[freebsd] dns, непонятка со вторичным сервером.

[Eugene Grosbein]

02.07.2019 17:18, Eugene V. Boontseff пишет:

> Мой домашний провайдер перенаправляет мои запросы к днс куда-то  и подделывает ответы, якобы они от ns2.relcom.ru?

Конкретно на этот вопрос достаточно легко найти ответ.
Достаточно сделать вот такой запрос у сервера whoami.ultradns.net:

# dig @204.74.108.1 whoami.ultradns.net +noall +answer

; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
; (1 server found)
;; global options: +cmd
whoami.ultradns.net.    0       IN      A       109.94.1.18

В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то
из провайдерских серверов, как в данном примере, когда вернулся IP-адрес
провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18]
вместо реального адреса со внешнего интерфейса спрашивающей машины,
который даже в другой IP-сети /24.

Если у спрашивающей машины на внешнем интерфейсе не публичный адрес
и трафик проходит через провайдерский NAT, то текущее соответствие
с внешним IP можно тут же поглядеть на сайтах типа https://2ip.ru/
и сравнить с тем, что выдал dig.

> Как?

Обычная атака MiTM.

> Для чего?

Реализация "DPI для бедных". Если использовать собственный ресолвер типа BIND,
который нынче по дефолту проверяет цифровые подписи ответов для тех зон,
что реализуют DNSSEC, то подпись в таком подставном ответе не сойдется
и BIND не отдаст ответ, а выдаст ошибку.