Il mio ISP BGP / DNS è un dirottamento?

7

Ho notato alcune attività molto sospette dal mio ISP.

A volte noterei che quando eseguo il ping su google.com si risolve in un IP di proprietà del mio ISP. Al momento non ho un esempio dato che al momento si sta risolvendo normalmente. Tuttavia, ecco una cosa strana. I server DNS del mio ISP (41.128.225.225), 8.8.8.8, 8.8.4.4 e 4.2.2.2 eseguono il ping a circa 12 ms. Ecco un traceroute di tutti questi IP che mostra che il traffico non lascia mai la rete degli ISP.

DNS ISP:

Tracing route to 41.128.225.225 over a maximum of 30 hops

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    11 ms    11 ms  172.18.1.85
  4    11 ms    11 ms    11 ms  41.128.225.225

Google DNS:

Tracing route to google-public-dns-a.google.com [8.8.8.8] over a maximum of 30 hops:

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    12 ms    11 ms  172.18.1.97
  4     *        *        *     Request timed out.
  5    12 ms    12 ms    12 ms  172.20.2.14
  6    48 ms    15 ms    13 ms  172.17.1.10
  7    13 ms    13 ms    12 ms  google-public-dns-a.google.com [8.8.8.8]

DNS Level3:

Tracing route to b.resolvers.Level3.net [4.2.2.2]
over a maximum of 30 hops:

  1     6 ms     3 ms     2 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    13 ms    11 ms  172.18.1.81
  4    14 ms    35 ms    16 ms  b.resolvers.Level3.net [4.2.2.2]

Tutti i 172.16.0.0/12 sono nella rete privata dei provider di servizi Internet, il che significa che nessuno di questo traffico è stato lasciato nel mondo esterno. Qualcuno può confermare se questa attività è veramente sospetta dal mio ISP e c'è qualcosa che posso fare al riguardo?

    
posta Someone 10.01.2014 - 13:02
fonte

1 risposta

5

Sì, il tuo ISP sta violando molto chiaramente non solo il DNS per google, ma anche le richieste DNS che cerchi di inviare ai server DNS esterni.

Hai ragione nella tua analisi che il traffico verso Google non sta lasciando la rete dei tuoi ISP. I tuoi traceroute mostrano anche che le tue query DNS al DNS pubblico di Google, così come ai resolver aperti di Level 3, non lasciano la rete del tuo ISP.

Inoltre, i record DNS A hanno restituito tutti i punti a un IP all'interno della rete dell'ISP, indipendentemente dal provider DNS richiesto. Ad esempio, il record A fornito è dirottato, in quanto non è il record A fornito da Google stesso, ma piuttosto quello che il tuo ISP ha fornito al suo posto.

Sembrerebbe che il tuo ISP stia violando le attuali query DNS per impedirti di eludere il suo dirottamento dei record DNS.

Non è richiesta alcuna manomissione BGP per farlo. Tutto quello che devono fare (e probabilmente tutto ciò che stanno facendo) è instradare tutti i pacchetti destinati a UDP 53 ai propri nameserver. Una semplice impostazione nel proprio router.

    
risposta data 16.08.2014 - 08:35
fonte

Leggi altre domande sui tag