新たなDNSサービス「1.1.1.1」始動!
※アメリカの現地時間ではエイプリルフール当日でしたが、決してエイプリルフールの嘘ネタではありません!※
CloudFlareは、新たなパブリックDNSサービス「1.1.1.1」の提供を開始しました。
「1.1.1.1」は、インターネットの高速化とプライバシーの保護を主目的としています。
パブリックDNSサービスは、Googleが提供する「8.8.8.8」「8.8.4.4」が有名ですが、それよりも高速になり、
また、プロバイダにブラウジング履歴を収集されなくなるので、より安全にインターネットを使うことができるとのことです。
IPv4におけるプライマリDNSサーバーは「1.1.1.1」、セカンダリDNSサーバーは「1.0.0.1」です。
IPv6におけるプライマリDNSサーバーは「2606:4700:4700::1111」、セカンダリDNSサーバーは「2606:4700:4700::1001」です。
「1.1.1.1」公式サイト(英語)
https://1.1.1.1/
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service(CloudFlare公式ブログでの発表、英語)
https://blog.cloudflare.com/announcing-1111/
プライバシー面を重視したDNSサービス「1.1.1.1」をCloudflareが提供開始(Gigazine)
https://gigazine.net/news/20180402-cloudflare-1111/
32 件のコメント
コメントするには、ログインまたはメンバー登録(無料)が必要です。
インターネットのサイト応答が遅いなと感じたら使ってみるのもありだと思います。
Google Piblic DNSを常用する人がいますが、今すぐやめましょう。このCloudfairのDNSも常用目的ではなくて、緊急用と考えるべきですね。
しょっぱなからかなりの実力でした。
traceroute to 1.1.1.1 (1.1.1.1) , 5 relative hops max, 52 byte packets
1 aterm.me (192.168.179.1) 7.027 ms 16.098 ms 17.635 ms
2 60.56.3.188 (60.56.3.188) 70.405 ms 552.266 ms 553.616 ms
3 203.140.83.10 (203.140.83.10) 99.378 ms 355.185 ms 357.893 ms
4 100.64.3.38 (100.64.3.38) 77.499 ms 184.978 ms 187.181 ms
5 60.56.6.66 (60.56.6.66) 101.171 ms
61.205.127.233 (61.205.127.233) 227.479 ms 695.042 ms
6 203.140.81.209 (203.140.81.209) 76.346 ms 199.754 ms 207.337 ms
7 203.190.227.8 (203.190.227.8) 82.124 ms 775.583 ms 779.903 ms
8 1dot1dot1dot1.cloudflare-dns.com (1.1.1.1) 96.163 ms 274.625 ms *
9 1dot1dot1dot1.cloudflare-dns.com (1.1.1.1) 68.289 ms 74.754 ms 103.569 ms
いまベンチマークやったら、GoogleDNSと差がなくなってしまいました!
我が家からIPv4だと、ほぼ互角です。
mineo D を windows 10 PCにモデム接続してテストしました。
ケイ・オプティコムのDNSサーバーがああああ…
一番いいGoogleDNSと比較すると
・最短応答時間でちょい負け
・最悪応答時間は 200 vs 700 msで3.5倍イケてない
・標準偏差が大きいので、性能にバラツキが大きい。
経路上すごく近いDNSにできるはずなのに…
万が一の際、使えそうです♪
Google DNS含め、パブリックDNSの利用が推奨されないっていう点は理由が気になります。
Android端末はWi-Fi利用時のDNSは、基本的にGoogle DNSがデフォルトで設定されていますし。
利用者が圧倒的に多いので、DNSキャッシュポイズニングが発生する確率も高くなってしまうという意図?
あくまでリスク回避的な意味合いなんでしょうか?
まあ、緊急用として考えれば、今回はそこそこ信頼のある組織かつ何で用意したかの打算も分からなく無い範囲だから有り難いのは確かですが。
ありがとうございます。
ホップ数や中継地点のボトルネック的な問題で、
今後の利用者増でサービスインからのレスポンスを維持できるかも分からないですしね。
特に問題がないのであれば、素直に自分のISPのDNSを使った方が無難と言うことでしょうか?
国内ISPのセキュリティってどうなんでしょうね。
外部公開はしていなくとも、実際は強固かなんて分かりようがありませんし……。
> 国内ISPのセキュリティってどうなんでしょうね。
> 外部公開はしていなくとも、実際は強固かなんて分かりようが
> ありませんし……。
どうなんでしょうね?。
まあ、データセンター襲撃されない限りは大丈夫だと思いますけどね.....。
結構真剣な答えです。(苦笑)
通信事業者にとっては「自社設備を使ってもらい、その利用料で事業収益を上げる」事が重要なので、セキュリティがボロボロだったら使ってもらえないでしょうから、自ずと色々やってると思います。
※それにデータセンターと言っても見た目にはわかりにくく設置されてる
ところも少なくないので。外から見た限りでは
「えっ?、ここがxxの拠点?」なんて外観も珍しくはないです。
その位溶け込んでる方がセキュリティ上も安全なんだと思います。
世の中にはデータセンター地図をつくってる方もいらっしゃるようなので、興味があるようでしたら検索してみてください。(^^)
https://1.1.1.1/ja-jp/
国内の各ISPや大学等のDNS含む各種鯖のセキュリティは千差万別色々有りますが、データセンタを自前で持ってたり、それなりにお金をかけて手配してる場合、人為的でないトラブルへの対応はそれなりにやってることが多いはずです。
但し、ガチで武装した相手に突入されたり爆撃されることまで考慮しているセンタはというと(ry
#そもそも大手町とか見た目からして黙ってても崩れそう(以下検閲
>>gunnerさん
お二方ともハッキング・クラッキングといった脅威ではなく、
ガチの武装集団による武力制圧前提で話されててちょっとクスリとしちゃいました(笑)
ゴメンなさいね。不勉強のため、あんまりお話出来そうにありません。
大手町のデータセンター……あの辺だと確かにあそこに集約されてるのかな……。
実際行ったことはないから、どんな外観なのかは分からないんですよね。
入館権限持ってないし……ただ、顔写真の更新頻度少なくてその辺どうなのよ?とは思ったことがあります(・ω・`)
大体どこも大手データセンターのハウジングエリアのラックに収容されてる感じです?
真っ当なデータセンタは数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベルではない地震には流石にそれなりに備えていることが多いので、セキュリティというと部外者の進入と人為的な破壊工作、制圧に関してって方向になったと思います。
天災も流石に荒川や隅田川氾濫とか伊勢湾台風クラスの水害とか近隣一ブロック全焼の火災とか震度7の地震、隕石直撃辺りはキッパリ諦めてバックアップのセンタに切り替えですけど。
#大手町付近が全損したらINS網とかは特にかなりピンチ
>数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベル
ここは多少セキュリティの勉強しましたが、物理的なリスク回避に限った話なんでしたっけ?
サーバではなく、あくまでデータセンターのセキュリティだからかな?
……大規模なところだと、リスク回避で国内に複数配置とかもありましたね。
万が一に備えてのフェールオーバーも……って書き掛けて、クラウドとごっちゃになったので忘れてください(*´艸`*)
>あと、大手町は建物の外観はそこまで酷くない(よね>同業諸氏)と思いますが中が些か
うーん……職場行かないと住所分からないからストリートビューで外観すら見れないや……( ˘•ω•˘ )
これは個人的な復習事項として覚えておきますね(笑)
#そういえばあのエリア、3年前に専用線とINSの大規模なry……はさすがに別要因でしょうけど(笑)
またはその逆
というのはアリですか?
(やりませんけど)
設定できるかという話であれば問題なくできます、必ずしも参照するDNSサーバのリストが全て同一運用元である必要はありません。
しかしながら、参照できるDNSサーバが2ヶ所のシステムで、それぞれに全く異なる運営系統のDNSサーバを登録した場合、各運用元ではメンテや障害のタイミングによってはどちらも使用できないタイミングに運悪く当たってしまうリスクがあがるかもしれません。
同一運用元なら、プライマリとセカンダリのどちらかが生きていればサービスは継続中と見なせるので、片系だけ止まっていることは割とあり得ますから。
DNSサーバのリストが3以上登録できる機械でバックアップとして追加で列挙ならこうした問題はありませんが、それが出来るクラスの機械でこの手のDNSサーバを参照することの是非はまた別の問題だと思います。
#あんまり人の事言えないけど
乗ってくる人も限られるだろうし書かなくてもいいかなと思って途中で問題の一節消しちゃいましたm(- -)m
まあ、電源が火を噴く件は抜本的改善を図るよう(移るかどうかで色々揉めてるみたいだけど)だから良いとして、INSのベースクロックがどうなるのかは少し気になっていたりはします。25年以降も音声サービスは続けるという話だし。
そういえば、もう片方の本丸は今どうなってるのかな。
あと、データセンタ内の各サーバのセキュリティについてはサーバごととかラック、エリアごとの話になると思いますが、コッチはすみませんがあんまし書けるようなネタを持ち合わせてないです、書いて問題ない範囲でネタをお持ちの方がいればお任せします。
#基本的に音声の関係者なので
DNSのIPアドレスがバージョン6のものでも、基本的にDNSのデータベースは同等のものですよね?
>>IPv6版のDNSを登録するメリットって何でしょうか
「v4なしIPv6オンリー」な環境もあるので"ある/なし"でいくと"ないとこまる"です。
"メリットある/ない"は、ネットワーク設計方針しだいかなと思います。
我が家はv4使うとPPPoE通過しないといけないので、フレッツの仕様どおりv6側を使ってます。
>>基本的にDNSのデータベースは同等のものですよね?
日本には「黒歴史」があり、同じでなかった過去が…
「日本では壊れたIPv6が広まっている」とGoogle、IPv6接続お断りの方針 -INTERNET Watch Watch
http://internet.watch.impress.co.jp/docs/news/534357.html
日本の壊れたIPv6対応をしていただいた国際ベンダーの皆様ありがとうございます。
いまはAAAAフィルターはほとんどやってません。
gunnerさん>
>> 数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベル
>
> ここは多少セキュリティの勉強しましたが、物理的なリスク回避に
> 限った話なんでしたっけ?
> サーバではなく、あくまでデータセンターのセキュリティだからかな?
> ……大規模なところだと、リスク回避で国内に複数配置とかも
> ありましたね。
> 万が一に備えてのフェールオーバーも……って書き掛けて、
> クラウドとごっちゃになったので忘れてください(*´艸`*)
この手の話って「実情知ってても(≒実情は.....?)書けないお話」ばかりになるので、一番良いのは Webで検索しまくることを御薦めします。
※いや、ホントに書けないからなあ。(苦笑)
>> あと、大手町は建物の外観はそこまで酷くない(よね>同業諸氏)と
>> 思いますが中が些か
>
> うーん……職場行かないと住所分からないからストリートビューで
> 外観すら見れないや……( ˘•ω•˘ )
> これは個人的な復習事項として覚えておきますね(笑)
一つ書けるのは「NTTグループのデータセンターなり事業所は、一部昔のクロスバー式交換機を置いていた電話局舎の再活用」と容易に判るところが多い、ってことですね。あとは「お察しください」という事で。(苦笑)
※過去の地図を調べれば、そこが「xx電話局」とか書いてあるので、
結構判ります。
ちなみにクロスバー式交換機がどんなものか知りたければ検索して
みてください。(まあ、金属の塊ですけどね)
> #そういえばあのエリア、3年前に専用線とINSの大規模なry……は
> さすがに別要因でしょうけど(笑)
これも調べると普通に原因が出てくると思いますよ。
※知ってても絶対に書かないし、そもそも私自身はその原因知らないので。
>> IPv6版のDNSを登録するメリットって何でしょうか
> 「v4なしIPv6オンリー」な環境もあるので"ある/なし"でいくと"
> ないとこまる"です。
> "メリットある/ない"は、ネットワーク設計方針しだいかなと思います。
> 我が家はv4使うとPPPoE通過しないといけないので、フレッツの仕様
> どおりv6側を使ってます。
まあ、一番でかいのはマルチキャスト通信かもしれませんけどね>DNSv6
ユニキャストだと結局処理するデータが大きくなりすぎる可能性が出てくるので、マルチキャスト配信向け、と個人的にはまだ考えている次第です。
※でもそのうち、DNSv6が活かされる新しいサービスが出てくる気は
しますけどねえ。
逆に DNSv4の方が有利なものも多いですよねえ
>敢えてマスカレードしたいなど。多くは語りませんが。
>>まあ、一番でかいのはマルチキャスト通信かもしれませんけどね>DNSv6
なるほどー
v6マルチキャストは日本でも商用可してますからね。
ひかり電話を使用する環境で特に色々ありますが詳細は(ry
#DNS鯖が決め打ちできる機器の場合は取り敢えずそれで
>>ひかり電話を使用する環境で特に色々
詳しくプリーズ((o(´∀`)o))ワクワク
DNSの回答は満足がいくものであればとりあえずこの件は該当環境ではクリアって事です。
#例えばソフトイーサとか
Cloudflareの1.1.1.1が「DNS over Twitter」を開始。ドメイン名をツイートすると即座にIPアドレスを返答
http://www.publickey1.jp/blog/18/cloudflare1111dns_over_twitterip.html
IPv6アドレスにも対応してるのですね。
使い勝手は特に問題なく快適です。