[GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
Diego Canton de Brito
diegocdeb at hotmail.com
Tue Mar 14 22:47:34 -03 2017
Luzemario continua na defensiva e não faz o bendito teste que vai responder o IP do servidor que solicitou a resolução no destino.
Se o IP respondido for NET ela intercepta mesmo se for do ASN que fornece o DNS, então não.
Preste atenção para o fato do endereço que informei não ter uma resposta X sempre ou geolocalizada, mas ser o IP utilizado para consultar.
Seu Unbound está no ASN 100, recebe consultas no IP 1.1.1.2, mas por ser Anycast utiliza um IP único para saída, e vai até a Akamai solicitar a resolução com 1.1.2.2, a Akamai responderá a esse endereço especial com 1.1.2.2, se a NET interceptar isso e redirecionar para sua infra, a resposta obtida será um IP deles, justamente o IP que solicitou ao server autoritativo a resolução.
Não faria sentido eu te pedir um teste que resolva qualquer coisa por qualquer motivo, se peço algo é pq ele terá uma relevância para sua reclamação, servindo como uma amostra de ocorrência ou não.
Desculpe se não fui claro antes, espero que agora esteja bem claro o que o teste irá fazer.
Com o devido esclarecimento, encerro minha participação na Thread.
Obter o Outlook para Android<https://aka.ms/ghei36>
________________________________
From: gter <gter-bounces at eng.registro.br> on behalf of Luzemário Dantas <luzemario at luzehost.com.br>
Sent: Tuesday, March 14, 2017 10:16:12 AM
To: Grupo de Trabalho de Engenharia e Operacao de Redes
Subject: Re: [GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
Diego,
Em meu entendimento, é importante que o apontamento de destinos
populares como o Google seja feito para o cluster mais próximo quando
for feita uma consulta sobre esses destinos.
Mas uma coisa é para onde o DNS aponta quando perguntado sobre esses
destinos, outra é quem responde pelo DNS. Se faço um requisição para o
GigaDNS, é dele que quero um resposta, não da NET. Se eu quisesse
respostas da NET, usaria o DNS dela. Para mim não faz sentido consultar
um 208.67.220.220 que está na NET, exceto se eles fizerem uma parceria
que seja divulgada aos quatro ventos, onde aí posso me preparar para a
situação.
Luzemário
Em 13-03-2017 20:31, Diego Canton de Brito escreveu:
> Quanto a serviços, o DNS, seja Google ou nosso, em uns 90% do tempo responde IP do cluster GGC local (implementação de 3 nós ou mais).
>
> Seria legal realizar o teste que citei abaixo para saber se é um IP Net que consulta ou se é alguma outra coisa.
>
> Obter o Outlook para Android<https://aka.ms/ghei36>
>
>
> ________________________________
> From: gter <gter-bounces at eng.registro.br> on behalf of LuzeHOST Internet <luzemario at luzehost.com.br>
> Sent: Monday, March 13, 2017 8:57:33 AM
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
>
> Não disse que era o GGC que resolvia o DNS... :-) a NET é que redireciona a
> requisição para o GGC local. É só um exemplo das "otimizações" feitas no
> DNS deles.
>
>
>
> Em 12/03/2017 11:26 AM, "Diego Canton de Brito" <diegocdeb at hotmail.com>
> escreveu:
>
> Se me lembro bem, a resposta do Google é "O GGC não serve o Google Public
> DNS", também dizem que não entrega conteúdo Gmail, Drive e Cloud.
>
> Logo, não acredito que essa consulta com IP Net seja GGC.
>
> O comando abaixo mostra o IP do servidor que realizou a consulta DNS na
> Akamai, se a Net redireciona para seus servidores locais, a resposta
> provavelmente será o mesmo IP ou bloco.
> nslookup whoami.akamai.net <IP DNS Server>
>
> Obter o Outlook para Android<https://aka.ms/ghei36>
>
>
> ________________________________
> From: gter <gter-bounces at eng.registro.br> on behalf of Luzemário Dantas <
> luzemario at luzehost.com.br>
> Sent: Saturday, March 11, 2017 11:18:33 PM
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> Subject: Re: [GTER] DNS do Virtua sofre muitos episódios de DNS poisoning?
>
> Aparentemente a NET só intercepta os principais resolvedores DNSs
> públicos. Consigo consultar qualquer outro servidor (inclusive os root
> servers) sem nenhum problema. Possivelmente é cache mesmo. Essa foi a
> causa de ter que criar regras alienígenas no meu Unbound que uso no
> pfSense para poder acessar sites bloqueados no DNS da NET, como comentei
> na lista Caiu. Para quem não acompanhou a conversa por lá, tive que
> fazer uma gamb... solução técnica para usar o DNS da NET quando preciso
> de CDNs (Google, Face, WhatsApp, Youtube, etc) e o resto fora do DNS da
> NET para contornar bloqueios.
>
> Pelo menos agora consigo fazer requisições no OpenDNS que levam 175ms
> (antes o OpenDNS me respondia com 2ms... tava aqui dentro... kkkk).
>
> Quando se usa o DNS da NET, uma simples pergunta por www.google.com<<http://www.google.com<>
> http://www.google.com>
> retorna aproximadamente 10 servidores na faixa 189.6.XXX.YYY, que são
> blocos da NET (Claro, 189.4.0.0/14), possivelmente no GGC deles.
>
> Isso é bem útil quando se quer acessar conteúdo localmente, mas não é o
> meu caso. estou o tempo todo acessando servidores lá fora, isso acaba
> atrapalhando mais que ajudando. Não são raros os casos em que hosts não
> estão no DNS da NET mas existem.
>
> Luzemário
>
>
> Em 10/03/2017 22:11, Ricardo Rodrigues escreveu:
>> Que estranho. Tenho um acesso NET e as consultas DNS chegam sem problemas
> a
>> meu servidor DNS externo, aos DNS do Google e ao OpenDNS que você citou
>> acima. Não testei os demais.
>>
>> No seu acesso, isso acontece apenas para os IP's que você citou? Já tentou
>> enviar um pacote DNS para algum servidor/host seu na Internet e verificar
>> se o pacote chega nele?
>>
>> Abs,
>> Ricardo
>>
>>
>> Em 9 de março de 2017 19:56, Luzemário Dantas <luzemario at luzehost.com.br>
>> escreveu:
>>
>>> Se você fizer uma requisição em 208.67.222.222, é o DNS da NET que
>>> responde.
>>>
>>> Se você fizer uma requisição em 8.8.4.4, é o DNS da NET que responde.
>>>
>>> Se você fizer uma requisição em 8.8.8.8, é o DNS da NET que responde.
>>>
>>> Se você fizer uma requisição no GigaDNS, é o DNS da NET que responde.
>>>
>>> E por aí vai. Todas as requisições são redirecionadas para o mesmo pool
>>> dentro da NET.
>>>
>>> Um simples traceroute mostra todo mundo pertinho, dentro da NET. E tenho
>>> certeza que a NET não é a Internet.
>>>
>>> Isso pode variar conforme contrato/localização, mas é assim lá em casa.
>>>
>>> Luzemário
>>>
>>>
>>>
>>> Em 09-03-2017 09:03, Ricardo Rodrigues escreveu:
>>>
>>>> Olá Luzemário,
>>>>
>>>> Não entendi seu comentário sobre o DNS da NET. Poderia dar mais
> detalhes?
>>>> Abs,
>>>> Ricardo
>>>>
>>>>
>>>> Em 7 de março de 2017 13:11, Luzemário Dantas <luzemario at luzehost.com.br
>>>> escreveu:
>>>>
>>>> Aqui em BSB, conexão residencial ou empresarial básica, a NET intercepta
>>>>> todos os DNSs, exceto os root-servers (por enquanto). Isso pode ser bom
>>>>> para quem usa cache nos serviços feijão-com-arroz, mas para meu uso
>>>>> profissional, enche o saco.
>>>>>
>>>>> Essa porcaria de modem da Vivo aceita pelo menos modo bridge?
>>>>>
>>>>> Luzemário
>>>>>
>>>>>
>>>>> Em 05-03-2017 23:46, Eduardo Rigler escreveu:
>>>>>
>>>>> Lembrei de uma época em que conexões Virtua simplesmente paravam de
>>>>>> funcionar quando vc tentava utilizar outros DNS se não os dela, não
> sei
>>>>>> como isso está hoje.
>>>>>>
>>>>>> Aqui no VIVO Fibra o roteador Mitrastar fornecido por ela não aceita
>>>>>> outros
>>>>>> endereços à não ser o do próprio roteador (ou adicional) na área de
>>>>>> DHCP.
>>>>>> Na parte da WAN não há qualquer ajuste nesse sentido também,
> felizmente
>>>>>> nunca tive problemas.
>>>>>>
>>>>>> []´s
>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> Equipe LuzeHOST
> LuzeHOST Team
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list