فهم Umbrella DNS مع تقليل QNAME

المقدمة

يصف هذا المستند كيفية إستخدام نظام اسم مجال Cisco Umbrella (DNS) مع تصغير QNAME.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

في يونيو 2019، أضافت Cisco Umbrella دعما لتقليل اسم الاستعلام (RFC7816). QNAME Minimization هي ميزة موجهة للخصوصية في DNS تهدف إلى الحد من إرسال وجهة المجال الكامل إلى خوادم الأسماء الجذر. ونتيجة لذلك، تم تعديل تدفق استعلامات DNS لتحديد إستجابة استعلام DNS.  

تقليل اسم QNAME موضوع عالمي. يحتوي Internet Systems Consortium على مقالة مقدمة حول Qname Minimization. يتطلب Mozilla Firefox إستخدام المحددين QNAME Minimation ل DNS عبر عمليات تنفيذ HTTPS، كما يحتوي على مقال حول هذا الموضوع.

فهم تصغير الاستعلام

يعد تقليل الاستعلام نهجا جديدا يرتكز على خصوصية البيانات للاستعلامات المخولة DNS. لاستكشاف ما هو تصغير الاستعلام، ابدأ بشرح لكيفية عمل طلب DNS حاليا اليوم.

بما أن معظم التفاعل البشري مع الإنترنت يبدأ باستفسار DNS، فإن البيانات الكبيرة عن المكان الذي يذهب إليه المستخدمون معلومات قيمة، والتي يمكن اعتبارها بيانات خاصة.

على سبيل المثال، تتطلع لزيارة موقع الويب umbrella.cisco.com. تحتاج إلى استعلام DNS لتحديد مكان وجود هذا الخادم، لذلك ترسل Umbrella هذا الاستعلام إلى خادم DNS متكرر للعثور على الإجابة من المرجع الذي يستخدم الخطوات التالية:

1. استعلام المستخدم إلى محلل DNS المتكرر: umbrella.cisco.com

2. يستعلم خادم DNS المتكرر عن الإجابة من خوادم الأسماء الجذرية: وين بلاقي umbrella.cisco.com to root > response for .com

3. استعلام في خوادم أسماء .com: umbrella.cisco.com to .com > الحصول على موقع خوادم الأسماء cisco.com

4. استعلام عن خوادم الأسماء على العنوان cisco.com: umbrella.cisco.com إلى cisco.com > الإجابة متوفرة

وفي العديد من الحالات، يمكن أن يستمر ذلك مع عدة تكرارات أخرى لأحرف أسماء مختلفة حتى يتم تحديد موقع السجل A. في الخطوات من 1 إلى 2، تبحث Umbrella بنشاط فقط عن موقع خوادم أسماء .com. ومع ذلك، يتم إرسال مجال umbrella.cisco.com الكامل إلى خادم الأسماء في الجذر و.com. الأمر نفسه ينطبق على خادم الأسماء cisco.com الذي يتلقى الاستعلام الكامل.

مع تقليل الاستعلام، تنتقل الخوارزمية إلى طلب المستوى المطلوب من التفاصيل فقط في استعلامات تدفق البيانات:

1. استعلام المستخدم إلى محلل DNS المتكرر: umbrella.cisco.com

2. يستعلم خادم DNS المتكرر عن خوادم الأسماء الجذرية: وين بلاقي دوت كوم > جاوب على دوت كوم

3. استعلام في خوادم أسماء .com: cisco.com to .com > موقع cisco.com

4. استعلام في خوادم الأسماء cisco.com ل umbrella.cisco.com > الرد

يعمل هذا بشكل جيد في معظم الحالات، ويسمح بتحديد مكان الإجابة دون الكشف عن الاستعلام الفريد الذي يتم إجراؤه على خوادم أسماء الجذر أو TLD.

وتكون هذه الخصوصية أكثر أهمية للمجالات التي تستخدم الشبكة الفرعية لعميل EDNS، حيث يتم إعلام هيئة DNS بكتلة C المصدر الخاصة بالمستخدم (/24) عند الاستعلام. من دون تقليل اسم QNAME، تعرف خوادم أسماء الجذر و .com (في هذا المثال) موقعك العام وكذلك إلى أين تذهب بالضبط. باستخدام QNAME Minimization، تعرف الجذور فقط أن شخصا ما يبحث عن .com ويتم الحفاظ على خصوصية الطالب. لا تتطلب هذه الوحدات مستوى التفاصيل الذي تم توفيره لها اليوم بدون حماية خصوصية QMIN.

التأثيرات الجانبية المحتملة

يعمل تقليل اسم QNAME دون مشاكل في معظم الحالات. ومع ذلك، فإنه يخضع لمصادر إضافية للفشل بالمقارنة مع استعلام مباشر. بما أن الوجهة الكاملة لا يتم الكشف عنها حتى الخطوة الأخيرة من العملية إلى خادم الأسماء المخول، فإن الانكسارات في سلسلة DNS يمكن أن تعطل تحليل المجال. على سبيل المثال، هنا اسم خيالي طويل-umbrellas.in.the.rain.umbrella.cisco.com. قد يؤدي ذلك إلى هذه الاستعلامات:

1. ما هي خوادم الأسماء الخاصة بموقع .com للخوادم الأصلية .

2. ما هي خوادم الأسماء ل cisco.com للخوادم .com

3. ما هي خوادم الأسماء ل umbrella.cisco.com إلى خوادم الأسماء cisco.com

4. ما هي خوادم الأسماء ل rain.umbrella.cisco.com إلى خوادم الأسماء umbrella.cisco.com.

5. ما هي خوادم الأسماء ل the.rain.umbrella.cisco.com إلى خوادم الأسماء rain.umbrella.cisco.com

6. ما هي خوادم الأسماء ل in.the.rain.umbrella.cisco.com إلى خوادم الأسماء rain.umbrella.cisco.com: سرفيل

7. ما هي خوادم الأسماء ل umbrellas.in.the.rain.umbrella.cisco.com إلى خوادم الأسماء rain.umbrella.cisco.com (لم يتم الاستعلام عنها بسبب Servfail في وقت سابق)

8. ما هو الرد على موقع الويب umbrellas.in.the.rain.umbrella.cisco.com على خوادم الأسماء umbrellas.in.the.rain.umbrella.cisco.com التي تم العثور عليها في وقت سابق (لم يتم الاستعلام عنها بسبب Servfail في وقت سابق)

نظرا لعدم إعطاء الجذر الاستعلام الكامل، إذا قام أحد مستويات المجال بإرجاع NXDOMAIN أو SERVFAIL أو IP الخاص بخادم الاسم الداخلي RFC-1918 أو أي إستجابة أخرى سيئة، فقد يفشل الاستعلام في تلقي إستجابة موثوق بها للتحميل بنجاح. على سبيل المثال، إذا فشلت الخطوة السادسة السابقة (جريء، تحته خط)، فإن الاستعلام عن umbrellas.in.the.rain.umbrella.cisco.com قد يفشل في الحل. لحل هذه المشاكل، يجب أن يضمن مالك المجال أن كل مستوى لديه إستجابة عامة صالحة.