Negli ultimi 2 anni sono usciti i DNS 1.1.1.1 e 1.0.0.1 che hanno tre qualità che li contraddistinguono
Molti hanno abbandonato i dns di google che risultano più carenti sui seguenti temi su cui CF presenta un netto vantaggio :

  • Tempi di risposta rapidissimi
  • Rispondono da MIX o NaMeX , dando un vantaggio considerevole agli utenti del sud italia
  • Privacy

Il servizio, almeno da quel che leggo qui ,ha spopolato.
Sembra essere la panacea di tutti i mali , ma presenta un punto piuttosto critico.

https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details

EDNS Client Subnet
1.1.1.1 is a privacy centric resolver so it does not send any client IP information and does not send the EDNS Client Subnet Header to authoritative servers.

Non mandando il nostro indirizzo nella query si perde una risorsa preziosissima nei servizi di streaming: le cdn interne dei provider.
Specie chi usa akamai che lavora proprio cosi', ed è anche la più diffusa.
Questo causa che raggiungete il server akamai che vi deve fornire il contenuto fuori dalla rete del provider con probabilità che nelle ore di picco vediate il contenuto a una qualità inferiore e bufferizzi.

Porto un esempio con raiplay da rete fastweb streaming raiuno: servito dal server raiuno1-live.akamaized.net
Faccio una query da rete fastweb prima con dns cloudflare e poi google:
Ottengo rispettivamente:

ANSWER SECTION:
raiuno1-live.akamaized.net. 53  IN      CNAME   a1881.w16.akamai.net.
a1881.w16.akamai.net.   13      IN      A       95.101.122.64
a1881.w16.akamai.net.   13      IN      A       95.101.122.66

Query time: 1 msec
SERVER: 1.1.1.1#53(1.1.1.1)
WHEN: Mon Aug 24 14:19:37 CEST 2020
MSG SIZE  rcvd: 144
5  10.254.12.217 (10.254.12.217) [*]  1.345 ms 10.254.12.237 (10.254.12.237) [*]  2.084 ms  2.091 ms
 6  93-63-100-109.ip27.fastwebnet.it (93.63.100.109) [AS12874]  2.143 ms 93-63-100-61.ip27.fastwebnet.it (93.63.100.61) [AS12874]  1.929 ms 93-63-100-109.ip27.fastwebnet.it (93.63.100.109) [AS12874]  1.516 ms
 7  62-101-124-29.fastres.net (62.101.124.29) [AS12874]  2.511 ms 62-101-124-25.fastres.net (62.101.124.25) [AS12874]  3.784 ms 62-101-124-29.fastres.net (62.101.124.29) [AS12874]  2.689 ms
 8  * * *
 9  ibs-anycast.mil.seabone.net (195.22.196.1) [AS6762]  18.719 ms  18.699 ms  18.679 ms
10  a95-101-122-64.deploy.static.akamaitechnologies.com (95.101.122.64) [**AS16625/AS20940**]  15.061 ms  15.167 ms  14.934 ms

Finisco su Sparkle, fuori da rete FW


raiuno1-live.akamaized.net. 19  IN      CNAME   a1881.w16.akamai.net.
a1881.w16.akamai.net.   19      IN      A       80.67.66.26
a1881.w16.akamai.net.   19      IN      A       80.67.66.194

Query time: 12 msec
SERVER: 8.8.8.8#53(8.8.8.8)
 WHEN: Mon Aug 24 14:17:13 CEST 2020
MSG SIZE  rcvd: 118

Entrambi gli indirizzi si trovano in rete FW: 4 10.2.7.253 (10.2.7.253) [*] 1.634 ms 1.583 ms 10.2.7.249 (10.2.7.249) [*] 1.535 ms
5 10.254.12.237 (10.254.12.237) [*] 2.053 ms 1.695 ms 10.254.12.217 (10.254.12.217) [*] 1.878 ms
6 93-63-100-113.ip27.fastwebnet.it (93.63.100.113) [AS12874] 1.523 ms 1.741 ms 1.767 ms
7 93-63-100-145.ip27.fastwebnet.it (93.63.100.145) [AS12874] 6.943 ms 93-63-100-141.ip27.fastwebnet.it (93.63.100.141) [AS12874] 2.309 ms 93-63-100-145.ip27.fastwebnet.it (93.63.100.145) [AS12874] 3.199 ms
8 a80-67-66-26.deploy.static.akamaitechnologies.com (80.67.66.26) [**AS12874**] 1.376 ms * 1.639 ms

Valutate dunque attentamente quanto vi convenga utilizzarli e non andare di Opendns,Google o perchè no la strada più semplice: i dns del provider.
Nel primo caso usando cloudflare me lo ha risolto sì molto prima, ha mantenuto di più la mia privacy ... lo scotto da pagare è però non poter usufruire di quel contenuto che è vicino a me.

P.S: Ho pensato di fare questo posto dato che tanti amici tech avevano problemi con lo streaming da TV chromecast et simila...

Poi chi volesse: è possibile implementare il proprio bel serverino ricorsivo, ad uso esclusivo

    • [cancellato]

    gandalf2016 Grazie Post utilissimo!!
    Io ho da sempre usato i Dns dei provider che ritengo più utili per un utilizzo overall

    gandalf2016 Ecco perché da problemi con nowtv, infatti una volta, non andava, dava errore sempre, cambio il DNS con quello di telecom, e boom subito va.

    Chissà se Sky ha delle politiche un pò strane su queste cose.

    I DNS del ISP hanno il neo che potrebbero essere lenti in alcuni casi o il redirect a pagine pubblicitarie loro per domini inesistenti.
    Per legge inoltre devono bloccare alcuni siti che Google cloudflare, opendns non sono obbligati a bloccare

    • vic3000 ha risposto a questo messaggio

      gandalf2016 Poi chi volesse: è possibile implementare il proprio bel serverino ricorsivo, ad uso esclusivo

      Sempre avuto (e con le mie brave override alle zone che non devono essere raggiunte) 😇

        gandalf2016

        Molto interessante! Avevo scritto anche io un breve post sull'argomento.

        Nel mio caso ho implementato due server nella conf di dnsmasq (all'interno di pihole) specificando tramite direttiva server=/.../dns_con_edns_subnet quei domini per cui la risoluzione con dns abilitati a edns_subnet funzionerebbe meglio.
        Ne riporto alcuni ad esempio: skycdn.it, cloudfront.net, aiv-cdn.net e tutti quelli di akamai (specialmente akamaized.net).

        Google sfrutta EDNS-subnet, quindi può essere utilizzato senza problemi (in riferimento ovviamente all'oggetto del post).

        gandalf2016 Poi chi volesse: è possibile implementare il proprio bel serverino ricorsivo, ad uso esclusivo

        Il problema è la "lentezza" (come minimo, se la query non è in cache, si impiegano 100 ms a richiesta, con picchi di 400-500 ms quando si parte da 0).
        È comunque un'ottima soluzione che ci rende "indipendenti" 🙂

          stemax97 È comunque un'ottima soluzione che ci rende "indipendenti" 🙂

          In realta` sarebbe l'uso "giusto" di inter-net, interconnessione di reti dove, se puoi, offri i tuoi servizi agli altri in reciproco scambio, purtroppo per il 99% degli utilizzatori internet e` FB e la ricerca di G 😔

            gandalf2016 Per legge inoltre devono bloccare alcuni siti

            In quella lista c'era finita anche wikipedia (fine aprile, la storia dei canali telegram, iirc) 😡

            vic3000 offri i tuoi servizi agli altri in reciproco scambio

            (OT) Magari eviterei di fare un recursive resolver aperto a cani e porci a meno che non ci si voglia divertire a vedere quante carogne provano ancora a fare cache poisoning nel 2020 😃

              mpanella eviterei di fare un recursive resolver aperto a cani e porci

              Sul DNS concordo, ma sono stato per 10+ anni nel pool di it.ntp con due server stratum 3 😉

              • [cancellato]

              • Modificato

              mpanella Ma non solo, rischi ti usino come vettore di amplificazione per attacchi DDoS.
              Per uso nelle proprie subnet è perfetto, certo per i domini acceduti meno frequentemente si paga lo scotto di qualche decina di ms di latenza in più, ma chi se ne accorge all'atto pratico? Ci sono molti altri tempi morti nel caricamento delle pagine ben più lunghi della query DNS.

              A questo punto, visto già l'utilissimo post sui dns cloudflare, manca la ciliegina sulla torta: come implementiamo un nostro server dns? :-)

                Una guida "tranquilla" per il reverse proxy domestico interesserebbe anche a me...
                Poi devo rompere le scatole a fastweb che per qualche oscura ragione mi fa transitare i pacchetti da Trapani in Sicilia. Ho latenze da dsl anche verso il mix... per fortuna non gioco online però chissà se posso chiedere un reinstradamento decente...

                  • [cancellato]

                  mkonsel

                  Temo, a parte i concetti generali, troppe differenze a seconda del software usato.

                  vic3000 se puoi, offri i tuoi servizi agli altri in reciproco scambio

                  Temo sia un'epoca finita vent'anni fa. Oggi se pubblichi dei DNS sono quelli dei tuoi domini, al massimo, a meno che non fai l'ISP o sei Google/Cloudflare/etc. E già c'è poco da fidarsi - pare che metà delle query ai root server le faccia Chrome nel tentativo di individuare quali DNS fanno hijacking delle richieste.

                  Dal quel che leggo Cloudflare implementa soluzioni alternative all'EDNS per mitigare il problema: https://news.ycombinator.com/item?id=19828702

                  We are working with the small number of networks with a higher network/ISP density than Cloudflare (e.g., Netflix, Facebook, Google/YouTube) to come up with an EDNS IP Subnet alternative that gets them the information they need for geolocation targeting without risking user privacy and security. Those conversations have been productive and are ongoing.

                  Probabilmente questo problema è limitato ad Akamai che è un concorrente diretto di Cloudflare...

                    eang Si verifica anche con Amazon cloudfront.
                    Youtube invece usando scripting lato browser ti mandanda sul server giusto

                      stemax97 Ah ecco, quindi effettivamente Google e altri non sono affetti dal problema.
                      Interessante la soluzione che usi con pihole.

                      P.S.
                      Utilizzare un proprio server ricorsivo risolve il problema privacy? Non bisogna comunque inoltrare le query ad un DNS upstream?

                        eang Certo a un server root e poi tutta la catena, ma quello sempre per come funziona internet.
                        A meno che non hai server vicino usato da molti che ha molti dns in cache che è quello che si fa con Google e/o cloudflare o i dns dei provider.
                        https://www.iana.org/domains/root/servers

                        Il tema privacy era relativo più che altro a Google e alla profilazione.

                        • [cancellato]

                        eang Utilizzare un proprio server ricorsivo risolve il problema privacy? Non bisogna comunque inoltrare le query ad un DNS upstream?

                        Da un certo punto lo peggiora perché arrivi a richiedere la risoluzione del nome al resolver direttamente con il tuo IP di casa.

                        Se usi un tuo DNS ricorsivo per definizione non hai un upstream cui inoltrare le query ma le risolvi step by step (appunto, ricorsivamente) a partire dai root resolver direttamente con il tuo software.

                          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                          P.I. IT16712091004 - info@fibraclick.it

                          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile