Подсеть клиента EDNS

Подсеть клиента EDNS ( ECS ) — это опция в механизмах расширения для DNS , которая позволяет рекурсивному преобразователю DNS указывать подсеть для хоста или клиента, от имени которого он выполняет DNS- запрос. Обычно это предназначено для ускорения доставки данных из сетей доставки контента (CDN), позволяя лучше использовать балансировку нагрузки на основе DNS для выбора адреса службы рядом с клиентом, когда клиентский компьютер не обязательно находится рядом с рекурсивным преобразователем. ^[1]^[2]

Когда авторитетный сервер имен получает DNS-запрос, он использует расширение DNS ECS для разрешения имени хоста в CDN, который геолокационно клиента IP- адреса близок к подсети , следовательно, клиент отправляет дополнительные запросы к ближайшему CDN, тем самым уменьшая задержку. .Механизм подсети клиента EDNS указан в RFC 7871 .

Последствия для конфиденциальности и безопасности

Поскольку ECS предоставляет информацию о сети клиента вышестоящему авторитетному DNS-серверу, расширение раскрывает некоторую информацию о местоположении клиента, которую в противном случае авторитетный DNS-сервер не смог бы определить. Та же самая информация о клиентской сети становится доступной для транзитных сетей между рекурсивным сервером клиента и авторитетным сервером домена. ^[3] Исследователи безопасности предположили, что ECS может использоваться для ведения интернет-наблюдения . ^[3] ECS также может использоваться для выполнения выборочных атак по отравлению кэша DNS , предназначенных только для перенаправления определенных клиентов на отравленную запись DNS. ^[3]

Споры по поводу отсутствия поддержки

самообслуживания веб-архивирования Владелец инструмента Archive.today выразил обеспокоенность по поводу того, что Cloudflare 1.1.1.1 не передает содержимое этого поля авторитетному DNS-серверу Archive.today, и в ответ настроил авторитетные DNS-серверы сайта для рассмотрения DNS-запросы Cloudflare недействительны, что фактически блокирует 1.1.1.1 от разрешения DNS-записей веб-сайта. ^[4]

Владелец сайта считает, что 1.1.1.1 слишком часто маршрутизирует рекурсивные DNS-запросы географически неоптимальным способом, что приводит к ухудшению соединения, чем если бы эта функция была доступна постоянно. ^[4]

Cloudflare Генеральный директор Мэтью Принс назвал соображения конфиденциальности причиной отказа версии 1.1.1.1 от поддержки ECS. ^[5]

Ссылки

^ «Как это работает» . Более быстрый Интернет . Архивировано из оригинала 28 марта 2018 г. Проверено 27 марта 2018 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
^ «Рекомендации по подсети клиента EDNS (ECS) | Публичный DNS | Разработчики Google» . Разработчики Google . Проверено 2 апреля 2018 г.
^ Jump up to: ^а ^б ^с Кинтис П., Наджи Ю., Дагон Д., Фаррелл М., Антонакакис М. (июнь 2016 г.). «Понимание последствий ECS для конфиденциальности» (PDF) . Обнаружение вторжений и вредоносных программ, а также оценка уязвимостей . Конспекты лекций по информатике. Том. 9721. Спрингер. стр. 343–353. дои : 10.1007/978-3-319-40667-1_17 . ISBN 978-3-319-40667-1 .
^ Jump up to: ^а ^б @archiveis (16 июля 2018 г.). « Здесь «нужно сделать» не так однозначно» ( твит ) – через Twitter . Отсутствие EDNS и массовое несоответствие (не только на уровне AS/страны, но даже на уровне континента) того, откуда поступают DNS и связанные с ним HTTP-запросы, вызывают так много проблем, поэтому я считаю запросы без EDNS от Cloudflare недействительными.
^ Мэтью Принс (4 мая 2019 г.). «Комментарий Мэтью Принса к Hacker News» . Хакерские новости . Проверено 4 октября 2021 г. Мы не блокируем archive.is или любой другой домен через 1.1.1.1. Мы считаем, что это нарушит целостность DNS, а также обещания в области конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы. Авторитетные DNS-серверы Archive.is возвращают неверные результаты на 1.1.1.1, когда мы к ним запрашиваем. Я предложил просто исправить это со своей стороны, но наша команда совершенно справедливо сказала, что это также нарушит целостность DNS и обещания конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы. Владелец archive.is объяснил, что он возвращает нам неверные результаты, поскольку мы не передаем информацию о подсети EDNS. Эта информация приводит к утечке информации об IP-адресе запрашивающего и, в свою очередь, ставит под угрозу конфиденциальность пользователей. Это особенно проблематично, поскольку мы работаем над шифрованием большего количества DNS-трафика, поскольку запрос от преобразователя к авторитетному DNS обычно не зашифрован. Нам известны примеры из реального мира, когда государственные субъекты отслеживали информацию подсети EDNS для отслеживания отдельных лиц, что было частью мотивации политики конфиденциальности и безопасности версии 1.1.1.1. Подмножества IP-адресов EDNS можно использовать для улучшения геолокации ответов для служб, использующих балансировку нагрузки на основе DNS. Однако версия 1.1.1.1 распространяется по всей сети Cloudflare, которая сегодня охватывает 180 городов. Мы публикуем информацию о геолокации IP-адресов, с которых мы запрашиваем. Это позволяет любой сети с меньшей плотностью, чем у нас, правильно возвращать результаты, ориентированные на DNS. Для относительно небольшого оператора, такого как archive.is, не будет никаких потерь в точности балансировки географической нагрузки, если полагаться на расположение PoP Cloudflare вместо IP-подсетей EDNS. Мы работаем с небольшим количеством сетей с более высокой плотностью сетей/провайдеров, чем Cloudflare (например, Netflix, Facebook, Google/YouTube), чтобы предложить альтернативу IP-подсети EDNS, которая предоставит им информацию, необходимую для геолокационного таргетинга, без риска. конфиденциальность и безопасность пользователей. Эти разговоры были продуктивными и продолжаются. Если у archive.is есть предложения по этому поводу, мы будем рады их рассмотреть.

Эта статья, связанная с Интернетом, незавершена . Вы можете помочь Википедии, расширив ее .

[arc_one-1] «Как это работает» . Более быстрый Интернет . Архивировано из оригинала 28 марта 2018 г. Проверено 27 марта 2018 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )

[arc_two-2] «Рекомендации по подсети клиента EDNS (ECS) | Публичный DNS | Разработчики Google» . Разработчики Google . Проверено 2 апреля 2018 г.

[ecsprivacy-3] Jump up to: ^а ^б ^с Кинтис П., Наджи Ю., Дагон Д., Фаррелл М., Антонакакис М. (июнь 2016 г.). «Понимание последствий ECS для конфиденциальности» (PDF) . Обнаружение вторжений и вредоносных программ, а также оценка уязвимостей . Конспекты лекций по информатике. Том. 9721. Спрингер. стр. 343–353. дои : 10.1007/978-3-319-40667-1_17 . ISBN 978-3-319-40667-1 .

[archiveis-4] Jump up to: ^а ^б @archiveis (16 июля 2018 г.). « Здесь «нужно сделать» не так однозначно» ( твит ) – через Twitter . Отсутствие EDNS и массовое несоответствие (не только на уровне AS/страны, но даже на уровне континента) того, откуда поступают DNS и связанные с ним HTTP-запросы, вызывают так много проблем, поэтому я считаю запросы без EDNS от Cloudflare недействительными.

[5] Мэтью Принс (4 мая 2019 г.). «Комментарий Мэтью Принса к Hacker News» . Хакерские новости . Проверено 4 октября 2021 г. Мы не блокируем archive.is или любой другой домен через 1.1.1.1. Мы считаем, что это нарушит целостность DNS, а также обещания в области конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы. Авторитетные DNS-серверы Archive.is возвращают неверные результаты на 1.1.1.1, когда мы к ним запрашиваем. Я предложил просто исправить это со своей стороны, но наша команда совершенно справедливо сказала, что это также нарушит целостность DNS и обещания конфиденциальности и безопасности, которые мы дали нашим пользователям при запуске службы. Владелец archive.is объяснил, что он возвращает нам неверные результаты, поскольку мы не передаем информацию о подсети EDNS. Эта информация приводит к утечке информации об IP-адресе запрашивающего и, в свою очередь, ставит под угрозу конфиденциальность пользователей. Это особенно проблематично, поскольку мы работаем над шифрованием большего количества DNS-трафика, поскольку запрос от преобразователя к авторитетному DNS обычно не зашифрован. Нам известны примеры из реального мира, когда государственные субъекты отслеживали информацию подсети EDNS для отслеживания отдельных лиц, что было частью мотивации политики конфиденциальности и безопасности версии 1.1.1.1. Подмножества IP-адресов EDNS можно использовать для улучшения геолокации ответов для служб, использующих балансировку нагрузки на основе DNS. Однако версия 1.1.1.1 распространяется по всей сети Cloudflare, которая сегодня охватывает 180 городов. Мы публикуем информацию о геолокации IP-адресов, с которых мы запрашиваем. Это позволяет любой сети с меньшей плотностью, чем у нас, правильно возвращать результаты, ориентированные на DNS. Для относительно небольшого оператора, такого как archive.is, не будет никаких потерь в точности балансировки географической нагрузки, если полагаться на расположение PoP Cloudflare вместо IP-подсетей EDNS. Мы работаем с небольшим количеством сетей с более высокой плотностью сетей/провайдеров, чем Cloudflare (например, Netflix, Facebook, Google/YouTube), чтобы предложить альтернативу IP-подсети EDNS, которая предоставит им информацию, необходимую для геолокационного таргетинга, без риска. конфиденциальность и безопасность пользователей. Эти разговоры были продуктивными и продолжаются. Если у archive.is есть предложения по этому поводу, мы будем рады их рассмотреть.

[1]

[2]

[3]

[4]

[5]