[GTER] Resposta de DNS alternativa - Endereço não encontrado

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Thu Mar 26 09:46:44 -03 2015 

> On 25/03/2015, at 23:31, Alvaro Pereira <starthir at gmail.com> wrote:
> 
> 2015-03-25 15:53 GMT-07:00 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> 
>> 
>> 
>> Acho até que essa prática lamentavel foi muito usada pela Verisign, que
>> gerou até um recurso no BIND pra evitar isso, root-delegation-only se não
>> me engano. Ou seja dependendo de como você for “aplicar” essa “feature”
>> pode ser que nem funciona em alguns servidores recursivos.
>> 
>> OpenDNS faz isso, acho que algumas operadoras aqui também faz, GVT se não
>> me engano.
> 
> 
> O OpenDNS não faz mais redirecionamento desde o ano passado, histórico e
> motivação neste post:
> https://blog.opendns.com/2014/05/29/no-more-ads/
> 
> Alvaro Pereira
> Disclosure: trabalho para o OpenDNS

A técnica continua lá, sendo usada. Esta enraizado no que é e o que se propõe o OpenDNS. O que mudou foi a motivação, o NXDomain redirection não acontece mais por padrão com redirecionamento pro OpenDNS Guide e a busca patrocinada (propagandas), o que o blog post elucida é mais no sentido de “como conseguimos lucratividade sem propaganda” do que no sentido em pauta, “não é a coisa certa a se fazer”.

Se você digita uma URL de phishing o NXDomain redirection te redireciona pra pagina de proteção de phishing. Se você é usuário registrado e controla uma rede estática, a técnica é usada pra te mandar pra block page. Alias se você é cliente OpenDNS Enterprise o redirection vira até recurso “premium” com customização pra URL propria e sobre algum aspecto a propaganda remunerada pode até ser feita por você, repassando seus search pro destino custom e la fazer a busca com seu código de parceiro google/bing/yahoo e ganhar nas custom search. 

Enfim, de qq forma o foco do que eu queria ilustrar não é no sentido de “quem" faz, já fez, ou as motivações, apenas que a prática existe e se mesmo sabendo que simplesmente não é o ideal a ser feito, se o colega optar pela prática não estará sozinho. As motivações em teoria são até boas, bloqueio de conteúdo impróprio, ajudar o usuário e aprender a digitar o domínio corretamente, etc. Só não é parte da natureza original da rede.

Voltando ao foco, existe no entanto algumas exceções claras. Existem países (entre eles “lv”, “no” e “tw" e, se não me trai a memória, “de”) em que a prática é prevista formalmente no pais, e liberada sob critério do provedor. Ou seja como existe legislação que prevê isso por la, países signatários como o Brasil respeitam a premissa de que a lei em uma nação soberana deve ser respeitada quando não conflitar com a soberania da própria nação, então como toda regra veio a exceção e no passado, quando era moda a Verisign fazer o redirection direto no Root NS operado por ela, junto com root-delegation-only veio o "root-delegation-only exclude {}" que cria exeção e permite resposta autoritativa sobre um gTLD não delegado pras zonas configuradas.

Segundo o ISC[1] ainda, existem zonas autenticas que esperam esse comportamento sei la se por força de lei ou outras forças ehehe, inclusive os hermanos “ar” estão na lista.

Existe no entanto uma distinção, o redirection de zona ou gTLD que EXISTE é considerado mais grave, é considerado hijacking de dominio cuja autoridade existe, ou seja issonaoexiste.nic.br seria um “sequestro” do nic.br pois qualquer resposta sobre esse domínio deve ser originada exclusivamente dos servidores delegados, incluindo a resposta NXDomain. 

Essa era em idos de 2007 a desculpa da Verisign que alegava só redirecionar pra algoquenaoexiste.com propondo o registro desse algo, mas jamais pra uma zona delegada.

Some a isso que negative response também é cacheado, você mais que sequestrando estaria mudando a natureza do DNS e como consequência a natureza de caches positivos e negativos se eventualmente seu resolver consulta alguém que faça isso, ou a caixinha na sua casa use o DNS de quem faz isso e ela também faz cache.

Sob todos os aspectos, variações e motivações da prática, ela é simplesmente errada. E de novo, é uma prática, IMO, de não neutralidade.

[1]https://lists.isc.org/pipermail/bind-announce/2003-October/000126.html
[2]http://www.icann.org/en/topics/new-gtlds/nxdomain-substitution-harms-24nov09-en.pdf

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list