قد يؤدي استخدام نطاقات فرعية شائعة لـ DDns إلى تقليل خدمة الإنترنت للاتصالات السلكية واللاسلكية

Tags:

• شبكة

Categories:

• شبكة

قضيت أكثر من ثلاثة أشهر في محاولة حل مشكلة انقطاع IPv6 وفشل الثقب، وأخيرًا تم التعرف على السبب. أشارككم التفاصيل.

أول مشاركة طلب مساعدة حول مشكلة انقطاع IPv6

IPv6 كان يعمل بشكل طبيعي، بدون أي تغييرات في الإعدادات، ويمكن للجهاز الحصول على عنوان IPv6 مستقل، لكنه لا يستطيع الاتصال بالشبكة IPv6.

curl 6.ipw.cn لا يحصل على أي رد، ping6 و traceroute6 2400:3200::1 كلاهما ينقطع.

جسر المودم، يمكن الحصول على عنوان IPv6 للراوتر، وهذا هو عنوان يمكن الاتصال به عبر IPv6.

يمكن الحصول على بادئة /56، يمكن لكل الأجهزة أسفل الراوتر الحصول على عنوان IPv6 مخصص 240e:36f:15c3:3200::/56، لكن لا يمكن الاتصال بأي موقع IPv6.

أعتقد أن مزود الخدمة لم يقم بإعداد التوجيه لـ 240e:36f:15c3:3200::، لكن لا يمكن التأكد.

قال أحد مستخدمي الإنترنت أنه ربما يكون بسبب كمية كبيرة من حركة المرور الصاعدة لـ PCDN، لكن حركة المرور الصاعدة صغيرة جدًا، ولا يتم تشغيل PCDN.

قد يكون أيضًا بسبب استخدام Cloudflare و Aliyun ESA proxy.

تأكيد السبب المباشر في المشاركة الثانية

تم التأكد من أن بعض شركات الاتصالات في بعض المناطق ستقلل من جودة الخدمة بسبب كثرة اتصالات HTTP/HTTPS الواردة عبر IPv6، وتظهر كالتالي:

• IPv6 وهمية، يمكن الحصول على بادئة /56 لـ IPv6، وتوزيع IPv6 للأجهزة أسفل الراوتر طبيعي، لكن tracert تفتقر إلى التوجيه، مما يؤدي إلى عدم الاتصال الفعلي لـ IPv6.
• جدار ناري وهمي، اختبار الاتصال لـ tailscale يظهر أنه اتصال مباشر، لكن التأخير مرتفع جدًا، والسرعة الفعلية بطيئة للغاية.

بعد إيقاف Cloudflare/Aliyun ESA proxy، وبعد إعادة تشغيل الراوتر عدة مرات، يمكن استعادة IPv6 والاتصال المباشر الحقيقي.

لا يزال هناك انقطاع بعد إيقاف proxy

حتى بعد إيقاف proxy، وإيقاف Cloudflare و Aliyun ESA عن إعادة التوجيه، لا يزال هناك انقطاع متقطع، مع مدة طويلة.

قد يكون هناك تسريب للنطاق أو استخدام نطاقات فرعية شائعة للمسح الضوئي، وهجوم HTTP طويل الأمد.

بعد تعطيل تحليل أسماء النطاقات لـ DDns، وبعد فترة من الوقت، عاد IPv6 إلى طبيعته، وعمل ثقب tailscale بشكل طبيعي.

منذ ذلك الحين لم يحدث أي انقطاع.

الحل النهائي

أقترح هنا ألا تستخدموا نطاقات فرعية شائعة لـ DDns، مثل:

• home.example.com
• nas.example.com
• router.example.com
• ddns.example.com
• cloud.example.com
• dev.example.com
• test.example.com
• webdav.example.com

بعضها كان من بين ما استخدمته دائمًا، ربما تم مسحه بشكل مستمر من قبل الآخرين، مما يؤدي إلى تقليل خدمة الإنترنت للاتصالات السلكية واللاسلكية، وعدم القدرة على استخدام IPv6 العام، وعدم القدرة على إقامة اتصال مباشر.

كلنا نعرف أهمية إخفاء عنوان IP في أمن الشبكة، وهنا أقترح أيضًا حماية نطاق DDns الخاص بك، فهو في جوهره أيضًا كشف عنوان IP.

لكن ماذا لو كان هناك حاجة للكشف عن الخدمة؟

هناك حلين عمليين:

• حل التوجيه، وهو خدمة تحويل، حيث تذهب الطلب أولاً إلى VPS ثم إلى Home Server. نظرًا لتحول حركة المرور، فإن التأخير وعرض النطاق الترددي سيتأثران.

• حل DDns، وهو حل اتصال مباشر، وتجربة الاتصال ستكون أفضل بكثير، أوصي بهذا الحل. بشكل عام، الاستخدام الشخصي لا يتجاوز حد اتصالات، ولكن إذا تم نشر النطاق، فإن الروبوتات من كل مكان سترفع عدد الاتصالات بسرعة.

حل التوجيه (proxy)

Cloudflare Tunnel

استخدم Tunnel من Cloudflare، بهذه الطريقة لن يكون هناك مئات العناوين IP للوصول كما في التوجيه العادي.

Tailscale أو ZeroTier

إنشاء VPN خاص، مع VPS أمامه، للوصول إلى خدمات الشبكة الداخلية عبر VPN، مما يتجنب ارتفاع عدد الاتصالات المتزامنة.

حل DDns (اتصال مباشر)

التحليل العام

إنشاء سلسلة عشوائية مثل GUID، لاستخدامها كنطاق DDns، على الرغم من أنه من المستحيل تقريبًا تذكرها، إلا أن تأثيرها على الاستخدام الشخصي الفعلي ليس كبيرًا، ويمكن تقييم ذلك بشكل مستقل.

التحليل الخاص

استخدم خدمة DNS شخصية، مثل:

• AdguardPriavte
• dot.pub

لتحليل أسماء النطاقات لـ DDns.

بهذه الطريقة، فقط من يمكنه الاتصال بخادم DNS الشخصي يمكنه الحصول على عنوان IP المخصص للتحليل لعنوان معين.

في هذه الطريقة، يمكن استخدام نطاقات DDns شائعة، ولكن يجب تجنب تسريب عنوان خدمة DNS الشخصية.

• ←السابق
• التالي→