[GTER] Suspeita de interceptação de DNS pela Level 3

Bruno Cabral bruno at openline.com.br
Tue Apr 11 05:25:32 -03 2017 

Quando você usa o gigadns ou qualquer servidor recursivo que não esteja dentro da rede do seu cliente, o CDN recebe o IP desse servidor externo e geolocaliza ELE e não o IP do seu cliente

Instale um recursivo ou dois dentro da rede do seu cliente e oriente-o a usa-los ao invés de servidores externos

Se o problema pra isso for falta de maquina:

http://elizandro.pachecotecnologia.net/2014/08/instalando-o-unbound-no-edgerouter.html

!3runo Cabral
--
Cursos e Consultoria BGP e OSPF
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Tiago SR <listas at tiagosr.com>
Enviado: terça-feira, 11 de abril de 2017 00:24:37
Para: gter
Assunto: [GTER] Suspeita de interceptação de DNS pela Level 3

Pessoal,

Notei uma coisa estranha na rede de um cliente meu: quando está usando GigaDNS lá, o whoami.akamai.net responde com um IP da Level 3: 8.0.6.2 (DNS-8-0-6-2.Atlanta1.Level3.net). Além disso, o desempenho do Facebook e alguns outros CDNs é prejudicado quando se usa o GigaDNS, fazendo o tráfego muitas vezes vir dos EUA. Está me parecendo que a Level 3 está interceptando o GigaDNS e redirecionando para um servidor deles, o que prejudica a distribuição por geolocalização das CDNs...

Segue um traceroute para 189.38.95.95:

traceroute to 189.38.95.95 (189.38.95.95), 30 hops max, 60 byte packets
 1  172.31.200.1 (172.31.200.1)  0.164 ms  0.147 ms  0.161 ms
 2  172.31.254.1 (172.31.254.1)  0.477 ms  0.452 ms  0.481 ms
 3  191.7.30.99 (191.7.30.99)  3.270 ms  3.861 ms  3.771 ms
 4  170.245.52.38 (170.245.52.38)  22.743 ms  22.674 ms  22.716 ms
 5  cliente-70-38.conectway.com.br (200.186.70.38)  26.546 ms  26.570 ms  26.545 ms
 6  cliente-70-37.conectway.com.br (200.186.70.37)  26.520 ms  27.065 ms  27.057 ms
 7  ae2-40G.csr1.POA1.POA.gblx.net (67.16.189.86)  40.463 ms ae1-40G.csr1.POA1.POA.gblx.net (67.16.189.82)  47.460 ms  46.215 ms
 8  * * *
 9  * * *
10  * * *

Já quando é usado DNS da Google, 8.8.8.8, o whoami.akamai.net responde com um IP da Google (173.194.91.67), o que parece normal. Interessante que a rota para 8.8.8.8 também passa pela Level 3 e não é interceptado, mas há uma diferença: ela segue para SAP (Honduras?). Veja:

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
 1  172.31.200.1 (172.31.200.1)  0.139 ms  0.128 ms  0.146 ms
 2  172.31.254.1 (172.31.254.1)  0.541 ms  0.533 ms  0.480 ms
 3  191.7.30.99 (191.7.30.99)  5.474 ms  5.464 ms  5.111 ms
 4  170.245.52.38 (170.245.52.38)  29.465 ms  29.476 ms  29.464 ms
 5  cliente-70-38.conectway.com.br (200.186.70.38)  34.897 ms  34.874 ms  34.834 ms
 6  cliente-70-37.conectway.com.br (200.186.70.37)  35.293 ms  27.032 ms  28.161 ms
 7  ae1-80G.ar2.SAP1.gblx.net (204.246.244.66)  26.719 ms  21.643 ms ae2-80G.ar2.SAP1.gblx.net (204.246.244.62)  27.915 ms
 8  64.208.27.218 (64.208.27.218)  21.541 ms  24.706 ms  21.529 ms
 9  108.170.245.227 (108.170.245.227)  27.650 ms  21.473 ms 108.170.245.195 (108.170.245.195)  30.182 ms
10  216.239.43.47 (216.239.43.47)  76.963 ms  72.708 ms  73.666 ms
11  72.14.234.185 (72.14.234.185)  72.404 ms 209.85.241.184 (209.85.241.184)  73.330 ms 72.14.238.145 (72.14.238.145)  75.687 ms
12  * * *
13  * * *
14  * * *

Ou seja, a Level 3 está fazendo interceptação no caminho para Porto Alegre apenas?
Esse cliente meu está no Goiás, mas notei pela ferramenta DNS do ISPTools que tem gente no Tocantins e Rio Grande do Sul sob o mesmo efeito, porém para um IP, ainda da Level 3, um pouco diferente: 8.0.6.15.
Essa prática me desperta suspeita e não me parece ser legal, além dos prejuízos técnicos, conforme descritos.

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list