rulinux.net - Форум - Talks - dns over dtls

Re:dns over dtls

Sat, 17 May 2025 10:18:03 +0300

Я наоборот DoH у себя запрещаю на роутере чтобы не было возможности обойти adblock. Правда запрещается трафик к известным хостам, а к невычисленным - хрен запретишь :(

Re:dns over dtls

Wed, 14 May 2025 09:28:35 +0300

dot/doh поднять локально - не сложнее "обычного".. например:

https://unbound.docs.nlnetlabs.nl/en/latest/topics/privacy/dns-over-https.html

нюанс, кмк, только в том, что для "своей" lan эт чистый overhead without benefits (если lan доверенная).. днс-запросы "наружу" - да, надо, а "внутри" - очень зависит от.. хотя.. все эти (китайские) новомодные беспроводные свистки ("умный", Карл, дом и прочая).. куда-то всё катится..

Re:dns over dtls

Wed, 14 May 2025 07:48:34 +0300

Dns то да, а вот dot, doh нет.

Re:dns over dtls

Wed, 14 May 2025 05:29:30 +0300

Ща вроде из коробки идёт (и портит жизнь) systemd-resolved - локальный кеширующий DNS-сервер. Dnsmasq тоже кеширующий. То есть по уму на входе сети в дом сидит Dnsmasq в роутыре и кеширует запросы, да и на клиентах, скорее всего, тоже подкешивается. Так что за какое именно количество миллисеков обработался единственный ДНС запрос вовне, если тысячи таких же потом отработаются мгновенно из кеша - особой рояли играть не должно.

Re:dns over dtls

Tue, 13 May 2025 09:55:07 +0300

и да и нет.. просто - только для "клиента", который получает ответ с ttl и, в теории, далее может не дёргать сервер (что на практике оч большая редкость).. нюанс в том, что клиент получает ответ на запрос, который проходит (может пройти) через цепочку днс-серверов с ttl от последнего сервера (с настройками по умолчанию).. например, для unbound есть опция: serve-original-ttl: , где Default is "no".. если "serve-original-ttl: yes", то собственные настройки min/max ttl игнорируются, и, смысл включать это - только если резолвер является "мордой" к authoritative серверу..

в общем, чем дальше в лес - тем толще партизаны..

Re:dns over dtls

Tue, 13 May 2025 08:56:22 +0300

У записей же есть время кеширования, TTL то бишь. Казалось бы нечего изобретать - на скока сказано, можно смело брать из кеша. Ну может там в бэкграунде подновлять записи кеша на всякий случай.

Re:dns over dtls

Mon, 12 May 2025 21:31:30 +0300

насчёт скорости - по обстоятельствам.. особенно при текущем чебурнете и текущих же механизмах (у провайдеров) удовлетворения требований всех тех прикольных организаций, у которых "больше прав" by design & by default..

днс-серверы (а-ля unbound, nsd, bind), как правило, кэшируют без фанатизма, т.к. тот же akamai тасует ip своих клиентов как шулер колоду.. а вот днс-клиенты, особенно браузеры, работают с днс хз как, например, принимая решение вернуть ранее сохранённую страницу (из кэша)..

для тестов/диагностики полезен/незаменим 'dig' (плюс tcpdump/wireshark).. для windows dig идёт/шёл вместе с бинарниками bind-а (BIND9.17.15.x64.zip, например, с офсайта).. если по какой-то странной и необъяснимой причине днс, рекомендованный провайдером, тормозит, то поднять "свой" - дело не сложное..

Re:dns over dtls

Mon, 12 May 2025 17:28:17 +0300

А скорость дээнэса вообще всё ещё критична? Вроде везде какие-то новые резолверы во все поля, они же кешируют ДНС наверное?

Re:dns over dtls

Mon, 12 May 2025 11:14:47 +0300

и ещё про дэнээс (выше размазал разметку, извините): https://vercara.digicert.com/resources/what-is-the-difference-between-dnssec-vs-dns-dot-and-doh

если убрать маркетинг/рекламу - наглядно всё.. у udp свои "проблемы", у tcp - свои.. чё хош - то и пользуешь.. если "слабые лапки/линки" (с % в packets dropped или типа того), смена протокола поможет от слова "никак".. или в каких-то оч особенных случаях..

плюс (для параноиков): https://www.dnscrypt.org/

Re:dns over dtls

Mon, 12 May 2025 10:31:04 +0300

гхм.. даже не знаю, что сказать.. мдэ..

\quote { $ grep dns /etc/services domain-s 853/tcp # DNS query-response protocol run over TLS/DTLS domain-s 853/udp # DNS query-response protocol run over TLS/DTLS mdns 5353/tcp # Multicast DNS mdns 5353/udp # Multicast DNS mdnsresponder 5354/tcp # Multicast DNS Responder IPC mdnsresponder 5354/udp # Multicast DNS Responder IPC

$ grep 53 /etc/services domain 53/tcp # Domain Name Server domain 53/udp ** }

днс по тисипи ходит только если его (очень) сильно заставить (и не давать йудипи).. tcpdump не даст соврать, да.. "внезапно и неожиданно"(ц/тм), что характерно..

Re:dns over dtls

Wed, 07 May 2025 13:52:54 +0300

Потому что tcp долго устанавливается и сильно тормозит на плохих линках. Dns это UDP.

Re:dns over dtls

Wed, 07 May 2025 10:47:23 +0300

как-то непонятно, зачем, если уже есть doh.. помимо днскрипт-а.. и ещё есть полностью функциональный и "простой" dot..

dns over dtls

Wed, 07 May 2025 07:27:08 +0300

Смотрите какую штуку нашёл

https://datatracker.ietf.org/doc/html/rfc8094