如果您还没有听说过，Cloudflare在4月1日推出了隐私优先DNS解析服务，这可不是开玩笑！该服务是我们第一个以消费者为中心的服务，支持新兴的DNS标准，如DNS overHTTPS:443和TLS:853英寸对传统协议的补充UDP:53和TCP:53个，一个易于记忆的地址：1.1.1.1。正如在最初的博客文章中提到的，我们的政策是永远不要在24小时内将客户端IP地址写入磁盘并擦除所有日志。不过，那些特别注重隐私的人可能根本不想把他们的IP地址透露给解析程序，我们尊重这一点。为什么我们要为这场战斗发射一场战斗zgqad洋葱可通过tor.cloudflare公司-dns.com网站.注意：隐藏解析器仍然是一个实验性的服务，不应该用于生产或其他关键用途，直到它得到更多的测试。Tor速成课程什么是Tor？想象一个替代的互联网，为了连接到网站，而不是将查找服务器路径的任务委托给您的互联网提供商，您必须通过以下步骤来访问Cloudflare：计算一条到达目的地的路径，如下所示：您->您的ISP->X->Y->Z->。你用Z的公钥加密包，然后用Y加密，最后用X加密。你把结果提交给X，X用他们的私钥解密；X将结果提交给Y，Y用自己的私钥解密；Y将结果提交给Z，Z用自己的私钥解密得到原始包；Z将数据包提交给。如果每个人都能正确地扮演自己的角色，就可以确保只有入口中继X知道您的IP地址，只有出口中继Z知道您连接的网站，从而为您提供隐私和匿名性。这是一个简化版的Tor：全世界志愿者运行的计算机和服务器的集合，它们充当建立在互联网之上的巨大网络的中继，从一个中继到下一个中继的每一个跳跃都会剥去一层加密，因此它的名字是：洋葱路由器。什么是Tor onion服务？保持互联网用户匿名并不是Tor网络的唯一功能。特别是，上述过程的一个警告是，出口中继和位于出口中继和目的地之间的任何人（包括网络提供商）仍然可以访问该连接。为了解决这个问题，并为内容发布者提供匿名性，Tor允许使用洋葱服务。Onion服务是Tor节点，它们公布其公钥，用.Onion TLD编码为地址，并在Tor网络中完全建立连接：使用Tor时如何解析域？返回给定域名的IP地址的过程称为DNS解析。由于Tor仍然使用IP地址，您仍然需要执行DNS解析才能通过Tor浏览web。使用Tor时，有两种常见的解析域名的方法：直接解析名称，然后通过Tor与IP地址对话；请求Tor出口中继公开解析名称并连接到IP。显然，第一个选项会将您的IP泄露给您的DNS解析程序，除非您的客户端使用HTTPS上的DNS或TLS上的DNS，否则它会将您的目的地名称泄漏给您的ISP。不那么明显的是，第二个选项可能会使您面临操纵攻击，例如DNS中毒或由错误中继引起的sslstrip。这就是我们新服务的切入点：问一个基于洋葱的解析器服务！Cloudflare隐藏解析器是如何工作的？简而言之，我们基于.洋葱的解析器服务是一个toronion服务，它将DNS端口上的所有通信转发到1.1.1.1上的相应端口，因此显然客户端IP是一个内部IP，而不是你的。然而，事实并非如此。隐藏的解析器安全吗？使用1.1.1.1和此服务之间的一个显著区别是.洋葱地址是"dns4tor"加上49个看似随机的字母数字字符。实际上，这个56个字符长的字符串包含一个完整的Ed25519公钥，用于保护与洋葱服务的通信。这对可用安全性提出了许多挑战：用户如何确保地址是正确的？我们只是用tor.cloudflare公司-dns.com网站作为使用者名称，.onion地址作为使用者替代名称。这样，如果你在正确的地方，你应该看到：用户如何记住这个地址？我们认为你不需要记住这个地址。理想情况下，你需要做的就是https://tor.cloudflare-dns.com和让浏览器将您的请求路由到.洋葱地址。这可以使用"Alt Svc"HTTP报头来实现，该报头是一个可选的报头，通知浏览器可以从另一个网络位置访问资源，可能使用不同的协议。多亏了Mozilla，现在Firefox每晚都可以使用.洋葱地址作为替代服务。把这个特性想象成机会主义加密：一旦您的浏览器接收到Alt Svc报头，表明.onion地址可用于tor.cloudflare公司-dns.com网站，如果它知道可以访问.洋葱地址（例如通过SOCKS代理），它尝试检查替代服务是否具有相同或更高级别的安全性。这包括确保可以使用相同的证书和服务器名连接到洋葱服务。如果是这样，浏览器将使用替代服务，从而确保您将来的请求不会离开Tor网络。隐藏的分解器快吗？这是一个思想实验：假设地球上每两点之间都有一根光缆，能够以光速无损传输数据包。使用信封背面的计算很容易看出，平均而言，每个包在大约33毫秒内穿过相当于地球周长四分之一的距离，而每个Tor包在到达洋葱服务之前需要大约200毫秒绕地球一圈半；为了保证双方的匿名性，一次往返需要三个回合。然而，Cloudflare并不要求其服务器具有匿名性，这就是为什么我们可以通过为洋葱服务启用一个可选的设置来将中继的数量减少到仅仅三个，该设置优先考虑服务的位置匿名性，以降低延迟。要强调的是，这不会影响客户的隐私或匿名性。实际上，正如您可能已经注意到的，在第一个洋葱服务图像中，起点距离集合点有三个跳跃，而我们的洋葱服务仅一个跳跃。我们正在积极研究如何使这项服务更快，并确保尽可能少的停机时间。为什么要使用Cloudflare隐藏解析器？首先也是最重要的是，通过Tor网络解决DNS查询，例如通过连接到Google的8.8.8.8解析器，可以保证比直接请求更高级别的匿名性。这样做不仅会阻止解析程序看到您的IP地址，甚至您的ISP也不会知道您试图解析域名。不过，除非目的地是洋葱服务，否则被动攻击者可以捕获离开Tor网络的数据包，恶意出口节点可以通过sslstripping毒害DNS查询或降低加密级别。即使您将浏览限制为仅限于HTTPS站点，被动攻击者也可以找出您连接到的地址。更糟糕的是，能够在流量进入Tor网络之前和离开网络之后比较流量的参与者可能会使用元数据（大小、时间等）来对客户端进行非对称化。因此，唯一的解决方案是使用洋葱服务来消除对出口节点的需要。这就是我们的洋葱分解器提供的。此外，如果您的客户机不支持加密的DNS查询，使用基于.onion的解析器可以保护连接免受路径攻击，包括BGP劫持攻击。这意味着对UDP上的DNS和TCP上的DNS具有与HTTPS上的DNS和TLS上的DNS提供的相同级别的安全性。然而，你的个人匿名性并不是你使用这项服务的唯一原因。Tor确保每个人匿名的能力取决于使用它的人数。例如，如果只有告密者使用Tor网络，那么任何连接到Tor网络的人都会自动被怀疑是举报人。因此，越多的人使用Tor浏览模因或在互联网上观看猫视频，那些真正需要匿名的人就越容易融入到流量中。对许多用户来说，使用Tor的一个障碍就是它太慢了，所以我可以试着同情那些不愿牺牲快速网站加载时间来帮助活动人士和持不同政见者匿名的人。也就是说，DNS请求的大小很小，而且由于大多数浏览器和操作系统缓存DNS结果，所以总流量并不显著。因此，使用基于.onion的解析器只会稍微减慢您的初始DNS请求，而不会减慢其他任何操作，同时仍会对Tor网络及其用户的整体匿名性做出贡献。我为什么要信任Cloudflare隐藏解析器？使用基于.洋葱的解析程序可以确保ISP永远不会发现您正在解析一个域，退出节点不会有机会操纵DNS回复，解析程序也不会发现您的IP地址。然而，使用基于Cloudflare.onion的解析器的独特优势是将Tor的功能与1.1.1.1解析器的所有隐私保护功能（如查询名称最小化）结合在一起，同时还有一个工程师团队在各个级别改进它，包括标准，如DNS over HTTPS和DNS over TLS。正如首席执行官马修•普林斯（Matthew Prince）大约两年前所说，匿名在线是我们在Cloudflare看重的一个原因。此外，当我们宣布1.1.1.1解析器时，我们承诺采取每一个技术步骤，以确保我们不知道你在互联网上做什么。普罗维迪