你現在用的 DNS 伺服器是誰家的?大多數人從來沒想過這個問題,用的就是 ISP 預設給的那個。但 DNS 是你每次開網頁都會碰到的基礎設施,它的速度和隱私設計,直接影響你的上網體驗和資料安全。
2018 年,Cloudflare 推出 1.1.1.1,同一套 anycast 基礎架構後來也撐起了 time.cloudflare.com 時間伺服器。這篇介紹這兩個服務,以及為什麼即使你人在台灣,它們也能給你極快的反應速度。
1.1.1.1:全球最快的公共 DNS
根據 DNSPerf 的測量,1.1.1.1 的平均查詢時間約 14ms,穩居全球公共 DNS 解析器速度排名第一,遠快於 Google 的 8.8.8.8 和傳統 ISP DNS。
速度來自架構設計。Cloudflare 在全球超過 300 個節點部署了 anycast 路由,當你的裝置發出 DNS 查詢,封包自動被導向地理位置最近、網路距離最短的節點。台灣用戶的查詢會打到 Cloudflare 在台灣或鄰近亞太地區的節點,幾乎感受不到跨洲延遲。
設定方式:
- 主要 DNS:
1.1.1.1 - 備用 DNS:
1.0.0.1 - 支援 DNS-over-HTTPS:
https://cloudflare-dns.com/dns-query - 支援 DNS-over-TLS:
tls://1.1.1.1(port 853)
隱私保護設計
傳統 DNS 查詢是明文傳輸,你的 ISP 可以完整記錄你查了哪些網域。Cloudflare 的設計走了另一條路:
- 不將查詢 IP 寫入磁碟,所有 log 在 24 小時內清除
- 聘請 KPMG 每年進行第三方審計,確保合規
- 支援 DNS-over-TLS 和 DNS-over-HTTPS,查詢內容加密傳輸,ISP 無法監聽
這些不只是承諾,是有年度稽核背書的機制。
time.cloudflare.com:安全的網路時間同步
時間這件事聽起來不重要,但它是現代網路安全的地基。TLS 憑證有效期、雙因素驗證的 TOTP、日誌時間戳記、區塊鏈交易——全部依賴準確的時鐘。如果攻擊者能把你的系統時間撥慢或撥快,他們就能讓過期的憑證看起來有效,或讓有效的憑證看起來過期。
問題是,傳統 NTP 協議設計於 1985 年,完全沒有身份驗證機制。研究人員已經證明攻擊者可以在不需要中間人攻擊的情況下,透過 IP 分片漏洞竄改 NTP 回應,悄悄地移動客戶端的時鐘。
Network Time Security(NTS)
Cloudflare 的時間伺服器支援 NTS(Network Time Security),這是 IETF 標準化的新協議,用兩個階段解決傳統 NTP 的問題:
- 金鑰交換階段:透過 TLS 1.3 握手建立共享金鑰(要求 TLS 1.3,不接受舊版)
- 同步階段:NTP 封包帶有以上述金鑰產生的認證欄位,確保封包來源可驗證、內容不可竄改
整個機制利用現有的公鑰基礎架構,不需要預先共享密鑰,可以大規模部署。
同樣極快,同樣靠 anycast
time.cloudflare.com 部署在 Cloudflare 180 個以上的資料中心,與 1.1.1.1 共用同一套 anycast 路由基礎架構。台灣用戶的 NTP 請求同樣會被導向最近的節點,同步延遲極低。
設定方式:
# NTP(傳統,支援所有系統)
server time.cloudflare.com
# NTS(加密驗證,需支援 NTS 的客戶端,如 chrony 4.0+)
server time.cloudflare.com ntsLinux 使用 chrony 的設定範例(/etc/chrony.conf):
server time.cloudflare.com iburst nts
makestep 1.0 3
rtcsync小結
1.1.1.1 和 time.cloudflare.com 的共同點:免費、全球 anycast、對台灣用戶有極低延遲、有更好的隱私和安全設計。換掉預設 DNS 和 NTP 伺服器,是成本幾乎為零、收益明確的基礎設施決定。
參考來源:
Announcing 1.1.1.1 — Cloudflare Blog /
Introducing time.cloudflare.com — Cloudflare Blog
發佈留言