Mielőtt átgondolatlanul állítgatnád a DNS-címeid…

cloudflare-dns-szolgaltatas

A Cloudflare nemrég rukkolt elő a https://one.one.one.one/  public DNS-szolgáltatással, a bejelentésben mi mást ígérnének, ha nem azt, hogy jobb hellyé teszik az internetet.

Mi ez, és ki fogja használni?

Ez az úgynevezett DNS over HTTPS szolgáltatás, ami végre elrejti a himi-humi internetszolgáltatók elől, hogy mi mit böngészünk, mert többé nem hozzájuk kerül a DNS-lekérdezés, hogy turkálhassanak benne, statisztikázzanak, majd a végeredményt eladják jó pénzért, hanem titkosított csatornában jut el egy, azaz egy (megbízható?) helyre, az 1.1.1.1 címre.

Nem mellesleg az egyszintű, tehát egylépéses lekérdezés sokkal gyorsabb, mint nagyapáink elvei szerint össze-vissza kódorogni a neten, és begyűjteni egy nyomorult IP-címet. Az elosztott DNS jó ötletnek tűnt, amikor a világ összes memóriakapacitása kevesebb volt, mint 1 MB, de manapság…?

Jó hírünk van, a DNS over HTTPS most, 2018. októberében szabvánnyá vált, az RFC 8484 alatt találjuk.

Sajnos a felhasználók többségének a DHCP miatt  sok-sok éve nem kell foglalkoznia azzal, hogy elsődleges és másodlagos DNS-szervert kézileg állítson be, hiszen ezt éppen a DHCP miatt megkapja a szolgáltatótól, a VPN-szolgáltatótól, esetleg a munkahelye saját DNS1, DNS2 szervereket használ.

Pedig a DNS szerverek szerepe nagyon alaposan felértékelődött és ki is bővült, képesek figyelmeztetni a felhasználót, ha valamilyen nagyon rázós webhelyre tévednének például. Ilyen esetben nem a megcélzott weblap IP-címét küldik el a böngészőnek, hanem a saját hibaoldalukra irányítják. Az OpenDNS [208.67.222.222, 208.67.220.220], a Google Public DNS [8.8.8.8, 8.8.4.4] vagy éppen a Comodo által kínált public DNS esetén ez mind alapértelmezés.

Teljesen világos, hogy ezt csak úgy képesek megtenni, ha valamilyen szinten információt gyűjtenek arról, hogy egy-egy hoszttal kapcsolatban mennyi névfeloldási kérés érkezett, valamint, “behind the scenes”, hogy a feloldott hosztnevek és címek összefüggésbe hozhatók-e például botnet-aktivitással, vagy egyáltalán bármilyen forgalommal, ami a kliensre nézve veszélyes lehet.

Azaz a public DNS felold, nagyon gyorsan ellenőrzi, hogy nem vezetné-e a klienst valamilyen veszélyes vidékre, majd ezt követően kiszolgál. Az aktuálisan leggyorsabb DNS-szolgáltatók listája a https://www.dnsperf.com/#!dns-resolvers linken érhető el, ahol, ahogyan az várható volt, a Cloudflare által nemrég használatba vett 1.1.1.1 lett az első.

A Cloudflare 1.1.1.1 oldaláról kiderül minden szép és jó. Aki nem ma kezdte el használni az internetet, nem csoda, ha szkeptikus egy olyan szolgáltatással kapcsolatban, ami azt ígéri, hogy semmilyen (!!) információt nem gyűjt – nem teszi hozzá, hogy ennek megfelelően nem is ellenőriz, így pedig nem nehéz a leggyorsabbnak lenni – ingyenes, na meg “használd, aztán jó lesz”…

Amit még érdemes megjegyezni, hogy a DNS-szerverek sebességét gyakran összefüggésbe hozzák az internetezés effektív sebességével, amiben annyi a ráció, hogy egy-egy hírportál betöltődéséhez akár 60-70 névfeloldásra is szükség lehet, de a feloldás milliszekundumokban mérhető, elhanyagolható amellett, hogy a böngészőkbe a tényleges tartalmak milyen sebességgel érkeznek, a böngészőmotor azt milyen sebességgel rendereli.

Ha behatóbban érdekel a DNS működése, érdemes lehet követni a NetAcademia LinkedIN-oldalának feedjén megjelenő Tudástár-videókat, ahol a hozzáféréshez szükséges meghívókódokat is megtalálod.