> On Jul 2, 2019, at 14:25, Eugene Grosbein <[email protected]> wrote: > > 02.07.2019 17:18, Eugene V. Boontseff пишет: > >> Мой домашний провайдер перенаправляет мои запросы к днс куда-то и >> подделывает ответы, якобы они от ns2.relcom.ru? > > Конкретно на этот вопрос достаточно легко найти ответ. > Достаточно сделать вот такой запрос у сервера whoami.ultradns.net: > > # dig @204.74.108.1 whoami.ultradns.net +noall +answer > > ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer > ; (1 server found) > ;; global options: +cmd > whoami.ultradns.net. 0 IN A 109.94.1.18 > > В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net. > Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то > из провайдерских серверов, как в данном примере, когда вернулся IP-адрес > провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18] > вместо реального адреса со внешнего интерфейса спрашивающей машины, > который даже в другой IP-сети /24.
Спрашивающая машина ведь резолвер, а не пользовательская машина, на которой формируется запрос? > > Если у спрашивающей машины на внешнем интерфейсе не публичный адрес > и трафик проходит через провайдерский NAT, то текущее соответствие > с внешним IP можно тут же поглядеть на сайтах типа https://2ip.ru/ > и сравнить с тем, что выдал dig. Почти так, но могут быть нюансы. Если резолвер, у которого вы спрашиваете, форвардящий, то и без перехвата DNS запросов, вы можете увидеть там другой адрес. Кроме того и у резолвера, у которого вы спрашиваете, могут быть разные интерфейсы с разными адресами. Т.е. вы спрашиваете резолвер на одном адресе, а они отсылает свой запрос с другого интерфейса и получается в ответе совсем другой адрес. Это то, что сразу в голову пришло, почему я бы не очень полагался на этот сервис. Т.е. если он отвечает то, что ожидали, то все хорошо, но если он отвечает не то, что ожидали, то это совсем не обязательно "все плохо". > >> Как? > > Обычная атака MiTM. > >> Для чего? > > Реализация "DPI для бедных". Если использовать собственный ресолвер типа BIND, > который нынче по дефолту проверяет цифровые подписи ответов для тех зон, > что реализуют DNSSEC, то подпись в таком подставном ответе не сойдется > и BIND не отдаст ответ, а выдаст ошибку. > > > > _______________________________________________ > freebsd mailing list > [email protected] > http://mailman.uafug.org.ua/mailman/listinfo/freebsd -- Taras Heichenko [email protected] _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
