[GTER] Suspeita de interceptação de DNS pela Level 3
Bruno Cabral
bruno at openline.com.br
Tue Apr 11 14:46:11 -03 2017
Você tem acesso a algum autoritativo? Deixe um tcpdump capturando consultas UDP 53 e tente um acesso com o servidor DNS apontando pro gigaDNS, e veja qual IP faz a consulta
!3runo
________________________________
De: gter <gter-bounces at eng.registro.br> em nome de Tiago SR <listas at tiagosr.com>
Enviado: terça-feira, 11 de abril de 2017 13:45:25
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Suspeita de interceptação de DNS pela Level 3
Sim, eu entendo isso, Bruno. Mas no caso aqui, para a Akamai e provavelmente para outras CDNs também, o IP que eles estão percebendo lá não é o do GigaDNS, é da Level 3. Como o whoami.akamai.net responde com um registro A para o IP do recursivo de onde chegou a requisição DNS, deveria estar chegando o IP do GigaDNS lá, não?
Inclusive, verifiquei aqui agora em outra rede, que alcança um servidor do GigaDNS pela TIM e depois IX-SP (ou seja, sem passar pela Level 3), e ainda assim o whoami.akamai.net responde com um IP da Level 3 na faixa 8.0.6.0/24 (agora foi 8.0.6.14). Não estou entendendo mais o que está havendo, pois não sei como a Level 3 iria interceptar sem passar pela rede dela, mas de qualquer forma isso me parece um problema, pois mesmo usando um DNS no Brasil, o IP que chegará para as CDNs será dos EUA, prejudicando a geolocalização.
Acredito que o pessoal que gerencia o GigaDNS deveria verificar se esse é o comportamento esperado ou se tem algo errado.
Sobre o recursivo local no cliente: ele já tem, eu instalei. Inclusive, encontramos esse problema com GigaDNS mudando o unbound para fazer encaminhamento, como forma de tentar contornar um possível problema com geolocalização ao fazer recursão, que está havendo nos prefixos do fornecedor de link dele (já alteramos esse encaminhamento para um servidor DNS do fornecedor, que estranhamente está no mesmo prefixo e funciona normalmente).
---- On Tue, 11 Apr 2017 05:25:32 -0300 Bruno Cabral <bruno at openline.com.br> wrote ----
> Quando você usa o gigadns ou qualquer servidor recursivo que não esteja dentro da rede do seu cliente, o CDN recebe o IP desse servidor externo e geolocaliza ELE e não o IP do seu cliente
>
> Instale um recursivo ou dois dentro da rede do seu cliente e oriente-o a usa-los ao invés de servidores externos
>
> Se o problema pra isso for falta de maquina:
>
> http://elizandro.pachecotecnologia.net/2014/08/instalando-o-unbound-no-edgerouter.html
>
> !3runo Cabral
> --
> Cursos e Consultoria BGP e OSPF
> ________________________________
> De: gter <gter-bounces at eng.registro.br> em nome de Tiago SR <listas at tiagosr.com>
> Enviado: terça-feira, 11 de abril de 2017 00:24:37
> Para: gter
> Assunto: [GTER] Suspeita de interceptação de DNS pela Level 3
>
> Pessoal,
>
> Notei uma coisa estranha na rede de um cliente meu: quando está usando GigaDNS lá, o whoami.akamai.net responde com um IP da Level 3: 8.0.6.2 (DNS-8-0-6-2.Atlanta1.Level3.net). Além disso, o desempenho do Facebook e alguns outros CDNs é prejudicado quando se usa o GigaDNS, fazendo o tráfego muitas vezes vir dos EUA. Está me parecendo que a Level 3 está interceptando o GigaDNS e redirecionando para um servidor deles, o que prejudica a distribuição por geolocalização das CDNs...
>
> Segue um traceroute para 189.38.95.95:
>
> traceroute to 189.38.95.95 (189.38.95.95), 30 hops max, 60 byte packets
> 1 172.31.200.1 (172.31.200.1) 0.164 ms 0.147 ms 0.161 ms
> 2 172.31.254.1 (172.31.254.1) 0.477 ms 0.452 ms 0.481 ms
> 3 191.7.30.99 (191.7.30.99) 3.270 ms 3.861 ms 3.771 ms
> 4 170.245.52.38 (170.245.52.38) 22.743 ms 22.674 ms 22.716 ms
> 5 cliente-70-38.conectway.com.br (200.186.70.38) 26.546 ms 26.570 ms 26.545 ms
> 6 cliente-70-37.conectway.com.br (200.186.70.37) 26.520 ms 27.065 ms 27.057 ms
> 7 ae2-40G.csr1.POA1.POA.gblx.net (67.16.189.86) 40.463 ms ae1-40G.csr1.POA1.POA.gblx.net (67.16.189.82) 47.460 ms 46.215 ms
> 8 * * *
> 9 * * *
> 10 * * *
>
> Já quando é usado DNS da Google, 8.8.8.8, o whoami.akamai.net responde com um IP da Google (173.194.91.67), o que parece normal. Interessante que a rota para 8.8.8.8 também passa pela Level 3 e não é interceptado, mas há uma diferença: ela segue para SAP (Honduras?). Veja:
>
> traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
> 1 172.31.200.1 (172.31.200.1) 0.139 ms 0.128 ms 0.146 ms
> 2 172.31.254.1 (172.31.254.1) 0.541 ms 0.533 ms 0.480 ms
> 3 191.7.30.99 (191.7.30.99) 5.474 ms 5.464 ms 5.111 ms
> 4 170.245.52.38 (170.245.52.38) 29.465 ms 29.476 ms 29.464 ms
> 5 cliente-70-38.conectway.com.br (200.186.70.38) 34.897 ms 34.874 ms 34.834 ms
> 6 cliente-70-37.conectway.com.br (200.186.70.37) 35.293 ms 27.032 ms 28.161 ms
> 7 ae1-80G.ar2.SAP1.gblx.net (204.246.244.66) 26.719 ms 21.643 ms ae2-80G.ar2.SAP1.gblx.net (204.246.244.62) 27.915 ms
> 8 64.208.27.218 (64.208.27.218) 21.541 ms 24.706 ms 21.529 ms
> 9 108.170.245.227 (108.170.245.227) 27.650 ms 21.473 ms 108.170.245.195 (108.170.245.195) 30.182 ms
> 10 216.239.43.47 (216.239.43.47) 76.963 ms 72.708 ms 73.666 ms
> 11 72.14.234.185 (72.14.234.185) 72.404 ms 209.85.241.184 (209.85.241.184) 73.330 ms 72.14.238.145 (72.14.238.145) 75.687 ms
> 12 * * *
> 13 * * *
> 14 * * *
>
> Ou seja, a Level 3 está fazendo interceptação no caminho para Porto Alegre apenas?
> Esse cliente meu está no Goiás, mas notei pela ferramenta DNS do ISPTools que tem gente no Tocantins e Rio Grande do Sul sob o mesmo efeito, porém para um IP, ainda da Level 3, um pouco diferente: 8.0.6.15.
> Essa prática me desperta suspeita e não me parece ser legal, além dos prejuízos técnicos, conforme descritos.
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list