CloudflareのパブリックDNSサービス1.1.1.1ではarchive.isの名前解決が行えない 40
ストーリー by hylom
なぜそこを要求するのだろう 部門より
なぜそこを要求するのだろう 部門より
Cloudflareが昨年立ち上げたパブリックDNSサービス「1.1.1.1」では、アーカイブサイトであるArchive.isの名前解決ができないそうだ(本の虫)。
これは1.1.1.1側の問題ではなく、Archive.isの側が意図的に1.1.1.1に対し誤った情報を返しているからだそうだ。また、Archive.is側はその理由として1.1.1.1がArchive.isの権威DNSサーバーに対しEDNS Client Subnetを利用したユーザーのネットワーク的位置情報(EDNSサブネット情報)伝達を行わないからだと主張しているという。いっぽうでCloudflare側はユーザーのプライバシーが犠牲になるためEDNSサブネット情報を提供することはしないとしている。
べつにCloudflareに限らず自前でunbondやbind使ってても同じ (スコア:0)
わざわざ--enable-subnetで握り直したわけではなく、ディストリ配布のunbound使ってたらECSが有効化されていないので誰でもそうなる
このECSの解釈に関してはArchive.isが間違っている
こういう業社が出てくると思ったから、俺はDNS flag dayに反対だったんだよ
こういう『EDNSフルサポ絶対』みたいな勘違い業社が出てくると思ってた
Re: (スコア:0)
「こういう業社が出てくると思ったから、俺はDNS flag dayに反対だったんだよ」
もうちょっと出世して権力持ってくれや
Re: (スコア:0)
> ディストリ配布のunbound使ってたら
1.1.1.1みたいな大きいパブリックDNSがそんなやる気の無い運用するとはとても思えないんだが。
Re: (スコア:0)
理解力が…
1.1.1.1「ではない」個人等がディストリ配布のものを使ったらって話
1.1.1.1「が」ディストリ配布のものをそのまま使ってるとは元レスは言っていない
Re: (スコア:0)
1年以上前から行われているブロックと3か月前のDNS flag dayが何か関係あるんですかね
特有の事情がある (スコア:0)
この件に関してはPublic DNS特有の事情があるので自前のそれと同列には語れない。
自前のDNSサーバ(ここではDNSリゾルバを指す)からの要求はECSがなくてもDNSサーバのIPアドレスから地域性を判断して適切なCDNサーバに誘導できる。
ところがCloudflare DNS Resolverは世界中のDNSサーバがAnycastで1.1.1.1のIPアドレスを持っていて、かつバックエンドでもフロントエンドと同一のIPアドレスでDNS要求を飛ばしてくるため、地域性の判断ができない。
Archive.isに賛成はしないが、解釈を間違っているわけではない。確信犯だろう。
大嘘で完全な出鱈目 (スコア:2, 参考になる)
太字の部分が大嘘です。
公式ソース読めば一目瞭然
https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/ [cloudflare.com]
IPアドレスのリストに 1.1.1.1 は存在しない。
クラウドフレアパブリックDNSのバックエンドは、Anycastしていない普通の地域判定できるIPアドレスで、geoipを使えば正しく地域を判定できる。
双方の意図が不明 (スコア:0)
クライアントのip address は archive.is はウェブサーバで知れるのでプライバシーは高まらない。
Cloudflare の主張通り密度が高いので分散に支障がない。特定の国の法律が問題ならその地域だけで充分だ。
Re: (スコア:0)
なんで1.1.1.1の密度が高いの?
Re: (スコア:0)
これが192.168.1.1なら11バイトも必要になる…
Re: (スコア:0)
文字列なんだ…
Re: (スコア:0)
匿名プロキシユーザーへの配慮ですよ。HTTP要求はプロキシで匿名化してもDNS要求はOSが生IPで解決しちゃうことがあるので、タイムスタンプを突き合せれば身元割れの可能性があります。
Re: (スコア:0)
緩いブラウザならタイムスタンプで突合する必要すらないかもよ。
セッションID等をエンコードしてHTMLに埋め込んでしまえばより簡単に突合出来てしまう。
# spamクローラー検出用に罠メールアドレスで似たような事してる。
Re: (スコア:0)
Cloudflare側の意図は簡単で、その情報を出さない事で競合他社のCDNが適切にトラフィックを捌けなくしてるって事ではないかと。
あの会社、利己的な行動をいつもプライバシーだの何だのといって飾るけど、結局自分らの利益最優先でグレーな行為を正当化してるだけなんだよ。
Re: (スコア:0)
とarchive.todayの中の人は主張しているけど、ほとんど言い掛かりに近いと思う。
だって1.1.1.1を使ってるユーザーがCDN(例えばAkamai)からの適切な配信を受けられないからって、じゃあ「Akamai使うのやめよう」ってならんでしょ。むしろ「1.1.1.1使うのやめよう」ってなるだけ。Cloudflareに何の動機もメリットもない。競合他社への嫌がらせにすらなってない。
Re: (スコア:0)
どのCDNを選ぶのはサービスを提供するプロバイダ
1.1.1.1を使うのはユーザー
そこを抑えてもう一度考えてみて
このサイトを使う理由ってなんなの? (スコア:0)
Peeep.usも潰れちゃったし、初めから安定してるインターネットアーカイブでよくない?
Re: (スコア:0)
アーカイブ元サイト管理者から比較的消されにくい。
あと、そもそも魚拓系であり短いURLにもしてくれるから共有しやすい。
Re: (スコア:0)
有名なサイトは監視されて都合の悪いコンテンツに即削除要請飛ばされるけど
マイナーなサイトなら残りやすい
Re: (スコア:0)
WeybackMachineは動的サイトの保存に弱い。
特にTwitterなどはArchive.todayを使わざるを得ない。
Re: (スコア:0)
初めから全部で保存しとけばいいんじゃないか、どうせ何かしら潰れるし
上位3オクテットはやりすぎ (スコア:0)
プライバシーを考えると、IPアドレスの上位3オクテットを渡すのではなく、
たとえば問い合わせてきたアドレスのAS番号を渡すとかのほうがよかったのでは?
AS番号なら、上位3オクテットを渡すよりプライバシー的に有利
分かったこと (スコア:0)
この手のパブリックDNSを潰すには、潰したいDNSからの問合せに対しては、偽の情報を流す事を義務づければいい。そうすれば常用するには難のあるサービスになって、利用者は大幅に減らせる
ってことなのかな?
なんかロシア中国辺りはもうやってそうだな……。
Re: (スコア:0)
そういうクズサービスにアクセスできなくなるDNSはステキ。
でもPublicDNS使ってる人やサーバーももう少なくないし、アクセスは目に見えるほど減るだろうね。
で普通にアクセスできる競合が儲かると。
一部のホストにだけ違う情報を流す、という設定ができる企業がどれくらいあるか・・・
そもそも自社にDNS触れる人材がいない企業の方が多い。
Re: (スコア:0)
>そういうクズサービスにアクセスできなくなるDNSはステキ。
親コメはそういう意味じゃないと思いますが……。
中国政府が.cnの権威サーバでPublic DNSからの問い合わせをブロックするなんてこともあり得そうですよね。
Re: (スコア:0)
中国のサイトにつながらなくなるのはステキではないですか!
ソース追加 (スコア:0)
1か月ほど前に双方の発言を日本語でまとめたブログがありまして。
Cloudflare Resolver(1.1.1.1)でArchive.todayにアクセスできないワケ(2019/04/12 06:54)
https://note.mu/note_s/n/n9a4ad5e52db2 [note.mu]
1年以上前から判明している問題ではあるのですが、今でもCloudFlareに「お前がブロッキングしているんだろ!」と凸する人が後を絶ちませんね。
ボットじゃないの? (スコア:0)
要するにArchive.isってボットじゃないの?
Re: (スコア:0)
この件は明らかにCloudflareに問題があるでしょ。こんなことやってたらCDNは成り立たない。
Re:ボットじゃないの? (スコア:1)
DNSは本来名前解決のみに用いられるべきであって、副次的に得られる位置情報から何かを成そうとするCDNの方がおかしいのでは。
EDNS Client Subnet がなくても、およその地域は分かる (スコア:0)
勘違いしている人が大半なようですが、「1.1.1.1」というIPアドレスのサーバは世界中にあって(東京にもある)、
「1.1.1.1」はフロントエンドもバックエンド(権威DNSサーバへの問い合わせ)も同じ場所にありますので、
EDNS Client Subnet がなくても、およその地域は特定できます。
その証拠として https://srad.jp/comment/3387306 [srad.jp] があり、東京のISPからの試験で 2 ms でレスポンスが返ってくるってことは
1.1.1.1のフロントエンドの1つは少なくとも東京付近にあるということになります。
アメリカのユーザーが1.1.1.1に繋ぐときに東京に繋がるなんてことはありえませんから(そうしたらレイテンシ数十msになる)アメリカにも当然1.1.1.1のサーバがあるということになります。
ということは、EDNS Client Subnetのように埼玉県からのアクセスだとか茨城県からのアクセスだというレベルまでは特定できないものの、
1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので、CDN による配信の最適化には大きな影響は出ません。1.1.1.1 も高速化を目指すDNSサービスですので、世界中あちこちにサーバがあるからです。
ということで、プライバシー保護の観点から、EDNS Client Subnet 対応はしなくても問題ないです。
これは、Archive.is側の対応が明らかにおかしいケースです。
Re: (スコア:0)
特殊なケースに個別対応した方がいいのか、ってのはまた別問題じゃないかな。
生半可に通ぶるのはやめろ (スコア:0)
1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので
それができたら苦労しねーよ
IP anycast も知らないの? (スコア:0)
1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので
それができたら苦労しねーよ
まず、1.1.1.1 ってのは、IP anycast技術を用いて、同じIPアドレスでも実際には複数のマシン(各リージョン)に振り分けられるようになっているの。
で、1.1.1.1 のバックエンド(権威DNSサーバへの接続元)はフロントエンド(一般ユーザがアクセスする先)と近い地域(同じデータセンターと思われる)にあるの。
で、1.1.1.1 のバックエンドは接続元IPアドレス1.1.1.1を名乗らず GeoIP などで地域特定できる普通のIPアドレス(地域判定ができるIPア
Re: (スコア:0)
訂正
× 普通のISPのDNSサーバと同じようにIPアドレスで地域判定して
○ 普通のISPのDNSサーバを使っているユーザからのアクセスと同じようにIPアドレスで地域判定して
Re: (スコア:0)
なるほどそういうことか完全に理解した
Re: (スコア:0)
https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/ [cloudflare.com]
Whitelisting 1.1.1.1
Authoritative DNS providers may want to whitelist IP’s 1.1.1.1 uses to query upstream DNS providers. The comprehensive list of IP’s to whitelist is available at https://www.cloudflare.com/ips/ [cloudflare.com].
バックエンドのIPアドレスは1.1.1.1ではなくgeoip可能なIPアドレスなのだから
EDNS Client
1.1.1.1 は、EDNSサブネット情報を権威サーバーに送ってます (スコア:0)
不完全なソースで誤ったこと書き込んでいる人が多すぎますが、1.1.1.1 は EDNSサブネット情報を権威サーバーに送ってます。
ストーリーからのリンクされている https://cpplover.blogspot.com/2019/05/cloudflarednsarchiveis.html [blogspot.com] をよく読んで下さいね。
1.1.1.1 は、ユーザーのIPアドレスの「EDNSサブネット情報」ではなく、CloudflareのDNSのサーバー単位の位置情報と紐づけができるIPアドレスを「EDNSサブネット情報」として返しているのです。
で、1.1.1.1はCloudflareの現在180都市に展開している全ネットワークで提供しており、180地域に対応していればCDNの最適化で問題は起こらないので、地理ロードバランスが妨げられることはありません。
1.1.1.1 を使われたらどの地域のユーザからのアクセスだか分からないなんて問題は初めから生じていないのです。
EDNSとしては送ってない (スコア:0)
https://news.ycombinator.com/item?id=19828702 [ycombinator.com]
Cloudflare resolver が resolver 自身のIPアドレスをEDNSとして送れば良いという意見(The suggestion was to use the EDNS of the datacenter server, how does that ruin privacy?)はあるが、今は送っていない
しかしそんなことしなくても、resolverのfull IPをDNS queryで送っているので、それで地域判定はできる(The full IP of the Cloudflare resolver doing the recursive resolution is already provided to
Re: (スコア:0)
不完全なソースで誤ったこと書き込んでいる人が多すぎますが、1.1.1.1 は EDNSサブネット情報を権威サーバーに送ってます。
特大ブーメランかな?