¿Cómo determinar si IP resuelto es un pícaro o parte de CDN?

Es posible que haya accedido a la "Google Global Cache" donde se encuentran los servidores en la red de sus ISP para proporcionar una menor -Acceso a los recursos de uso común. El hecho de que al visitar esa dirección IP en un navegador le da a la página de búsqueda de Google refuerza esta posibilidad.

En cuanto a las direcciones IP de confianza: no. Utilice siempre protocolos protegidos por encriptación fuerte de extremo a extremo (TLS) y confíe en los certificados presentados. Si bien es posible que no sean perfectos (¡no lo son!), La infraestructura TLS es mucho mejor que intentar tranquilizarse con el DNS. (Aunque dnscrypt y / o DNSSEC también pueden ofrecer algunas garantías en el espacio DNS, no se implementan ampliamente).

Esta ip, cuando se accede a través de https, proporciona un certificado válido para Google.com, por lo que este servidor es administrado por Google o el ISP está haciendo un paso por HTTPS. Dado que sirve un certificado de Google al acceder por ip, me inclino por que sea un servidor de Google.

En ambos casos, el uso de https asegurará que se esté comunicando con Google real, sin importar si están proxy de su DNS o no.

Tenga en cuenta que incluso si no envenenan su DNS, pueden rastrear y modificar todas sus páginas http: por lo que siempre necesita la capa https.

¹ Supongo que su ISP no ha comprometido un certificado de Google y lo utiliza para los clientes de MiTM :)

Cuando no esté seguro de poder confiar en su ISP, use la versión HTTPS de google . Cuando intenten redirigir su solicitud a un sitio falso, recibirá una advertencia de que el certificado no es válido.

De hecho, debes hacer esto para cualquier sitio web. La extensión del navegador HTTPS en todas partes puede ayudarlo con esto. Le redirige automáticamente a la versión HTTPS de un sitio web cuando está disponible. El uso de HTTPS también evita cualquier inyección de código, por cierto.