¿Cómo determinar si IP resuelto es un pícaro o parte de CDN?

3

Estoy suscrito al ISP de propiedad del gobierno porque solo este ISP brinda acceso al área rural. Tiene mala reputación porque no solo redirige los sitios, sino que también inyecta JavaScript para la publicidad al final de las páginas HTML.

He estado usando dnscrypt para evitar la redirección. Pero hace unas horas, descubrí accidentalmente que la solicitud de DNS para www.google.com se resolvió en 118.98.111.30 . Estoy usando OpenDNS como proveedor para dnscrypt-proxy .

Un whois rápido muestra que la IP es propiedad de mi ISP. Después de reiniciar los enrutadores y las PC de mi hogar, las solicitudes de DNS para www.google.com devuelven la propiedad intelectual de Google y nunca más devuelven 118.98.111.30 .

Me gustaría saber qué puedo hacer para determinar si esta IP es parte de CDN de Google o algún tipo de sitio malicioso.

    
pregunta David Bower 07.11.2014 - 08:14
fuente

3 respuestas

5

Es posible que haya accedido a la "Google Global Cache" donde se encuentran los servidores en la red de sus ISP para proporcionar una menor -Acceso a los recursos de uso común. El hecho de que al visitar esa dirección IP en un navegador le da a la página de búsqueda de Google refuerza esta posibilidad.

En cuanto a las direcciones IP de confianza: no. Utilice siempre protocolos protegidos por encriptación fuerte de extremo a extremo (TLS) y confíe en los certificados presentados. Si bien es posible que no sean perfectos (¡no lo son!), La infraestructura TLS es mucho mejor que intentar tranquilizarse con el DNS. (Aunque dnscrypt y / o DNSSEC también pueden ofrecer algunas garantías en el espacio DNS, no se implementan ampliamente).

    
respondido por el David 07.11.2014 - 08:41
fuente
2

Esta ip, cuando se accede a través de https, proporciona un certificado válido para Google.com, por lo que este servidor es administrado por Google o el ISP está haciendo un paso por HTTPS. Dado que sirve un certificado de Google al acceder por ip, me inclino por que sea un servidor de Google.

En ambos casos, el uso de https asegurará que se esté comunicando con Google real, sin importar si están proxy de su DNS o no.

Tenga en cuenta que incluso si no envenenan su DNS, pueden rastrear y modificar todas sus páginas http: por lo que siempre necesita la capa https.

¹ Supongo que su ISP no ha comprometido un certificado de Google y lo utiliza para los clientes de MiTM :)

    
respondido por el Ángel 08.11.2014 - 02:32
fuente
0

Cuando no esté seguro de poder confiar en su ISP, use la versión HTTPS de google . Cuando intenten redirigir su solicitud a un sitio falso, recibirá una advertencia de que el certificado no es válido.

De hecho, debes hacer esto para cualquier sitio web. La extensión del navegador HTTPS en todas partes puede ayudarlo con esto. Le redirige automáticamente a la versión HTTPS de un sitio web cuando está disponible. El uso de HTTPS también evita cualquier inyección de código, por cierto.

    
respondido por el Philipp 08.11.2014 - 20:12
fuente

Lea otras preguntas en las etiquetas