如果你没听说过，Cloudflare有一个。隐私解析程序首先启动了DNS服务。不是四月的恶作剧！这项服务是我们第一个面向消费者的服务，支持新的DNA标准，如DNA viaHTTPS:443和TLS:853号除了传统的协议UDP:53和TCP:53个一个简单易记的地址：1.1.1.1。正如原博客中提到的那样，是我们的原则，保证永远不会在硬盘上存储客户端IP地址，并在24小时内删除所有协议。然而，那些特别关心自己隐私的人可能甚至不想告诉解析程序他们的IP地址，这是我们尊重的。为此，我们从dns4或nlfs2ifus2yf3fc7rdmsbhm6rw75euj35pac6ap25开始洋葱为我们的解析器提供服务云闪是 啊。dns.com网站可达成的注意隐藏解算器仍然是一个实验性的服务，应该只用于生产或其他关键应用进行了更广泛的测试速成课程关于门什么是门？想象一个你可以连接的替代互联网网站找到一个方法到我们的服务器的任务不会委托给您的互联网提供商，但必须采取以下步骤瑞奇：你算吧通往目标的道路，如这里：你>您的ISP->X->Y->Z->用Z的公钥加密包，然后用Y的公钥加密，最后用X的公钥加密。把结果发送给X，X用它的私钥加密；X将结果发送给Y，Y用它的私钥加密；Y将结果发送给Z，Z用私钥对其进行解码以获得原始包；Z将包发送到每个人都能正确发挥自己的作用，你可以确保只有服务器X知道你的IP地址，只有服务器Z知道网站，与之建立一个保护隐私和匿名性的连接。这是gate的一个简化版本：全世界志愿者的一系列计算机和服务器，它们作为一个巨大网络的节点，安装在互联网上，在每个阶段，从一个节点到下一个节点，都会减去一层加密。因此得名：洋葱路由器。什么是洋葱服务？保持互联网用户的匿名性并不是网关网络的唯一功能。特别是，对上述程序的保留是，发端人和坐在他和目标之间的任何人（包括网络运营商）都可以继续访问连接。为了解决这一问题，也为了保证信息提供者的匿名性，Gate允许隐藏服务，即所谓的。洋葱服务。洋葱服务是门节点，它通过.Onion TLD和完全在门网络h内的连接提供其公钥编码为地址创建：如何在使用gate时打开域？为域名颁发IP地址的过程称为DNS解析。由于Gate仍然使用IP地址，您仍然需要执行DNS解析来通过Gate在Internet上冲浪。域名解析时有两种常用的方法使用：名称直接解散，然后通过gate与IP地址对话；请求gate exit服务器，公开解析名称并使用IP连接。显然第一个选项将把您的IP传递给您的DNS解析程序，如果您的客户端不使用HTTPS上的DNS或TLS上的DNS，则目标的名称也将传递给您的ISP。不太明显的是，第二种操纵性攻击（如DNS中毒或sslstrip）会使您容易受到坏服务器的攻击。我们的新服务从这里开始：3。让这做一个…洋葱为基础的解决服务！Cloudflare的隐藏解算器是如何工作的？简而言之，我们基于.onion的解析器服务是一个网关洋葱服务，它通过DNS端口将所有通信传输到1.1.1.1上的相应端口，因此，明显的客户端IP是一个内部IP，而不是您的IP。但它的意义远不止眼前所见。看。是吗隐藏的解算器安全吗？使用1.1.1.1和此服务之间的一个显著区别是.洋葱地址由"dns4tor"加上49个看似随机的字母数字字符组成。这个56个字符长的字符串实际上包含一个完整的公共Ed25519密钥，用于与洋葱服务进行安全通信。这在可用性方面提出了许多挑战安全：怎么k用户能确保地址是正确的吗？我们只是有一个证书云闪是 啊。dns.com网站作为申请人的姓名购买，并以.洋葱地址作为替代名称。这样，如果您在正确的位置，您应该看到以下内容：2。用户如何记住这个地址？我们认为你不必记住这个地址。理想情况下，你所要做的就是https://tor.cloudflare-dns.com转到并让浏览器将您的请求转发到.洋葱地址。这可以通过HTTP报头"Alt Svc"实现，该报头作为可选报头通知浏览器可以从另一个网络位置（可能使用另一个协议）访问资源。多亏了Mozilla，Firefox每晚都可以使用.onion地址作为替代服务可能。地点将此函数想象为机会主义加密：一旦您的浏览器接收到Alt Svc报头，该报头指示云闪是 啊。dns.com网站有空，他知道，洋葱地址可以被访问（例如通过SOCKS代理），他试图检查替代服务是否具有相同或更高级别的安全性。这包括确保可以使用相同的证书和服务器名称连接到洋葱服务。如果是这种情况，浏览器将使用替代服务来确保您将来的查询不使用gate网络它是隐藏的解算器快？这是一个思想实验：假设地球上两点之间有一根光缆，它以光速无损耗地传输包裹可以。帮忙很容易发现每个包裹的平均距离等于地球大小的四分之一：大约33ms，而每个gate包需要大约200ms在到达洋葱服务之前绕地球一周半；这是一个来回的三个回合，允许双方匿名云彩它的服务器不需要匿名，因此我们可以将结减少到只有三个。为此，我们为洋葱服务激活一个可选设置，该设置比服务位置的匿名性具有更低的延迟时间优先级。我们要强调的是，这对客户的隐私或匿名性没有影响。正如您可能已经注意到的，在第一张图片中，洋葱服务的起点离集合点只有三步之遥，而我们的洋葱服务只有一步之遥是。我们努力工作，使这项服务更快，并确保它的停机时间尽可能少为什么不呢？我应该有云斑使用隐藏解算器？首先，通过网关网络解析DNS请求，例如通过连接到Google的8.8.8-Resolver，保证了比直接执行请求更高的匿名性。这不仅阻止解析程序看到你的IP地址，你的ISP也不会知道你试图打开一个域名以后再说。不过只要目标不是洋葱服务，被动攻击者就可以捕获离开gate网络的包，恶意出口节点可以访问DNS查询伪造或减少SSL剥离加密。即使您将浏览限制为HTTPS页面，被动攻击者也可以发现您调用了哪些地址。更严重的是，能够比较进入网关网络前后的数据流量的参与者可能会使用元数据（大小、时间等）对客户端进行匿名化。因此，唯一的解决方案是使用洋葱服务使退出说明变得不必要。这就是我们的…基于洋葱的解决方案如果您的客户端不支持加密的DNS查询，使用基于.onion的解算器还可以保护连接免受修补程序攻击，包括BGP劫持攻击。这意味着UDP上的DNS和TCP上的DNS的安全性与HTTPS上的DNS和TCP上的DNS的安全性相同。TLS。你的个人匿名并不是你应该使用这项服务的唯一原因。Gate确保各方匿名的强度取决于使用它的人数。例如，如果只有告密者使用大门网，w