- Wątek: Cloudflare oferuje nowe DNS-y (/thread-11412.html) |
Cloudflare oferuje nowe DNS-y - ichito - 03.04.2018 Za DP Cytat:Wybór Pierwszego Kwietnia na publiczne udostępnienie nowego serwera DNS nie był przypadkowy – adres IP to cztery jedynki, a skoro data to czwarty miesiąc, pierwszy dzień, to tym łatwiej będzie to zapamiętać. Zapasowy serwer też jest łatwy do zapamiętania: 1.0.0.1. A wszystko to po to, aby utrudnić dostawcom usług internetowych szpiegowanie aktywności swoich klientów w sieci. Tak, dotyczy to też ogromnie popularnego google’owego serwera 8.8.8.8. Adres można zmienić we właściwościach połączenia sieciowego dla TCP/IPv4: preferowany serwer - 1.1.1.1 alternatywny sewer - 1.0.0.1 Źródło [Aby zobaczyć linki, zarejestruj się tutaj] Strona projektu [Aby zobaczyć linki, zarejestruj się tutaj] RE: Cloudflare oferuje nowe DNS-y - Tibu 11 - 03.04.2018 Właśnie wczoraj widziałem i ustawiłem, co nie którzy piszą że jeszcze zależy od operatora neta (komentarze z dp) RE: Cloudflare oferuje nowe DNS-y - ichito - 03.04.2018 Poniżej dwa artykuły wskazujące na nieco inne aspekty tych DNS [Aby zobaczyć linki, zarejestruj się tutaj] @nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5[Aby zobaczyć linki, zarejestruj się tutaj] RE: Cloudflare oferuje nowe DNS-y - Quassar - 03.04.2018 Ja nie dawno przestawiłem sie na Quad9 i mi sie podoba teraz zmieniłem na Cloudfire i też jest ok RE: Cloudflare oferuje nowe DNS-y - bluszcz - 04.04.2018 U mnie zestawianie połączenia TLS trwa wyraźnie dłużej niż ping do Cloudflare, ale może oprogramowanie DNS może to jakoś zoptymalizować. Do tego czasu DNSCrypt jest szybszy. RE: Cloudflare oferuje nowe DNS-y - Quassar - 04.04.2018 a z jakimi serwerami łączysz sie z DNScrypt ?! RE: Cloudflare oferuje nowe DNS-y - bluszcz - 04.04.2018 (04.04.2018, 14:34)Quassar napisał(a):Nie chodzi tylko o serwery i trasy do nich, ale sam protokół. Zestawienie połączenia TLS trwa więcej niż zapytania DNSCrypta. Inna sprawa, że użyłem klienta DNS over TLS, który podobno nie umie używać wcześniej otwartych połączeń TLS. Stubby podobno umie. Sprawdzę i porównam. RE: Cloudflare oferuje nowe DNS-y - bluszcz - 04.04.2018 Sprawdzam, ale mam problemy. Duża ilość odpytań Stubb-iego tak szybko zwraca odpowiedzi (ułamki milisekundy), że chyba tylko cache'owanie wewnątrz Stubbiego albo inna optymalizacja może być wyjaśnieniem. Aby sprawiedliwie porównać z DNSCryptem Stubby nie mógłby wewnętrznie cache'ować. Raczej więc nie będę w stanie ich porównać. Mimo to dalej bardziej prawdopodobne dla mnie jest, że TLS jest wolniejsze niż DNSCrypt. RE: Cloudflare oferuje nowe DNS-y - ichito - 05.04.2018 Ja u siebie przetestowałem znanym sobie DNS Jumper...był kiedyś u nas [Aby zobaczyć linki, zarejestruj się tutaj] ...i wynik jest bardzo przyzwoity zwłaszcza jeśli weźmie się pod uwagę obydwa adresy[attachment=1184] RE: Cloudflare oferuje nowe DNS-y - Quassar - 05.04.2018 A użyłem tego DNS Jumpera z 10x śmigłem test i CloudFire nieco szybciej od google lub na równi. Ichito wiesz ..ustaw sobie CloudFlare jako główny DNS na kompie albo jeszcze lepiej na routerze i potem sprawdź cloudfire. Bo jak masz inny DNS niż testowany to wynik wychodzi gorszy dlatego takie testy powinno się robić przy aktualnym włączonym DNS który testujesz i pingować połączenia do stron trzecich a nie z DNS do DNS, bo taką metodą można sopro DNS nawzajem wykluczyć. RE: Cloudflare oferuje nowe DNS-y - bluszcz - 19.04.2019 Moje doświadczenia. Z jakiegoś względu DNS over TLS jest zwykle wolniejsze od DNS over HTTPS (DoH). DNSCrypt pod względem wydajności dalej nie jest złym rozwiązaniem, a jest oferowany przez m.in. OpenDNS i Quad9. DNSCrypt ma przewagę wydajnościową przy pojedynczych żądaniach, a przy kilku DoH zaczyna go doganiać. Do DoH i DNSCrypta używam dnscrypt-proxy. Program ten na początku jednak potrzebuje pobrać pliki z adresami serwerów, a do tego rozwiązać nazwy domen na IP. Używa do tego nieszyfrowanych połączeń. Chciałem się tego ustrzec, zablokowałem takie pakiety na firewallu i ustawiłem, by dla domeny i poddomen quad9.net były kierowane do Stubby-iego, który jednak oferuje tylko DNS over TLS, ale za to konfigurowany jest statycznie. Wydajność jednak była mało zadowalająca (chociaż i takie jest używany na samym początku, więc to nie ma takiego znaczenia, ale miałem ochotę poeksperymentować), dlatego zacząłem modyfikować config. Z tego co widzę: Secure renegotiation nie jest obsługiwane przez Cloudflare i Quad9 na porcie 853, gdy połączenie to TLS wersja 1.3 (ale już na porcie 443 tak...). Ustawiłem więc TLS na wersję 1.2, przy którym secure renegotiation jest obsługiwane. Kod: # Set the minimum acceptable TLS version. Works with OpenSSL >= 1.1.1 only. Ogólnie przy takim ustawieniu częściej zdarza się, że kilka rozwiązań domen dokonuje się w ramach jednego połączenia TLS. Wyłączyłem również DNSSEC, ale tylko w Stubby-im, który u mnie rozwiązuje domenę i poddomeny quad9.net: Kod: #dnssec: GETDNS_EXTENSION_TRUE Dla tych kilku żądań od DNSCrypt wystarczy mi zwykłe połączenie TLS 1.2 z uwierzytelnieniem przez sprawdzenie z pinsetem. Dodatkowo według moich doświadczeń serwer Quad9 9.9.9.10 bez filtrowania, bez DNSSEC i innych dodatkowych featurów jest wyraźnie szybszy niż z filtrowaniem 9.9.9.9. A takie ogólne przemyślenia po używaniu Cloudflare i innych: 1. w przypadku nieszyfrowanych usług DNS nie widzę gołym okiem podczas surfowania po Internecie różnicy między usługami odpowiadającymi w 20 ms i tymi odpowiadającymi 35 ms. 2. różnice dopiero widać, gdy używa się szyfrowania DNS 3. na wydajność wpływa bardziej niż punkt 1. czy dostaniemy od usługi DNS IP zoptymalizowane pod naszą sieć/ISP Cloudflare np często zwracało mi IP google.pl do którego miałem ping ponad 40 ms, a czasem skakał do 60 ms, a OpenDNS i Quad9 około 20 ms. RE: Cloudflare oferuje nowe DNS-y - Blade - 20.04.2019 Właśnie sobie je ustawiłem. Wcześniej miałem ustawiony DNS COMODO lecz to ślimak w porównaniu z Cloudflare. Chyba zagoszczą u mnie na stałe. RE: Cloudflare oferuje nowe DNS-y - bluszcz - 20.04.2019 (20.04.2019, 16:37)Blade napisał(a): Czy używasz szyfrowanego połączenia do CF? Używasz weryfikacji DNSSEC? RE: Cloudflare oferuje nowe DNS-y - Blade - 20.04.2019 (20.04.2019, 19:55)bluszcz napisał(a): Nie wiem chyba nie. Ustawiłem te adresy w ustawieniach systemu. Jak uzyskać szyfrowane połączenie? RE: Cloudflare oferuje nowe DNS-y - bluszcz - 21.04.2019 (20.04.2019, 21:53)Blade napisał(a): Jeśli chcesz mieć szyfrowane połączenie tylko dla przeglądarki Firefox to popatrz w about:config na wpisy zaczynające się "network.trr". Jeśli szyfrowane połączenie ma być dla całego systemu trzeba doinstalować program typu dns stub resolver. Potem ustawia się, by nasłuchiwał na np 127.0.0.1 i ustawiasz w ustawieniach systemu DNS na 127.0.0.1. Ja używam DNSCrypta, Stubbiego i Unbounda (spina te pierwsze dwa i to on nasłuchuje na porcie 53) w Gnu/Linuksie. |