[freebsd] dns, непонятка со вторичным сервером.

Taras Heichenko tasic at academ.kiev.ua
Tue Jul 2 15:26:16 EEST 2019



> On Jul 2, 2019, at 14:25, Eugene Grosbein <eugen at grosbein.net> wrote:
> 
> 02.07.2019 17:18, Eugene V. Boontseff пишет:
> 
>> Мой домашний провайдер перенаправляет мои запросы к днс куда-то  и подделывает ответы, якобы они от ns2.relcom.ru?
> 
> Конкретно на этот вопрос достаточно легко найти ответ.
> Достаточно сделать вот такой запрос у сервера whoami.ultradns.net:
> 
> # dig @204.74.108.1 whoami.ultradns.net +noall +answer
> 
> ; <<>> DiG 9.14.3 <<>> @204.74.108.1 whoami.ultradns.net +noall +answer
> ; (1 server found)
> ;; global options: +cmd
> whoami.ultradns.net.    0       IN      A       109.94.1.18
> 
> В ответе будет IP-адрес, с которого пришел запрос на whoami.ultradns.net.
> Если провайдер перехватывает запросы DNS, в ответе будет IP-адрес какого-то
> из провайдерских серверов, как в данном примере, когда вернулся IP-адрес
> провайдерского DNS-сервера ns4.podolsknet.ru [109.94.1.18]
> вместо реального адреса со внешнего интерфейса спрашивающей машины,
> который даже в другой IP-сети /24.

Спрашивающая машина ведь резолвер, а не пользовательская машина,
на которой формируется запрос?

> 
> Если у спрашивающей машины на внешнем интерфейсе не публичный адрес
> и трафик проходит через провайдерский NAT, то текущее соответствие
> с внешним IP можно тут же поглядеть на сайтах типа https://2ip.ru/
> и сравнить с тем, что выдал dig.

Почти так, но могут быть нюансы. Если резолвер, у которого вы спрашиваете,
форвардящий, то и без перехвата DNS запросов, вы можете увидеть там другой
адрес. Кроме того и у резолвера, у которого вы спрашиваете, могут быть разные
интерфейсы с разными адресами. Т.е. вы спрашиваете резолвер на одном адресе,
а они отсылает свой запрос с другого интерфейса и получается в ответе совсем
другой адрес. Это то, что сразу в голову пришло, почему я бы не очень полагался
на этот сервис. Т.е. если он отвечает то, что ожидали, то все хорошо, но если он
отвечает не то, что ожидали, то это совсем не обязательно "все плохо".

> 
>> Как?
> 
> Обычная атака MiTM.
> 
>> Для чего?
> 
> Реализация "DPI для бедных". Если использовать собственный ресолвер типа BIND,
> который нынче по дефолту проверяет цифровые подписи ответов для тех зон,
> что реализуют DNSSEC, то подпись в таком подставном ответе не сойдется
> и BIND не отдаст ответ, а выдаст ошибку.
> 
> 
> 
> _______________________________________________
> freebsd mailing list
> freebsd at uafug.org.ua
> http://mailman.uafug.org.ua/mailman/listinfo/freebsd

--
Taras Heichenko
tasic at academ.kiev.ua







More information about the freebsd mailing list