¿Por qué obtuve una IP y un certificado incorrectos para www.facebook.com ahora mismo? [cerrado]

2

Acabo de navegar a www.facebook.com y mi navegador me avisó que se había recibido un certificado no válido. Revisé el certificado en cuestión y me sorprendió ver que el nombre común en él era www.hackermagnet.com.

Después de la maldición inicial, inicié Wireshark, recargué Facebook y verifiqué los paquetes transmitidos. Vi que la respuesta a la consulta de DNS para www.facebook.com era, de hecho, la IP de este www.hackermagnet.com.

Si bien tengo un enrutador notoriamente malo, consideré que podría haber guardado la dirección incorrecta de Facebook, pero creo que nunca he visitado hackermagnet para que eso suceda. ¿Podría ser esto una rara combinación de ISP o algo así? Además, incluso si le pidiera a hackermagnet su certificado, ¿por qué respondería cuando en el encabezado de la extensión de Indicación del nombre del servidor puedo ver que mi navegador solicitó específicamente el certificado de Facebook?

El problema se solucionó solo después de un tiempo, pero todo esto me preocupa (y me desconcierta).

Gracias por tu tiempo.

Mi computadora usa 192.168.2.1 (mi enrutador) como DNS, mientras que el enrutador obtiene la información del DNS automáticamente a través de la interfaz PPPoE. Actualmente, los servidores DNS del enrutador son 62.38.1.81 y 62.38.0.81 (secundario).

    
pregunta user2802299 16.02.2016 - 22:45
fuente

2 respuestas

1

Suena como si su enrutador o el servidor DNS de su ISP fue golpeado por un ataque de envenenamiento de caché de DNS. El siguiente artículo describe cómo podría ocurrir esto: enlace

Debido a que esto solo es capaz de cambiar la configuración del Tiempo de vida (TTL) del dominio secuestrado (facebook.com), desaparecerá por sí solo una vez que el tiempo haya expirado, a menos que el atacante pueda hacerlo. para repetir el ataque.

Es posible que desee configurar los sistemas en su red, así como su propio enrutador, para consultar un (más o menos) servidor DNS público de confianza en lugar de los proporcionados por su ISP. Un ejemplo es DNS público de Google en 8.8.8.8 y 8.8.4.4.

    
respondido por el Mike McManus 16.02.2016 - 23:38
fuente
0

Parece extraño pero significa que el dominio se tradujo a IP de www.hackermagnet.com . Como comprobé, no está detrás de CDN e IP es estable : 195.154.223.98 .

Cualquiera que sea la resolución del nombre, puede guardarse en caché en su navegador web. Chromium / Chrome tiene esto: verifica chrome://net-internals/#dns y este tema .

Sospecho que en algún lugar la resolución de DNS se almacenó en caché o se realizó de forma incorrecta:

  • en el navegador web: ¿problema de caché?
  • en su DNS: podría ser un enrutador si tiene una configuración DHCP predeterminada que apunta a su enrutador, no a un DNS público asignado por el ISP
  • en el ISP DNS - feo ... pero podría suceder
respondido por el Pawel 16.02.2016 - 23:01
fuente

Lea otras preguntas en las etiquetas