Вопрос по nslookup и резолв доменного имени
 

Всем привет!
Подскажите, возможно ли чтобы команда выдавала не тот IP, который прописан на домене, а что-то ... "левое"?
Ближе к конкретике: далеко-далеко есть комп подключенный к сети о которой мы ничего не знаем. Выход в интернет есть.
Одно доменное имя резолвится (подскажите, а адекватный эквивалент этому слову на русском есть?) в неправильный IP адрес. Именно на том компе.
На других компах, стоящих в ДРУГИХ сетях все работает нормально.
Сразу говорю, файл hosts ни при чем.

О которой или о котором?

«Разрешается» (в адрес).

Возможно, это называется DNS, в частности локальный DNS сервер.

Что "DNS"? Понятное дело, что вся тема про DNS.
Насчёт локального DNS сервера, он наверное есть, но разве при команде "nslookup <имя домена> 8.8.8.8" будет запрашиваться локальный сервер, а не напрямую указанный?

Это может быть DNS MitM spoofing или DNS cache poisoning – подумал, не вариант, так как обращение на гуглоднс, а он от этого засекьюрен, так что только митм. Поскольку DNS трафик не шифрован (если не используется DNSSEC, а оно пока не очень распространено и точно нигде не обязательно к применению), перехватить DNS запрос и подменить ответ плёвое дело. Это может быть вирус на самом компе, или руткит на роутере, или даже шутки провайдера.

Следует также понимать, что разные IP для разных сетей могут выдаваться вполне легально (например, по географическому признаку) с целью балансировки трафика и распределения нагрузки.

Jula0071, а если исключить "злонамеренные" варианты?

Смотря что считать злонамеренным. Например, провайдер из приведённого примера просто выполняет закон как умеет. А хорош или плох закон – оставим за скобками. Подозрение на митм же можно просто проверить. Сделать это можно так – загрузиться с линуксового лайва, где точно нет никаких закладок и там посмотреть. Если митм сидит выше, то при условии, что вы в РФ, можете провериться скриптом blockcheck.

Jula0071, это не РФ. Если провайдер как-то и причастен, то скорее опять же, ненамеренно.
Кроме митм, есть ещё какие-то варианты?

Балансировка, как написал выше. Может, перейдём к конкретике? Укажите доменное имя, так будет проще. И ответы nslookup.

Jula0071, тем временем проблему решили тупо отредактировав файл hosts. Свалили всё на провайдера.
Ладно, фиг с ними, всё равно до правды не докопаюсь.
Спасибо за помощь!

Значит, перехват не на компе, а выше.
Докопаться можно и не сложно, но да, оно того может и не стоить.

Jula0071, не докопаюсь потому что провайдер за тридевять земель (греки) и они элементарно отморозятся (у нас все ок, ищите проблему в своей сети).

"Роутер" может вполне легитимно заворачивать транзитные запросы на udp:53. Даже дешёвая домашняя мыльница.

Например, на Кинетиках для этого нужно всего лишь задействовать фильтрацию YandexDNS/Adguard или активировать DoT/DoH.

Давно пишут про "полезность" гуглоднс и им подобных - профанация в наше время.
Если уж советовать что-то, так хоть сервисы на нестандартном порту. Всё ж больше шансов, что провайдер не рубанёт.

И как системе объяснить что DNS-запросы надо слать на какой-то левый порт? Без дополнительного ПО.

fonser, так проверять нужно скрупулёзно все варианты, из-за чего может быть аномалия. Если пофиг на шашечки и нужно как-то ехать, то DNS поверх HTTPS.

Порт не "левый", просто "альтернативный". Именно для уменьшения рисков наверное.

Вообще это задача шлюза, а не системы. Но если очень хочется то можно и в ОС на хосте - dnat, одно правило iptables.
Как это сделать под виндой не в курсе. tcp, помню, можно завернуть хоть и черезанусно, а вот про udp х.з.

upd> почему ещё стоит делать это на шлюзе. Сейчас даже домашние мыльницы научились резольвить через DoT/DoH.
Абсолютно прозрачно для клиентов. При этом полностью блокируя их попытки самостоятельного обращения к сторонним dns-серверам, в том числе DoT/DoH.