Ich habe versucht, einige DNS-Dienste wie OpenDNS zu verwenden, und egal, was ich mache, die DNS-Abfragen liefern nicht die erwarteten Ergebnisse. Wenn ich den Paketverkehr auf meiner Firewall beobachte, kann ich sehen, dass die Abfragen an die beabsichtigte DNS-Serveradresse gesendet werden und Antworten zurückkommen, aber die Ergebnisse sind nicht wie erwartet. Beispielsweise schlägt die OpenDNS-Testseite immer fehl, obwohl die Anfragen scheinbar an ihre Server gesendet werden.
Ich vermute, dass mein ISP DNS-Anfragen abfängt und an seine eigenen Server sendet. Kann ich das irgendwie überprüfen? Gibt es sonst noch etwas, das ich übersehen könnte? Ich verwende den 3G-Mobilfunkdienst von Sprint.
Antwort1
Sie anrufen und fragen?
Von einemThread in den OpenDNS-Foren(Stand: Februar 2010):
ich habe heute mit Sprint gesprochen.
hier ist, was mir der Typ erzählt hat, mit dem ich am Telefon gesprochen habe.
„Ja, Sprint leitet DNS auf Port 53 um“ (natürlich wissen wir bei OpenDNS das) „Ja, sogar für statische Konten“
Anscheinend gibt es möglicherweise ein Firmware-Upgrade für Ihr Sprint-Gerät, das die Verwendung von OpenDNS ermöglicht, laut einem verlinktenPDF von Sprintin derselben Nachricht.
Antwort2
Es gibt verschiedene Möglichkeiten, um zu prüfen, ob Ihr ISP einen transparenten DNS-Proxy verwendet. Es hängt davon ab, wie Ihr ISP ihn implementiert hat. Mein ISP leitet alle Port 53-Anfragen an seinen eigenen rekursiven DNS-Server um (er liefert jedoch keine Werbung auf NXDOMAIN. Vielleicht verwendet er ihn zum Protokollieren oder um DNS-Tunneling zu verhindern). Ich werde einige allgemeine Möglichkeiten zur Erkennung nennen.
- Die einfachste Methode ist die VerwendungNetalyzrAndroid-App oder dieNamensbankWindows-Software von Google. Sie informiert Sie, ob Ihr ISP einen DNS-Proxy verwendet. Sie benötigen hierfür keine technischen Kenntnisse.
Führen Sie eine DNS-Suche nach einem autoritativen Nameserver durch und prüfen Sie, ob die Antwort autorisierend ist. Für dieses Beispiel verwende ich
dig. Sie können auch verwendennslookup. Wenn die Antwort autorisierend ist, zeigt dig dasaaFlag in der Antwort an. Jetzt ist a.ns.facebook.com der autoritative NS von fb.me. Wenn Ihr ISP die Anfrage abfängt und umleitet, erhalten Sie keine autoritative Antwort.dig @a.ns.facebook.com fb.me(Der Linke fängt DNS nicht ab)
- Geben Sie eine IP-Adresse an, unter der kein DNS-Server ausgeführt wird, als DNS-Server während der Ausführung von
digodernslookup. Sie erhalten trotzdem eine Antwort, wenn Ihr ISP Ihre Anfrage abfängt. Andernfalls erhalten SieTime Out. (Der rechte ISP fängt Anfragen ab und leitet sie um)
Verwenden Sie nmap für zufällige IP-Adressen. Port 53 wird immer geöffnet sein, wenn Ihr ISP alle Anfragen an Port 53 umleitet.
Ändern Sie die Netzwerkeinstellungen Ihres Computers und verwenden Sie Google Public DNS oder OpenDNS oder Cloudflare DNS IP (verwenden Sie jeweils einen Anbietertyp). Gehen Sie dann zuDNS-LecktestWebsite und prüfen Sie, ob andere Anbieter erscheinen.
Das Umgehen dieser ISP-Abfangaktion ist nicht schwer. Sie müssenDNScrypt/DNS über TLS oder verwenden Sie einen beliebigen DNS-Server, der auf nicht standardmäßigen Ports läuft (z. B. 5353 oder 443). Bei der zweiten Methode müssen Sie Ihren Router oder Ihre Computer-Firewall verwenden, um ausgehende DNS-Anfragen auf diese Ports umzuleiten. Eine detaillierte Erörterung dieser Methoden liegt außerhalb des Rahmens dieses Beitrags.
Antwort3
Versuchen Sie, einige DNS-Anfragen zu timen, von denen Sie denken, dass sie an verschiedene Anbieter gehen, wie OpenDNS und Google. Wenn sie identisch sind, müssen sie vom ISP abgeholt und bedient werden (fehlerhafte Logik, aber möglich). Eine Möglichkeit, dies zu tun, ist die Verwendung vonNamensbank, wird häufig verwendet, um den besten DNS-Server für Ihre Verbindung auszuwählen.