02.07.2019 17:18, Eugene V. Boontseff пишет: > Мой домашний провайдер перенаправляет мои запросы к днс куда-то и > подделывает ответы, якобы они от ns2.relcom.ru?
Конкретно на этот вопрос достаточно легко найти ответ. Достаточно сделать вот такой запрос у сервера whoami.ultradns.net: # dig @204.74.108.1 whoami.ultradns.net +noall +answer ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer ; (1 server found) ;; global options: +cmd whoami.ultradns.net. 0 IN A 109.94.1.18 В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net. Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то из провайдерских серверов, как в данном примере, когда вернулся IP-адрес провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18] вместо реального адреса со внешнего интерфейса спрашивающей машины, который даже в другой IP-сети /24. Если у спрашивающей машины на внешнем интерфейсе не публичный адрес и трафик проходит через провайдерский NAT, то текущее соответствие с внешним IP можно тут же поглядеть на сайтах типа https://2ip.ru/ и сравнить с тем, что выдал dig. > Как? Обычная атака MiTM. > Для чего? Реализация "DPI для бедных". Если использовать собственный ресолвер типа BIND, который нынче по дефолту проверяет цифровые подписи ответов для тех зон, что реализуют DNSSEC, то подпись в таком подставном ответе не сойдется и BIND не отдаст ответ, а выдаст ошибку. _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
