[freebsd] dns, непонятка со вторичным сервером.

[Владимир Друзенко]

02.07.2019 14:25, Eugene Grosbein пишет:
> 02.07.2019 17:18, Eugene V. Boontseff пишет:
>
>> Мой домашний провайдер перенаправляет мои запросы к днс куда-то  и подделывает ответы, якобы они от ns2.relcom.ru?
> Конкретно на этот вопрос достаточно легко найти ответ.
> Достаточно сделать вот такой запрос у сервера whoami.ultradns.net:
>
> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
>
> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
> ; (1 server found)
> ;; global options: +cmd
> whoami.ultradns.net.    0       IN      A       109.94.1.18
>
> В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
> Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то
> из провайдерских серверов, как в данном примере, когда вернулся IP-адрес
> провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18]
> вместо реального адреса со внешнего интерфейса спрашивающей машины,
> который даже в другой IP-сети /24.
>
> Если у спрашивающей машины на внешнем интерфейсе не публичный адрес
> и трафик проходит через провайдерский NAT, то текущее соответствие
> с внешним IP можно тут же поглядеть на сайтах типа https://2ip.ru/
> и сравнить с тем, что выдал dig.
>
>> Как?
> Обычная атака MiTM.
>
>> Для чего?
> Реализация "DPI для бедных". Если использовать собственный ресолвер типа BIND,
> который нынче по дефолту проверяет цифровые подписи ответов для тех зон,
> что реализуют DNSSEC, то подпись в таком подставном ответе не сойдется
> и BIND не отдаст ответ, а выдаст ошибку.

Проверил все 3 своих случая - возвращает корректный внешний IP. А 
сериалы всё равно разные в запросе топикстартера через разных провайдеров.