[GTER] Suspeita de interceptação de DNS pela Level 3

Tiago SR listas at tiagosr.com
Tue Apr 11 16:13:09 -03 2017 

Infelizmente, não tenho acesso a um autoritativo para fazer isso.


 ---- On Tue, 11 Apr 2017 14:46:11 -0300 Bruno Cabral <bruno at openline.com.br> wrote ---- 
 > Você tem acesso a algum autoritativo? Deixe um tcpdump capturando consultas UDP 53 e tente um acesso com o servidor DNS apontando pro gigaDNS, e veja qual IP faz a consulta 
 >  
 > !3runo 
 > ________________________________ 
 > De: gter <gter-bounces at eng.registro.br> em nome de Tiago SR <listas at tiagosr.com> 
 > Enviado: terça-feira, 11 de abril de 2017 13:45:25 
 > Para: Grupo de Trabalho de Engenharia e Operacao de Redes 
 > Assunto: Re: [GTER] Suspeita de interceptação de DNS pela Level 3 
 >  
 > Sim, eu entendo isso, Bruno. Mas no caso aqui, para a Akamai e provavelmente para outras CDNs também, o IP que eles estão percebendo lá não é o do GigaDNS, é da Level 3. Como o whoami.akamai.net responde com um registro A para o IP do recursivo de onde chegou a requisição DNS, deveria estar chegando o IP do GigaDNS lá, não? 
 >  
 > Inclusive, verifiquei aqui agora em outra rede, que alcança um servidor do GigaDNS pela TIM e depois IX-SP (ou seja, sem passar pela Level 3), e ainda assim o whoami.akamai.net responde com um IP da Level 3 na faixa 8.0.6.0/24 (agora foi 8.0.6.14). Não estou entendendo mais o que está havendo, pois não sei como a Level 3 iria interceptar sem passar pela rede dela, mas de qualquer forma isso me parece um problema, pois mesmo usando um DNS no Brasil, o IP que chegará para as CDNs será dos EUA, prejudicando a geolocalização. 
 >  
 > Acredito que o pessoal que gerencia o GigaDNS deveria verificar se esse é o comportamento esperado ou se tem algo errado. 
 >  
 >  
 > Sobre o recursivo local no cliente: ele já tem, eu instalei. Inclusive, encontramos esse problema com GigaDNS mudando o unbound para fazer encaminhamento, como forma de tentar contornar um possível problema com geolocalização ao fazer recursão, que está havendo nos prefixos do fornecedor de link dele (já alteramos esse encaminhamento para um servidor DNS do fornecedor, que estranhamente está no mesmo prefixo e funciona normalmente). 
 >  
 >  ---- On Tue, 11 Apr 2017 05:25:32 -0300 Bruno Cabral <bruno at openline.com.br> wrote ---- 
 >  > Quando você usa o gigadns ou qualquer servidor recursivo que não esteja dentro da rede do seu cliente, o CDN recebe o IP desse servidor externo e geolocaliza ELE e não o IP do seu cliente 
 >  > 
 >  > Instale um recursivo ou dois dentro da rede do seu cliente e oriente-o a usa-los ao invés de servidores externos 
 >  > 
 >  > Se o problema pra isso for falta de maquina: 
 >  > 
 >  > http://elizandro.pachecotecnologia.net/2014/08/instalando-o-unbound-no-edgerouter.html 
 >  > 
 >  > !3runo Cabral 
 >  > -- 
 >  > Cursos e Consultoria BGP e OSPF 
 >  > ________________________________ 
 >  > De: gter <gter-bounces at eng.registro.br> em nome de Tiago SR <listas at tiagosr.com> 
 >  > Enviado: terça-feira, 11 de abril de 2017 00:24:37 
 >  > Para: gter 
 >  > Assunto: [GTER] Suspeita de interceptação de DNS pela Level 3 
 >  > 
 >  > Pessoal, 
 >  > 
 >  > Notei uma coisa estranha na rede de um cliente meu: quando está usando GigaDNS lá, o whoami.akamai.net responde com um IP da Level 3: 8.0.6.2 (DNS-8-0-6-2.Atlanta1.Level3.net). Além disso, o desempenho do Facebook e alguns outros CDNs é prejudicado quando se usa o GigaDNS, fazendo o tráfego muitas vezes vir dos EUA. Está me parecendo que a Level 3 está interceptando o GigaDNS e redirecionando para um servidor deles, o que prejudica a distribuição por geolocalização das CDNs... 
 >  > 
 >  > Segue um traceroute para 189.38.95.95: 
 >  > 
 >  > traceroute to 189.38.95.95 (189.38.95.95), 30 hops max, 60 byte packets 
 >  >  1  172.31.200.1 (172.31.200.1)  0.164 ms  0.147 ms  0.161 ms 
 >  >  2  172.31.254.1 (172.31.254.1)  0.477 ms  0.452 ms  0.481 ms 
 >  >  3  191.7.30.99 (191.7.30.99)  3.270 ms  3.861 ms  3.771 ms 
 >  >  4  170.245.52.38 (170.245.52.38)  22.743 ms  22.674 ms  22.716 ms 
 >  >  5  cliente-70-38.conectway.com.br (200.186.70.38)  26.546 ms  26.570 ms  26.545 ms 
 >  >  6  cliente-70-37.conectway.com.br (200.186.70.37)  26.520 ms  27.065 ms  27.057 ms 
 >  >  7  ae2-40G.csr1.POA1.POA.gblx.net (67.16.189.86)  40.463 ms ae1-40G.csr1.POA1.POA.gblx.net (67.16.189.82)  47.460 ms  46.215 ms 
 >  >  8  * * * 
 >  >  9  * * * 
 >  > 10  * * * 
 >  > 
 >  > Já quando é usado DNS da Google, 8.8.8.8, o whoami.akamai.net responde com um IP da Google (173.194.91.67), o que parece normal. Interessante que a rota para 8.8.8.8 também passa pela Level 3 e não é interceptado, mas há uma diferença: ela segue para SAP (Honduras?). Veja: 
 >  > 
 >  > traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets 
 >  >  1  172.31.200.1 (172.31.200.1)  0.139 ms  0.128 ms  0.146 ms 
 >  >  2  172.31.254.1 (172.31.254.1)  0.541 ms  0.533 ms  0.480 ms 
 >  >  3  191.7.30.99 (191.7.30.99)  5.474 ms  5.464 ms  5.111 ms 
 >  >  4  170.245.52.38 (170.245.52.38)  29.465 ms  29.476 ms  29.464 ms 
 >  >  5  cliente-70-38.conectway.com.br (200.186.70.38)  34.897 ms  34.874 ms  34.834 ms 
 >  >  6  cliente-70-37.conectway.com.br (200.186.70.37)  35.293 ms  27.032 ms  28.161 ms 
 >  >  7  ae1-80G.ar2.SAP1.gblx.net (204.246.244.66)  26.719 ms  21.643 ms ae2-80G.ar2.SAP1.gblx.net (204.246.244.62)  27.915 ms 
 >  >  8  64.208.27.218 (64.208.27.218)  21.541 ms  24.706 ms  21.529 ms 
 >  >  9  108.170.245.227 (108.170.245.227)  27.650 ms  21.473 ms 108.170.245.195 (108.170.245.195)  30.182 ms 
 >  > 10  216.239.43.47 (216.239.43.47)  76.963 ms  72.708 ms  73.666 ms 
 >  > 11  72.14.234.185 (72.14.234.185)  72.404 ms 209.85.241.184 (209.85.241.184)  73.330 ms 72.14.238.145 (72.14.238.145)  75.687 ms 
 >  > 12  * * * 
 >  > 13  * * * 
 >  > 14  * * * 
 >  > 
 >  > Ou seja, a Level 3 está fazendo interceptação no caminho para Porto Alegre apenas? 
 >  > Esse cliente meu está no Goiás, mas notei pela ferramenta DNS do ISPTools que tem gente no Tocantins e Rio Grande do Sul sob o mesmo efeito, porém para um IP, ainda da Level 3, um pouco diferente: 8.0.6.15. 
 >  > Essa prática me desperta suspeita e não me parece ser legal, além dos prejuízos técnicos, conforme descritos. 
 >  > 
 >  > -- 
 >  > gter list    https://eng.registro.br/mailman/listinfo/gter 
 >  > -- 
 >  > gter list    https://eng.registro.br/mailman/listinfo/gter 
 >  > 
 >  
 >  
 > -- 
 > gter list    https://eng.registro.br/mailman/listinfo/gter 
 > -- 
 > gter list    https://eng.registro.br/mailman/listinfo/gter 
 >

More information about the gter mailing list