Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   [решено] Вопрос по nslookup и резолв доменного имени (http://forum.oszone.net/showthread.php?t=342532)

fonser 14-10-2019 16:39 2892002

Вопрос по nslookup и резолв доменного имени
 
Всем привет!
Подскажите, возможно ли чтобы команда
Код:

nslookup <имя домена> 8.8.8.8
выдавала не тот IP, который прописан на домене, а что-то ... "левое"?
Ближе к конкретике: далеко-далеко есть комп подключенный к сети о которой мы ничего не знаем. Выход в интернет есть.
Одно доменное имя резолвится (подскажите, а адекватный эквивалент этому слову на русском есть?) в неправильный IP адрес. Именно на том компе.
На других компах, стоящих в ДРУГИХ сетях все работает нормально.
Сразу говорю, файл hosts ни при чем.

Iska 14-10-2019 17:26 2892009

Цитата:

Цитата fonser
о который »

О которой или о котором?

Цитата:

Цитата fonser
(подскажите, а адекватный эквивалент этому слову на русском есть?) »

«Разрешается» (в адрес).

Anton04 15-10-2019 09:49 2892098

Цитата:

Цитата fonser
выдавала не тот IP, который прописан на домене, а что-то ... "левое"? »

Возможно, это называется DNS, в частности локальный DNS сервер.

fonser 15-10-2019 10:47 2892106

Цитата:

Цитата Anton04
Возможно, это называется DNS, в частности локальный DNS сервер. »

Что "DNS"? Понятное дело, что вся тема про DNS.
Насчёт локального DNS сервера, он наверное есть, но разве при команде "nslookup <имя домена> 8.8.8.8" будет запрашиваться локальный сервер, а не напрямую указанный?

Jula0071 15-10-2019 11:25 2892111

Это может быть DNS MitM spoofing или DNS cache poisoning – подумал, не вариант, так как обращение на гуглоднс, а он от этого засекьюрен, так что только митм. Поскольку DNS трафик не шифрован (если не используется DNSSEC, а оно пока не очень распространено и точно нигде не обязательно к применению), перехватить DNS запрос и подменить ответ плёвое дело. Это может быть вирус на самом компе, или руткит на роутере, или даже шутки провайдера.

Следует также понимать, что разные IP для разных сетей могут выдаваться вполне легально (например, по географическому признаку) с целью балансировки трафика и распределения нагрузки.

Busla 15-10-2019 12:30 2892128

Цитата:

Цитата Jula0071
разные IP для разных сетей могут выдаваться вполне легально »

AFAIK Split-Brain, Split-Horizon, Split-DNS разрешены только для внутреннего использования, так что может и с благими намерениями, но не совсем легально

Jula0071 15-10-2019 12:52 2892136

Цитата:

Цитата Busla
AFAIK Split-Brain, Split-Horizon, Split-DNS разрешены только для внутреннего использования, так что может и с благими намерениями, но не совсем легально »

Мм... Тот же GeoIP DNS (GeoDNS) вполне доступен, судя по офиц. докам. Раз уж scope глобальный, как-то не очень к внутреннему применению относится (разные ответы для публичных и частных подсетей). Крупные DNS провайдеры его так совершенно не стесняясь предлагают как раз с целью распределения нагрузки по географическим регионам.

fonser 15-10-2019 13:49 2892143

Jula0071, а если исключить "злонамеренные" варианты?

Jula0071 15-10-2019 13:59 2892145

Смотря что считать злонамеренным. Например, провайдер из приведённого примера просто выполняет закон как умеет. А хорош или плох закон – оставим за скобками. Подозрение на митм же можно просто проверить. Сделать это можно так – загрузиться с линуксового лайва, где точно нет никаких закладок и там посмотреть. Если митм сидит выше, то при условии, что вы в РФ, можете провериться скриптом blockcheck.

fonser 15-10-2019 14:26 2892149

Jula0071, это не РФ. Если провайдер как-то и причастен, то скорее опять же, ненамеренно.
Кроме митм, есть ещё какие-то варианты?

Jula0071 15-10-2019 14:37 2892153

Цитата:

Цитата fonser
Кроме митм, есть ещё какие-то варианты? »

Балансировка, как написал выше. Может, перейдём к конкретике? Укажите доменное имя, так будет проще. И ответы nslookup.

fonser 15-10-2019 17:19 2892174

Jula0071, тем временем проблему решили тупо отредактировав файл hosts. Свалили всё на провайдера.
Ладно, фиг с ними, всё равно до правды не докопаюсь.
Спасибо за помощь!

Jula0071 15-10-2019 17:26 2892175

Цитата:

Цитата fonser
проблему решили тупо отредактировав файл hosts »

Значит, перехват не на компе, а выше.
Цитата:

Цитата fonser
Ладно, фиг с ними, всё равно до правды не докопаюсь. »

Докопаться можно и не сложно, но да, оно того может и не стоить.

fonser 15-10-2019 17:33 2892180

Jula0071, не докопаюсь потому что провайдер за тридевять земель (греки) и они элементарно отморозятся (у нас все ок, ищите проблему в своей сети).

meZon 15-10-2019 19:19 2892192

Цитата:

Цитата Jula0071
или руткит на роутер »

"Роутер" может вполне легитимно заворачивать транзитные запросы на udp:53. Даже дешёвая домашняя мыльница.

Например, на Кинетиках для этого нужно всего лишь задействовать фильтрацию YandexDNS/Adguard или активировать DoT/DoH.

Давно пишут про "полезность" гуглоднс и им подобных - профанация в наше время.
Если уж советовать что-то, так хоть сервисы на нестандартном порту. Всё ж больше шансов, что провайдер не рубанёт.

fonser 21-10-2019 12:06 2892971

Цитата:

Цитата meZon
Если уж советовать что-то, так хоть сервисы на нестандартном порту »

И как системе объяснить что DNS-запросы надо слать на какой-то левый порт? Без дополнительного ПО.

Jula0071 22-10-2019 16:47 2893115

fonser, так проверять нужно скрупулёзно все варианты, из-за чего может быть аномалия. Если пофиг на шашечки и нужно как-то ехать, то DNS поверх HTTPS.

meZon 01-11-2019 18:17 2894299

Цитата:

Цитата fonser
И как системе объяснить что DNS-запросы надо слать на какой-то левый порт? Без дополнительного ПО. »

Порт не "левый", просто "альтернативный". Именно для уменьшения рисков наверное.

Вообще это задача шлюза, а не системы. Но если очень хочется то можно и в ОС на хосте - dnat, одно правило iptables.
Как это сделать под виндой не в курсе. tcp, помню, можно завернуть хоть и черезанусно, а вот про udp х.з.

upd> почему ещё стоит делать это на шлюзе. Сейчас даже домашние мыльницы научились резольвить через DoT/DoH.
Абсолютно прозрачно для клиентов. При этом полностью блокируя их попытки самостоятельного обращения к сторонним dns-серверам, в том числе DoT/DoH.


Время: 22:08.

Время: 22:08.
© OSzone.net 2001-