¿Está mi ISP BGP / DNS secuestrando?

Question

¿Está mi ISP BGP / DNS secuestrando?

#1 de Joe Sniderman (5 votos)

7

He notado una actividad muy sospechosa de mi ISP.

A veces me doy cuenta de que cuando hago ping a google.com se resolvería a una IP que es propiedad de mi ISP. Actualmente no tengo un ejemplo ya que se está resolviendo normalmente en este momento. Sin embargo, aquí hay una cosa rara. Los servidores DNS de mi ISP (41.128.225.225), 8.8.8.8, 8.8.4.4 y 4.2.2.2 están haciendo ping a aproximadamente 12 ms. Aquí hay un resumen de todas estas IP que muestran que el tráfico nunca sale de la red de los ISP.

DNS del ISP:

Tracing route to 41.128.225.225 over a maximum of 30 hops

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    11 ms    11 ms  172.18.1.85
  4    11 ms    11 ms    11 ms  41.128.225.225

Google DNS:

Tracing route to google-public-dns-a.google.com [8.8.8.8] over a maximum of 30 hops:

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    12 ms    11 ms  172.18.1.97
  4     *        *        *     Request timed out.
  5    12 ms    12 ms    12 ms  172.20.2.14
  6    48 ms    15 ms    13 ms  172.17.1.10
  7    13 ms    13 ms    12 ms  google-public-dns-a.google.com [8.8.8.8]

Level3 DNS:

Tracing route to b.resolvers.Level3.net [4.2.2.2]
over a maximum of 30 hops:

  1     6 ms     3 ms     2 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    13 ms    11 ms  172.18.1.81
  4    14 ms    35 ms    16 ms  b.resolvers.Level3.net [4.2.2.2]

Todos los 172.16.0.0/12 están en la red privada de los ISP, lo que significa que no queda nada de este tráfico hacia el mundo exterior. ¿Alguien puede confirmar si esta es una actividad genuinamente sospechosa por parte de mi ISP y hay algo que pueda hacer al respecto?

dns surveillance routing

pregunta Someone 10.01.2014 - 13:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas dns surveillance routing

¿Qué medidas de seguridad tiene Chrome para implementar diferentes cuentas de usuario? ¿Hay alguna forma de poner una contraseña de autodestrucción en el cifrado de disco de Ubuntu?

score 5 · Answer 1

Sí, su ISP está claramente secuestrando no solo el DNS para google, sino también las solicitudes de DNS que intenta enviar a servidores DNS externos.

En su análisis, tiene razón al afirmar que el tráfico a Google no está saliendo de la red de sus ISP. Sus traceroutes también muestran que sus consultas de DNS al DNS público de Google, así como a las resoluciones abiertas de Level 3, no están abandonando la red de su ISP.

Además, los registros DNS A devolvieron todos los puntos a una IP dentro de la red de su ISP, independientemente del proveedor de DNS que consulte. es decir, el registro A proporcionado es secuestrado, ya que no es el registro A que proporciona Google en sí mismo, sino uno que su ISP ha proporcionado en su lugar.

Parece que su ISP está secuestrando las consultas de DNS reales para evitar que evite el secuestro de los registros de DNS.

No se requiere manipulación de BGP para que hagan esto. Todo lo que necesitan hacer (y probablemente todo lo que están haciendo) es enrutar todos los paquetes destinados a UDP 53 a sus propios servidores de nombres. Una configuración simple en su propio enrutador.