[GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?

Luzemário Dantas luzemario at luzehost.com.br
Tue Mar 14 10:16:12 -03 2017 

Diego,

Em meu entendimento, é importante que o apontamento de destinos 
populares como o Google seja feito para o cluster mais próximo quando 
for feita uma consulta sobre esses destinos.

Mas uma coisa é para onde o DNS aponta quando perguntado sobre esses 
destinos, outra é quem responde pelo DNS. Se faço um requisição para o 
GigaDNS, é dele que quero um resposta, não da NET. Se eu quisesse 
respostas da NET, usaria o DNS dela. Para mim não faz sentido consultar 
um 208.67.220.220 que está na NET, exceto se eles fizerem uma parceria 
que seja divulgada aos quatro ventos, onde aí posso me preparar para a 
situação.

Luzemário

Em 13-03-2017 20:31, Diego Canton de Brito escreveu:
> Quanto a serviços, o DNS, seja Google ou nosso, em uns 90% do tempo responde IP do cluster GGC local (implementação de 3 nós ou mais).
>
> Seria legal realizar o teste que citei abaixo para saber se é um IP Net que consulta ou se é alguma outra coisa.
>
> Obter o Outlook para Android<https://aka.ms/ghei36>
>
>
> ________________________________
> From: gter <gter-bounces at eng.registro.br> on behalf of LuzeHOST Internet <luzemario at luzehost.com.br>
> Sent: Monday, March 13, 2017 8:57:33 AM
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
>
> Não disse que era o GGC que resolvia o DNS... :-) a NET é que redireciona a
> requisição para o GGC local. É só um exemplo das "otimizações" feitas no
> DNS deles.
>
>
>
> Em 12/03/2017 11:26 AM, "Diego Canton de Brito" <diegocdeb at hotmail.com>
> escreveu:
>
> Se me lembro bem, a resposta do Google é "O GGC não serve o Google Public
> DNS", também dizem que não entrega conteúdo Gmail, Drive e Cloud.
>
> Logo, não acredito que essa consulta com IP Net seja GGC.
>
> O comando abaixo mostra o IP do servidor que realizou a consulta DNS na
> Akamai, se a Net redireciona para seus servidores locais, a resposta
> provavelmente será o mesmo IP ou bloco.
> nslookup whoami.akamai.net <IP DNS Server>
>
> Obter o Outlook para Android<https://aka.ms/ghei36>
>
>
> ________________________________
> From: gter <gter-bounces at eng.registro.br> on behalf of Luzemário Dantas <
> luzemario at luzehost.com.br>
> Sent: Saturday, March 11, 2017 11:18:33 PM
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
>
> Aparentemente a NET só intercepta os principais resolvedores DNSs
> públicos. Consigo consultar qualquer outro servidor (inclusive os root
> servers) sem nenhum problema. Possivelmente é cache mesmo. Essa foi a
> causa de ter que criar regras alienígenas no meu Unbound que uso no
> pfSense para poder acessar sites bloqueados no DNS da NET, como comentei
> na lista Caiu. Para quem não acompanhou a conversa por lá, tive que
> fazer uma gamb... solução técnica para usar o DNS da NET quando preciso
> de CDNs (Google, Face, WhatsApp, Youtube, etc) e o resto fora do DNS da
> NET para contornar bloqueios.
>
> Pelo menos agora consigo fazer requisições no OpenDNS que levam 175ms
> (antes o OpenDNS me respondia com 2ms... tava aqui dentro... kkkk).
>
> Quando se usa o DNS da NET, uma simples pergunta por www.google.com<<http://www.google.com<>
> http://www.google.com>
> retorna aproximadamente 10 servidores na faixa 189.6.XXX.YYY, que são
> blocos da NET (Claro, 189.4.0.0/14), possivelmente no GGC deles.
>
> Isso é bem útil quando se quer acessar conteúdo localmente, mas não é o
> meu caso. estou o tempo todo acessando servidores lá fora, isso acaba
> atrapalhando mais que ajudando. Não são raros os casos em que hosts não
> estão no DNS da NET mas existem.
>
> Luzemário
>
>
> Em 10/03/2017 22:11, Ricardo Rodrigues escreveu:
>> Que estranho. Tenho um acesso NET e as consultas DNS chegam sem problemas
> a
>> meu servidor DNS externo, aos DNS do Google e ao OpenDNS que você citou
>> acima. Não testei os demais.
>>
>> No seu acesso, isso acontece apenas para os IP's que você citou? Já tentou
>> enviar um pacote DNS para algum servidor/host seu na Internet e verificar
>> se o pacote chega nele?
>>
>> Abs,
>> Ricardo
>>
>>
>> Em 9 de março de 2017 19:56, Luzemário Dantas <luzemario at luzehost.com.br>
>> escreveu:
>>
>>> Se você fizer uma requisição em 208.67.222.222, é o DNS da NET que
>>> responde.
>>>
>>> Se você fizer uma requisição em 8.8.4.4, é o DNS da NET que responde.
>>>
>>> Se você fizer uma requisição em 8.8.8.8, é o DNS da NET que responde.
>>>
>>> Se você fizer uma requisição no GigaDNS, é o DNS da NET que responde.
>>>
>>> E por aí vai. Todas as requisições são redirecionadas para o mesmo pool
>>> dentro da NET.
>>>
>>> Um simples traceroute mostra todo mundo pertinho, dentro da NET. E tenho
>>> certeza que a NET não é a Internet.
>>>
>>> Isso pode variar conforme contrato/localização, mas é assim lá em casa.
>>>
>>> Luzemário
>>>
>>>
>>>
>>> Em 09-03-2017 09:03, Ricardo Rodrigues escreveu:
>>>
>>>> Olá Luzemário,
>>>>
>>>> Não entendi seu comentário sobre o DNS da NET. Poderia dar mais
> detalhes?
>>>> Abs,
>>>> Ricardo
>>>>
>>>>
>>>> Em 7 de março de 2017 13:11, Luzemário Dantas <luzemario at luzehost.com.br
>>>> escreveu:
>>>>
>>>> Aqui em BSB, conexão residencial ou empresarial básica, a NET intercepta
>>>>> todos os DNSs, exceto os root-servers (por enquanto). Isso pode ser bom
>>>>> para quem usa cache nos serviços feijão-com-arroz, mas para meu uso
>>>>> profissional, enche o saco.
>>>>>
>>>>> Essa porcaria de modem da Vivo aceita pelo menos modo bridge?
>>>>>
>>>>> Luzemário
>>>>>
>>>>>
>>>>> Em 05-03-2017 23:46, Eduardo Rigler escreveu:
>>>>>
>>>>> Lembrei de uma época em que conexões Virtua simplesmente paravam de
>>>>>> funcionar quando vc tentava utilizar outros DNS se não os dela, não
> sei
>>>>>> como isso está hoje.
>>>>>>
>>>>>> Aqui no VIVO Fibra o roteador Mitrastar fornecido por ela não aceita
>>>>>> outros
>>>>>> endereços à não ser o do próprio roteador (ou adicional) na área de
>>>>>> DHCP.
>>>>>> Na parte da WAN não há qualquer ajuste nesse sentido também,
> felizmente
>>>>>> nunca tive problemas.
>>>>>>
>>>>>> []´s
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> Equipe LuzeHOST
> LuzeHOST Team
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list