Guardando l'output di tcpdump e l'output del debugger dall'esecuzione dello strumento, sembra che la pagina recuperi questo URL:
link
e ottiene una risposta simile a questa:
{
"ping_url": " link stringa] .names.dnscheck.sc.fsapi.com / prod / v1 / result? apikey = [stringa arbitraria] & output = dns"
}
La stringa arbitraria nel nome host e la chiave API sembrano cambiare a ogni richiesta.
... GETting that URL restituisce output come questo:
{
"asn": "12008",
"asn_org": "NeuStar, Inc.",
"isp": "NTT America",
"org": "NeuStar",
"continent_code": "NA",
"continent_name": "Nord America",
"country_code": "Stati Uniti",
"country_name": "Stati Uniti",
"registered_country_code":
"NOI",
"registered_country_name":
"Stati Uniti",
"dns_ip": "165.254.23.143",
"known_public_dns": "Norton ConnectSafe",
"verdetto": "incerto"
}
.. quindi sembra che abbiano configurato un server per monitorare l'origine delle ricerche DNS (è per questo che ottieni il tuo nome host personalizzato / casuale da cercare) e poi fai un rapporto sull'entità che ha creato la richiesta.
L'esempio che mostro qui è di Firefox, che apparentemente viene intercettato da un servizio Norton che non ho installato; se faccio la stessa richiesta da Chrome, mostra i dati che identificano la richiesta come provenienti dal mio provider di rete upstream.
Quindi, come discusso nella tua domanda e nei commenti alla tua domanda, sembra che un malintenzionato provider DNS possa semplicemente passare tutte le loro richieste a Google o a un altro provider DNS upstream, e questo strumento probabilmente non li prenderebbe .