Подсеть клиента EDNS - EDNS Client Subnet
Подсеть клиента EDNS ( ECS ) - это опция в механизмах расширения для DNS, которая позволяет рекурсивному преобразователю DNS указывать подсеть для хоста или клиента, от имени которого он выполняет DNS- запрос. Обычно это предназначено для ускорения доставки данных из сетей доставки контента , позволяя лучше использовать балансировку нагрузки на основе DNS для выбора адреса службы рядом с клиентом, когда клиентский компьютер не обязательно находится рядом с рекурсивным преобразователем.
Когда полномочный сервер имен получает DNS-запрос, он использует расширение DNS ECS для разрешения имени хоста в CDN, который географически расположен рядом с подсетью IP - адреса клиента, следовательно, клиент делает дополнительные запросы в ближайший CDN, тем самым уменьшая задержку. . Механизм клиентской подсети EDNS указан в RFC 7871 .
По состоянию на 2019 год к поставщикам услуг разрешения DNS, поддерживающим клиентскую подсеть EDNS, относятся Google Public DNS , OpenDNS и Quad9 .
Последствия для конфиденциальности и безопасности
Поскольку ECS предоставляет информацию о сети клиента вышестоящему преобразователю, расширение раскрывает некоторую информацию о местонахождении клиента, которую иначе преобразователь не смог бы определить. Исследователи безопасности предположили, что ECS можно использовать для интернет-наблюдения . ECS также может быть использован для выполнения выборочных атак с отравлением кэша DNS, предназначенных только для перенаправления определенных клиентов на зараженную запись DNS.
Споры по поводу отсутствия поддержки
Владелец инструмента самообслуживания для веб-архивирования Archive.today выразил обеспокоенность по поводу того, что Cloudflare 1.1.1.1 не передает содержимое этого поля на DNS-преобразователь для Archive.today, и в ответ настроил преобразователь сайта для рассмотрения DNS-запросов Cloudflare. недействительный - эффективно блокирует 1.1.1.1 разрешение DNS-записей веб-сайта.
Отсутствие EDNS и массовое несоответствие (не только на AS / Country, но даже на уровне континента) того, откуда приходят DNS и связанные HTTP-запросы, вызывает столько проблем, поэтому я считаю запросы без EDNS от Cloudflare недействительными.
Владелец сайта считает, что 1.1.1.1 слишком часто направляет рекурсивные DNS-запросы неоптимальным с географической точки зрения способом, что приводит к ухудшению связи, чем если бы функция была доступна постоянно.
Генеральный директор Cloudflare Мэтью Принс ответил на это:
Мы не блокируем archive.is или любой другой домен через 1.1.1.1. Мы считаем, что это нарушит целостность DNS и обещания конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы.
Авторитетные DNS-серверы Archive.is возвращают неверные результаты в 1.1.1.1, когда мы их запрашиваем. Я предлагал исправить это с нашей стороны, но наша команда совершенно справедливо сказала, что это тоже нарушит целостность DNS и обещания конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы.
Владелец archive.is объяснил, что возвращает нам плохие результаты, потому что мы не передаем информацию о подсети EDNS. Эта информация приводит к утечке информации об IP-адресе запрашивающего и, в свою очередь, приносит в жертву конфиденциальность пользователей. Это особенно проблематично, поскольку мы работаем над шифрованием большего объема DNS-трафика, поскольку запрос от Resolver к авторитетному DNS обычно не зашифрован. Нам известны реальные примеры, когда субъекты национального государства отслеживали информацию подсети EDNS для отслеживания отдельных лиц, что было частью мотивации политики конфиденциальности и безопасности 1.1.1.1.
Подмножества IP-адресов EDNS можно использовать для лучшего определения местоположения ответов для служб, использующих балансировку нагрузки на основе DNS. Однако 1.1.1.1 распространяется по всей сети Cloudflare, которая сегодня охватывает 180 городов. Мы публикуем информацию о геолокации IP-адресов, с которых мы запрашиваем. Это позволяет любой сети с меньшей плотностью, чем у нас, правильно возвращать результаты, нацеленные на DNS. Для относительно небольшого оператора, такого как archive.is, не будет потерь в точности балансировки географической нагрузки в зависимости от местоположения Cloudflare PoP вместо IP-подсетей EDNS.
Мы работаем с небольшим количеством сетей с более высокой плотностью сети / интернет-провайдеров, чем Cloudflare (например, Netflix, Facebook, Google / YouTube), чтобы предложить альтернативу IP-подсети EDNS, которая будет предоставлять им информацию, необходимую для геолокационного таргетинга, без риска. конфиденциальность и безопасность пользователей. Эти разговоры были продуктивными и продолжаются. Если у archive.is есть предложения по этому поводу, мы будем рады их рассмотреть.
- Мэтью Принс
использованная литература
 |
Эта интернет-статья незавершена . Вы можете помочь Википедии, расширив ее . |