Vlákno názorů k článku
Cloudflare spustil DNS resolvery na adresách 1.1.1.1 a 1.0.0.1
od Já - A co si místo toho naistalovat nějaký rekurzivní...
-
Ondřej CaletkaZlatý podporovatelBude výrazně pomalejší kvůli absenci cache a také o vás vyzradí mnohem víc kvůli spoustě dotazů navíc. Ale pokud ten kešující resolver nastavíte tak, aby dotazy šifrovaně přeposílal třeba na čtyři jedničky, případně střídal čtyři jedničky, čtyři osmičky a třeba čtyři devítky, máte ideální řešení…
…tedy až na to, že pokud půjde o notebook, tak si s ním neškrtnete v téměř žádné hotelové Wi-Fi síti.
-
Ondřej CaletkaZlatý podporovatel
*absencí cache je myšleno absence horké cache, kterou jeden samotný uživatel nemá moc šanci udržovat.
-
Já (neregistrovaný)
Co o mně vyzradí navíc? Někde se přece zeptat musím. Buď se zeptám jednou nějakého cizího resolveru nebo to zjistím sám, pak se tedy musím zeptat víckrát.
On se dns server, když neví, ptá pokaždé na celé doménové jméno místo toho, aby se ptal postupně na jednotlivé části od nejvyšší domény dolů? Nezkoušel jsem to.Hotelové wifi neřeším, bez vpn se stejně nepřipojuji.
-
Pokud jde o vyzrazování a používáte VPN, tak bych se ptal skrze tu VPN. Její provozovatel stejně vidí jména kam se připojujete (i v https díky SNI) a v jeho provozu je slušná šance se schovat.
Způsob ptaní záleží na resolveru a nastavení. Existuje i RFC: https://tools.ietf.org/html/rfc7816
-
Ondřej CaletkaZlatý podporovatel
Když máte resolver, který se ptá přímo autoritativních serverů, tak se celé dotazované jméno posílá všem autoritativním serverům, tedy putuje po síti mnohonásobně a do různých směrů. Pro špehujícího ISP je to nezajímavé, protože ten vidí veškerý provoz, ale vzdálenější pozorovatel může dostat informace, které by jinak nedotal.
Teprve nedávno se objevil standard QNAME Minimization, který toto chování mění, ale v praxi naráží na spoustu rozbitých autoritativních serverů, takže se stejně v resolverech musí obcházet: https://ripe72.ripe.net/archives/video/219/
-
j (neregistrovaný)
Fakt by me zajimalo, co navic se dovim z toho, ze se klient na my siti pta postupne na .cz, root.cz, a www.root.cz vs ze posle jeden dotaz na www.root.cz. Jo, vlastne se dovim, ze tam ma rekurzivni DNS ...
A ta lokalni cache bude pro dotycneho uzivatele ve vetsine pripadu fungovat naopak velmi dobre, protoze lidi navstevujou omezeny set domen. Ne ze by to teda bylo nejak poznat, z pohledu uzivatele to bude mit vliv 00prd.
-
pokud u sebe máš dns resolver, samozřejmě se musí poslat dotaz na .cz, .root a www.root.cz pokud záznamy už nemáš v cache.
To je otázka, řada webů má ttl 60, takže to také není pohodlné. Řešením je dotazovat před vypršením ttl ty domény znovu a držet je pořád v cache, pak budou dotazy opravdu rychlé.
