掲示板

新たなDNSサービス「1.1.1.1」始動!

20180402a.png

※アメリカの現地時間ではエイプリルフール当日でしたが、決してエイプリルフールの嘘ネタではありません!※

CloudFlareは、新たなパブリックDNSサービス「1.1.1.1」の提供を開始しました。
「1.1.1.1」は、インターネットの高速化とプライバシーの保護を主目的としています。
パブリックDNSサービスは、Googleが提供する「8.8.8.8」「8.8.4.4」が有名ですが、それよりも高速になり、
また、プロバイダにブラウジング履歴を収集されなくなるので、より安全にインターネットを使うことができるとのことです。

IPv4におけるプライマリDNSサーバーは「1.1.1.1」、セカンダリDNSサーバーは「1.0.0.1」です。
IPv6におけるプライマリDNSサーバーは「2606:4700:4700::1111」、セカンダリDNSサーバーは「2606:4700:4700::1001」です。

「1.1.1.1」公式サイト(英語)
https://1.1.1.1/

Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service(CloudFlare公式ブログでの発表、英語)
https://blog.cloudflare.com/announcing-1111/

プライバシー面を重視したDNSサービス「1.1.1.1」をCloudflareが提供開始(Gigazine)
https://gigazine.net/news/20180402-cloudflare-1111/


32 件のコメント
1 - 32 / 32
CloudFlareは、Web運営者なら割と有名なCDNサービスを無料で提供している会社なので、個人的には信用できます。
インターネットのサイト応答が遅いなと感じたら使ってみるのもありだと思います。
基本的にはDNSは接続先のネットワークに近いものを利用するのが正解ですが、ネットワークアクセスが不調のときにテスト用として使うには有用ですね。

Google Piblic DNSを常用する人がいますが、今すぐやめましょう。このCloudfairのDNSも常用目的ではなくて、緊急用と考えるべきですね。
昨日の夜DNSテストした結果、我が家からは8888よりも1111の方がほんのすこしだけ良い成績でした。
しょっぱなからかなりの実力でした。
試したらPINGの応答があるようでしたので、コマンドプロンプトでのインターネット開通テストなどで使おうと思います。
ついでにtrace routeの結果を貼っておきます。

traceroute to 1.1.1.1 (1.1.1.1) , 5 relative hops max, 52 byte packets
1 aterm.me (192.168.179.1) 7.027 ms 16.098 ms 17.635 ms
2 60.56.3.188 (60.56.3.188) 70.405 ms 552.266 ms 553.616 ms
3 203.140.83.10 (203.140.83.10) 99.378 ms 355.185 ms 357.893 ms
4 100.64.3.38 (100.64.3.38) 77.499 ms 184.978 ms 187.181 ms
5 60.56.6.66 (60.56.6.66) 101.171 ms
61.205.127.233 (61.205.127.233) 227.479 ms 695.042 ms
6 203.140.81.209 (203.140.81.209) 76.346 ms 199.754 ms 207.337 ms
7 203.190.227.8 (203.190.227.8) 82.124 ms 775.583 ms 779.903 ms
8 1dot1dot1dot1.cloudflare-dns.com (1.1.1.1) 96.163 ms 274.625 ms *
9 1dot1dot1dot1.cloudflare-dns.com (1.1.1.1) 68.289 ms 74.754 ms 103.569 ms

dns.png

いまベンチマークやったら、GoogleDNSと差がなくなってしまいました!
我が家からIPv4だと、ほぼ互角です。

dns2.png

mineo D を windows 10 PCにモデム接続してテストしました。
ケイ・オプティコムのDNSサーバーがああああ…

一番いいGoogleDNSと比較すると
・最短応答時間でちょい負け
・最悪応答時間は 200 vs 700 msで3.5倍イケてない
・標準偏差が大きいので、性能にバラツキが大きい。

経路上すごく近いDNSにできるはずなのに…
1.1.1.1、実に覚えやすくて良いアドレスだと思います(笑)
万が一の際、使えそうです♪

Google DNS含め、パブリックDNSの利用が推奨されないっていう点は理由が気になります。
Android端末はWi-Fi利用時のDNSは、基本的にGoogle DNSがデフォルトで設定されていますし。
利用者が圧倒的に多いので、DNSキャッシュポイズニングが発生する確率も高くなってしまうという意図?
あくまでリスク回避的な意味合いなんでしょうか?
そのDNS鯖までの経路が遠い、そもそも信用できる鯖なのか不明ので通信の効率やセキュリティの問題がまず問題になりますね、そもそもタダで使わせてくれてる理由は何なのとか経費はどうなってるのとか考え出したら常用するようなものではないという意見はある程度納得できるかと思います。

まあ、緊急用として考えれば、今回はそこそこ信頼のある組織かつ何で用意したかの打算も分からなく無い範囲だから有り難いのは確かですが。
>>gunnerさん

ありがとうございます。
ホップ数や中継地点のボトルネック的な問題で、
今後の利用者増でサービスインからのレスポンスを維持できるかも分からないですしね。

特に問題がないのであれば、素直に自分のISPのDNSを使った方が無難と言うことでしょうか?

国内ISPのセキュリティってどうなんでしょうね。
外部公開はしていなくとも、実際は強固かなんて分かりようがありませんし……。
詩音(しおん)さん>
> 国内ISPのセキュリティってどうなんでしょうね。
> 外部公開はしていなくとも、実際は強固かなんて分かりようが
> ありませんし……。

どうなんでしょうね?。
まあ、データセンター襲撃されない限りは大丈夫だと思いますけどね.....。
結構真剣な答えです。(苦笑)

通信事業者にとっては「自社設備を使ってもらい、その利用料で事業収益を上げる」事が重要なので、セキュリティがボロボロだったら使ってもらえないでしょうから、自ずと色々やってると思います。

※それにデータセンターと言っても見た目にはわかりにくく設置されてる
 ところも少なくないので。外から見た限りでは
 「えっ?、ここがxxの拠点?」なんて外観も珍しくはないです。
 その位溶け込んでる方がセキュリティ上も安全なんだと思います。

世の中にはデータセンター地図をつくってる方もいらっしゃるようなので、興味があるようでしたら検索してみてください。(^^)
ちなみに、公式サイトの日本語版ページも用意されているみたいですよ。
https://1.1.1.1/ja-jp/
>詩音(しおん)さん
国内の各ISPや大学等のDNS含む各種鯖のセキュリティは千差万別色々有りますが、データセンタを自前で持ってたり、それなりにお金をかけて手配してる場合、人為的でないトラブルへの対応はそれなりにやってることが多いはずです。
但し、ガチで武装した相手に突入されたり爆撃されることまで考慮しているセンタはというと(ry

#そもそも大手町とか見た目からして黙ってても崩れそう(以下検閲
>>ばななめろんさん
>>gunnerさん

お二方ともハッキング・クラッキングといった脅威ではなく、
ガチの武装集団による武力制圧前提で話されててちょっとクスリとしちゃいました(笑)
ゴメンなさいね。不勉強のため、あんまりお話出来そうにありません。

大手町のデータセンター……あの辺だと確かにあそこに集約されてるのかな……。
実際行ったことはないから、どんな外観なのかは分からないんですよね。
入館権限持ってないし……ただ、顔写真の更新頻度少なくてその辺どうなのよ?とは思ったことがあります(・ω・`)

大体どこも大手データセンターのハウジングエリアのラックに収容されてる感じです?
>詩音(しおん)さん
真っ当なデータセンタは数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベルではない地震には流石にそれなりに備えていることが多いので、セキュリティというと部外者の進入と人為的な破壊工作、制圧に関してって方向になったと思います。
天災も流石に荒川や隅田川氾濫とか伊勢湾台風クラスの水害とか近隣一ブロック全焼の火災とか震度7の地震、隕石直撃辺りはキッパリ諦めてバックアップのセンタに切り替えですけど。

#大手町付近が全損したらINS網とかは特にかなりピンチ
>>gunnerさん

>数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベル

ここは多少セキュリティの勉強しましたが、物理的なリスク回避に限った話なんでしたっけ?
サーバではなく、あくまでデータセンターのセキュリティだからかな?

……大規模なところだと、リスク回避で国内に複数配置とかもありましたね。
万が一に備えてのフェールオーバーも……って書き掛けて、クラウドとごっちゃになったので忘れてください(*´艸`*)


>あと、大手町は建物の外観はそこまで酷くない(よね>同業諸氏)と思いますが中が些か
うーん……職場行かないと住所分からないからストリートビューで外観すら見れないや……( ˘•ω•˘ )
これは個人的な復習事項として覚えておきますね(笑)

#そういえばあのエリア、3年前に専用線とINSの大規模なry……はさすがに別要因でしょうけど(笑)
プライマリ 1.1.1.1   セカンダリ 8.8.8.8
またはその逆
というのはアリですか?
コレであんなことやそんなことが...
(やりませんけど)
>ひかリォさん
設定できるかという話であれば問題なくできます、必ずしも参照するDNSサーバのリストが全て同一運用元である必要はありません。
しかしながら、参照できるDNSサーバが2ヶ所のシステムで、それぞれに全く異なる運営系統のDNSサーバを登録した場合、各運用元ではメンテや障害のタイミングによってはどちらも使用できないタイミングに運悪く当たってしまうリスクがあがるかもしれません。
同一運用元なら、プライマリとセカンダリのどちらかが生きていればサービスは継続中と見なせるので、片系だけ止まっていることは割とあり得ますから。
DNSサーバのリストが3以上登録できる機械でバックアップとして追加で列挙ならこうした問題はありませんが、それが出来るクラスの機械でこの手のDNSサーバを参照することの是非はまた別の問題だと思います。

#あんまり人の事言えないけど
>詩音(しおん)さん
乗ってくる人も限られるだろうし書かなくてもいいかなと思って途中で問題の一節消しちゃいましたm(- -)m
まあ、電源が火を噴く件は抜本的改善を図るよう(移るかどうかで色々揉めてるみたいだけど)だから良いとして、INSのベースクロックがどうなるのかは少し気になっていたりはします。25年以降も音声サービスは続けるという話だし。
そういえば、もう片方の本丸は今どうなってるのかな。
あと、データセンタ内の各サーバのセキュリティについてはサーバごととかラック、エリアごとの話になると思いますが、コッチはすみませんがあんまし書けるようなネタを持ち合わせてないです、書いて問題ない範囲でネタをお持ちの方がいればお任せします。

#基本的に音声の関係者なので
IPv6版のDNSを登録するメリットって何でしょうか
DNSのIPアドレスがバージョン6のものでも、基本的にDNSのデータベースは同等のものですよね?
つきこうさんへ

>>IPv6版のDNSを登録するメリットって何でしょうか
「v4なしIPv6オンリー」な環境もあるので"ある/なし"でいくと"ないとこまる"です。
"メリットある/ない"は、ネットワーク設計方針しだいかなと思います。
我が家はv4使うとPPPoE通過しないといけないので、フレッツの仕様どおりv6側を使ってます。

>>基本的にDNSのデータベースは同等のものですよね?
日本には「黒歴史」があり、同じでなかった過去が…

「日本では壊れたIPv6が広まっている」とGoogle、IPv6接続お断りの方針 -INTERNET Watch Watch
http://internet.watch.impress.co.jp/docs/news/534357.html

日本の壊れたIPv6対応をしていただいた国際ベンダーの皆様ありがとうございます。
いまはAAAAフィルターはほとんどやってません。
詩音(しおん)さん>
gunnerさん>

>> 数時間から数日レベルの停電や落雷、普通の洪水と倒壊レベル
>
> ここは多少セキュリティの勉強しましたが、物理的なリスク回避に
> 限った話なんでしたっけ?
> サーバではなく、あくまでデータセンターのセキュリティだからかな?
> ……大規模なところだと、リスク回避で国内に複数配置とかも
> ありましたね。
> 万が一に備えてのフェールオーバーも……って書き掛けて、
> クラウドとごっちゃになったので忘れてください(*´艸`*)

この手の話って「実情知ってても(≒実情は.....?)書けないお話」ばかりになるので、一番良いのは Webで検索しまくることを御薦めします。

※いや、ホントに書けないからなあ。(苦笑)

>> あと、大手町は建物の外観はそこまで酷くない(よね>同業諸氏)と
>> 思いますが中が些か
>
> うーん……職場行かないと住所分からないからストリートビューで
> 外観すら見れないや……( ˘•ω•˘ )
> これは個人的な復習事項として覚えておきますね(笑)

一つ書けるのは「NTTグループのデータセンターなり事業所は、一部昔のクロスバー式交換機を置いていた電話局舎の再活用」と容易に判るところが多い、ってことですね。あとは「お察しください」という事で。(苦笑)

※過去の地図を調べれば、そこが「xx電話局」とか書いてあるので、
 結構判ります。
 ちなみにクロスバー式交換機がどんなものか知りたければ検索して
 みてください。(まあ、金属の塊ですけどね)

> #そういえばあのエリア、3年前に専用線とINSの大規模なry……は
> さすがに別要因でしょうけど(笑)

これも調べると普通に原因が出てくると思いますよ。

※知ってても絶対に書かないし、そもそも私自身はその原因知らないので。
amiyyさん>
>> IPv6版のDNSを登録するメリットって何でしょうか
> 「v4なしIPv6オンリー」な環境もあるので"ある/なし"でいくと"
> ないとこまる"です。
> "メリットある/ない"は、ネットワーク設計方針しだいかなと思います。
> 我が家はv4使うとPPPoE通過しないといけないので、フレッツの仕様
> どおりv6側を使ってます。

まあ、一番でかいのはマルチキャスト通信かもしれませんけどね>DNSv6
ユニキャストだと結局処理するデータが大きくなりすぎる可能性が出てくるので、マルチキャスト配信向け、と個人的にはまだ考えている次第です。

※でもそのうち、DNSv6が活かされる新しいサービスが出てくる気は
 しますけどねえ。
 逆に DNSv4の方が有利なものも多いですよねえ
 >敢えてマスカレードしたいなど。多くは語りませんが。
ばななめろんさん

>>まあ、一番でかいのはマルチキャスト通信かもしれませんけどね>DNSv6
なるほどー
v6マルチキャストは日本でも商用可してますからね。
IPv6のDNS周りのトラブルは既に一部で問題になりつつあったりしますけどね。
ひかり電話を使用する環境で特に色々ありますが詳細は(ry

#DNS鯖が決め打ちできる機器の場合は取り敢えずそれで
gunnerさん

>>ひかり電話を使用する環境で特に色々
詳しくプリーズ((o(´∀`)o))ワクワク
手っ取り早く試したいときはひかり電話機器の配下に手持ちのルータを繋いだあとにIPv6を利用するサービスに片っ端から繋いでみてください。
DNSの回答は満足がいくものであればとりあえずこの件は該当環境ではクリアって事です。

#例えばソフトイーサとか
おもしろい

Cloudflareの1.1.1.1が「DNS over Twitter」を開始。ドメイン名をツイートすると即座にIPアドレスを返答
http://www.publickey1.jp/blog/18/cloudflare1111dns_over_twitterip.html
≫amiyyさん
IPv6アドレスにも対応してるのですね。
今更ながらCloudFlareのDNS over HTTPSにPCから接続してみました。
使い勝手は特に問題なく快適です。
コメントするには、ログインまたはメンバー登録(無料)が必要です。