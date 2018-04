Společnost CloudFlare před několika dny spustila na adresách 1.1.1.1 a 1.0.0.1 dva veřejné DNS servery a zařadila se tak po bok obdobným službám, které poskytuje Google, OpenDNS nebo třeba i český CZ.NIC. Používání těchto resolverů má zvýšit rychlost připojení k Internetu, ochránit vaše soukromí a vůbec všeobecně zařídit světový mír. Rozhodně se jedná o užitečnou službu, kterou může mít smysl využívat, nicméně zázraky nečekejte.

Co je to DNS?

DNS, Domain Name System, si můžete představit jako telefonní seznam. Internetové služby (webové a další servery) jsou primárně identifikovány svou IP adresou, tu si můžete představit jako telefonní číslo. Třeba IP adresa 46.255.231.42 patří serveru ihned.cz.

Jenomže pamatovat si IP adresy všech těchto služeb by bylo dost nepraktické. Navíc IP adres je málo, takže na jedné IP adrese ("telefonním čísle") může být provozováno několik různých služeb. Proto je tu systém DNS, který slouží k překladu doménových jmen (jako je třeba www.ihned.cz) na IP adresy (umí toho mnohem víc, ale to není pro tento okamžik podstatné). Služby tohoto typu poskytují takzvané DNS servery.

Typickými provozovateli DNS serverů jsou poskytovatelé připojení k Internetu, zařizují resolving pro jejich zákazníky. To je téměř s jistotou DNS server, který používáte, pokud jste se tím nijak nezabývali.

Jiní poskytovatelé DNS služeb

Na svého ISP nicméně nejste odkázáni. Jsou i jiní poskytovatelé DNS služeb. Nejznámější jsou asi DNS servery společnosti Google, se svými adresami 8.8.8.8 a 8.8.4.4. Jsou ovšem i jiní, nově například CloudFlare. Toto je seznam těch nejznámějších a největších, případně pro nás relevantních:

Služba IPv4 IPv6 Google

https://developers.google.com/speed/public-dns/ 8.8.8.8 8.8.4.4 2001:4860:4860:0:0:0:0:8888

2001:4860:4860:0:0:0:0:8844 CloudFlare https://1.1.1.1/ 1.1.1.1 1.1.0.0 2606:4700:4700::1111

2606:4700:4700::1001 Cisco OpenDNS https://www.opendns.com/ 208.67.222.222 208.67.220.220 2620:0:ccc::2 2620:0:ccd::2 CZ.NIC https://www.nic.cz/odvr/ 217.31.204.130 193.29.206.206 2001:1488:800:400::130 2001:678:1::206 DNS-OARC https://www.dns-oarc.net/oarc/services/odvr 184.105.193.73 184.105.193.74 2620:ff:c000:0:1::64:20 2620:ff:c000:0:1::64:21

Pro používání jiných DNS serverů, než od vašeho ISP, se uvádí celá řada důvodů. Od větší rychlosti, spolehlivosti, přes ochranu soukromí po obcházení případné cenzury. Pro většinu z nich platí "ano, ale".

Minimální vliv na rychlost

Často uváděným důvodem změny DNS serveru bývá vyšší rychlost. CloudFlare svou službu dokonce prezentuje hlavně jako "the Internet's Fastest, Privacy-First DNS Resolver" s tím, že průměrná rychlost odezvy DNS u poskytovatelů je 68 ms, zatímco jeho pouze 15 ms. Rozdíl tedy činí jednu dvacetinu sekundy, což není právě mnoho.

Navíc výsledky DNS dotazů se cacheují. Ke skutečnému překladu tak dochází v zásadě pouze při prvním připojení k danému serveru. Veškerá další spojení pak používají tutéž adresu.

Čas potřebný k DNS resolvingu je navíc v podstatě zanedbatelný s časem potřebným k vlastnímu ustavení spojení a přenosu dat. Existují i výjimky, mohou být nějaké extrémně pomalé DNS servery, ale obecně se dá říci, že změnou DNS serveru si připojení k Internetu nijak viditelně nezrychlíte.

Užitečné pro spolehlivost

U DNS serveru je důležité spíš aby vůbec fungoval. Protože ve chvíli, kdy vám přestane fungovat vyhledávání doménových jmen, fakticky vám přestane fungovat připojení k Internetu. Z pohledu uživatele to vypadá zvláštně: na některé služby se dostanete (na ty, jména jejichž serverů máte v DNS cache), na jiné ne. Těch funkčních postupně ubývá, jak jsou z cache vyřazovány. V praxi si to vyzkoušeli čeští uživatelé Google DNS v listopadu 2016, kdy Google umřela část infrastruktury.

Operační systémy jsou si důležitosti DNS resolvingu vědomy a proto zpravidla nemají DNS server jenom jeden, ale více (typicky dva, ale v zásadě jich může být neomezené množství). Základní princip je, aby každý ze serverů byl od jiného provozovatele. Nepoužívejte tedy kombinaci 1.1.1.1 + 1.0.0.1 (oba servery provozuje CloudFlare) nebo 8.8.8.8 + 8.8.4.4 (oba servery provozuje Google), ale třeba 1.0.0.1 + 8.8.8.8 a podobně. Tím zajistíte, že při výpadku jedné služby zůstane resolving funkční. Totéž by v zásadě měl zajistit provozovatel DNS serverů - neměly by být na stejné síti a infrastruktuře, ale jak ukazují zkušenosti, ne vždy tomu tak skutečně je.

Při problémech s připojením k internetu by pak mezi prvními akcemi po vyzkoušení obvyklých kroků, jako je restart počítače a modemu, měla následovat změna DNS serveru respektive test, zda prohlížeč načte stránku, pokud uživatel zadá její číselnou IP adresu - může to být například i 1.1.1.1 - na této adrese kromě DNS resolveru běží i webový server.

Ochrana soukromí a reklama

Častým argumentem pro používání DNS služeb třetích stran je ochrana soukromí. Protože provozovatel DNS ví, jaké služby využíváte a může vás podle toho profilovat. Což je pravda, ale použitím cizích DNS sledování ze strany poskytovatele připojení zcela nezabráníte.

Za prvé, z analýzy DNS provozu skutečně lze o uživateli získat informace, ale pouze velmi hrubé. V první řadě se jedná pouze o názvy serverů, na které se připojuje. Lze tedy např. zjistit, že používáte Facebook, ale už ne jaké stránky na něm lajkujete nebo jak se jmenuje váš profil, natož co na něj píšete. Kromě toho, že váš počítač resolvuje nějaký host name, ještě neznamená, že danou službu skutečně používáte, stačí že je třeba někde na stránce vloženo její sdílecí tlačítko.

Za druhé, poskytovatel připojení k Internetu má mnoho dalších možností, jak zjistit tytéž informace. Nebo spíše mnohem přesnější. Protože může provádět přímo analýzu vašeho provozu. Nemusí vědět jaké názvy resolvujete, protože ví, na které servery se připojujete a - není-li spojení šifrované - i jaká data přenášíte. Svému ISP prostě věřit musíte, není z toho cesty ven. Možná snad vytvořit si VPN k nějakému poskytovateli, kterému důvěřujete.

Za třetí, samo použití jiných DNS serverů odposlechu nezabrání. Dotazy jsou totiž přenášeny v otevřeném tvaru, bez šifrování. Existuje sice i zabezpečená varianta, ale její rozšíření je minimální.

Byly ovšem zaznamenány případy, kdy někteří poskytovatelé dotazy na neregistrované domény resolvovali na svoje servery a používali je k reklamě nebo jiným komerčním účelům. Nepamatuji si nicméně, že by něco takového probíhalo v České republice a i v zahraničí se takové pokusy obvykle setkaly s velkou nelibostí uživatelů a tiše skončily.

Blokování cenzury

Pro českého uživatele může být aktuální použití externích DNS serverů jako obcházení cenzury ministerstva financí. Od loňského roku platí zákon, na základě kterého může ministerstvo financí - bez přivolení soudu - zablokovat jakoukoliv doménu, na které je provozována dle jeho názoru nepovolená hazardní hra. Čeští poskytovatelé připojení k Internetu jsou povinni k ní neumožnit přístup.

Protože jsme ovšem v České republice, i cenzura se zde děje tak, aby bylo všechno formálně v pořádku, ale fakticky to k ničemu být nemusí. Všichni mně známí poskytovatelé připojení blokují přístup právě prostřednictvím resolvingu DNS - protože je to technicky nejjednodušší.

Zkuste schválně do svého prohlížeče napsat adresu www.1xbet.com, která byla blokována jako první. Pokud využíváte standardní DNS servery českého poskytovatele připojení, nejspíše se vám zobrazí zpráva vašeho providera, že stránku musel zablokovat z rozhodnutí ministerstva financí. Poskytovatel nakonfiguroval své DNS servery tak, aby zakázaná doménová jména překládaly na IP adresu nějakého serveru pod jeho kontrolou, který pak zobrazuje uvedené hlášení. Stačí ovšem změnit DNS servery na jiné (a to včetně českého CZ.NICu, protože na něj se uvedený zákon nevztahuje) a na zakázaný web se normálně dostanete, protože skutečné připojení jako takové blokováno není.

#

CloudFlare open DNS je rozhodně projekt jdoucí správným směrem. Není ovšem nijak převratný ani unikátní. Jeho hlavní výhodu spatřuji v tom, že po osmičkách od Google jsou jeho jedničky snadno zapamatovatelné a usnadní vám dodržení best practice, že by primární a sekundární DNS mělo být technologicky co nejvíc oddělené. Signifikantní zrychlení internetového připojení či zásadní vliv na ochranu soukromí od něj však nečekejte.