Werde ich verrückt, oder schreibt mein ISP DNS-A-Einträge neu?

tag-icon tag-icon networking dns internet
Werde ich verrückt, oder schreibt mein ISP DNS-A-Einträge neu?

Hier ist mein Problem:

Wenn ich mit meinem FIOS-ISP verbunden bin und kein Router, also kein Router, direkt mit meinem FIOS-Modem verbunden ist, erhalte ich andere ADNS-Einträge, als wenn ich mit einem anderen ISP/Netzwerk verbunden bin.

  1. Auf meinem FIOS-ISP führe ich Folgendes aus: nslookup netflix.com- ohne Angabe eines DNS - und erhalte:
Non-authoritative answer:
Name:    netflix.com
Addresses:  2a01:578:3::22fa:2993
          2a01:578:3::3413:2893
          2a01:578:3::341f:91b7
          2a01:578:3::34d1:eb8d
          2a01:578:3::341e:2dc6
          2a01:578:3::36ab:7445
          2a01:578:3::34d2:745
          2a01:578:3::341f:b664
          54.77.143.196
          52.208.135.54
          34.252.179.162
          52.209.79.186
          52.17.227.174
          52.51.252.111
          54.171.187.60
          52.30.103.23
  1. Auf meinem FIOS-ISP führe ich dann erneut Folgendes aus: nslookup netflix.com 85.203.37.1mit dem 85.203.37.1angegebenen DNS-Resolver und erhalte genau dasselbe zurück wie (1):
Non-authoritative answer:
Name:    netflix.com
Addresses:  2a01:578:3::22fa:2993
          2a01:578:3::3413:2893
          2a01:578:3::341f:91b7
          2a01:578:3::34d1:eb8d
          2a01:578:3::341e:2dc6
          2a01:578:3::36ab:7445
          2a01:578:3::34d2:745
          2a01:578:3::341f:b664
          54.77.143.196
          52.208.135.54
          34.252.179.162
          52.209.79.186
          52.17.227.174
          52.51.252.111
          54.171.187.60
          52.30.103.23
  1. Was mich jedoch völlig verwirrt, ist, wenn ich nslookup netflix.com 85.203.37.1mit dem 85.203.37.1angegebenen DNS-Resolver arbeite, aufbeliebiganderes Netzwerk, das heißt über ein VPN oder auf mobilen Geräten usw. Ich bekomme zurück
Non-authoritative answer:
Name:    netflix.com
Addresses:  198.255.83.3
          107.182.237.252

(3) ist zufällig die Antwort, die ich erwarte. Was ich nicht verstehe, ist, wie es sein kann, dass es bei der Verbindung mit meinem FIOS-ISP in (2) fast so wirkt, als hätte ich keinen DNS-Resolver angegeben, obwohl ich das getan habe, und wie die ADNS-Einträge genau mit denen übereinstimmen, die der DNS meines ISPs zurückgibt.

Was das Ganze für mich wirklich seltsam macht, ist, dass es wie eine Art DNS-Interception oder -Hijacking aussieht. Und nachdem ich viel über DNS-Interception gegoogelt habe, ist mir nicht klar, ob das tatsächlich passiert.

Leider kann ich keinen einheitlichen Test finden, der immer beweist, dass DNS-Anfragen abgefangen werden. Ich schätze, das liegt daran, dass es so viele verschiedene Möglichkeiten gibt, DNS-Anfragen abzufangen oder umzuleiten. Einige der „Tests“, die ich durchgeführt habe, sind diese:

  1. https://padlock.argh.in/2019/04/28/sky-dns-interception.html
  2. https://superuser.com/a/1348765/450105
  3. https://labs.ripe.net/Members/babak_farrokhi/is-your-isp-hijacking-your-dns-traffic

Bei all diesen Tests bekomme ich anscheinend keine derAbfangen findet stattErgebnisse.

Ich habe versucht, so viel wie möglich über die Besonderheiten der DNS-Abfangung zu lernen, aber es ist so kompliziert, dass ich nicht sagen kann, dass ich es verstehe. Angesichts der Informationen, die ich gesammelt habe, ist die einzige Erklärung, die mir einfällt, dass mein FIOS-ISP ADNS-Einträge irgendwie umschreibt.

Ist das eine vernünftige Schlussfolgerung oder habe ich etwas übersehen?

Ich habe den Haftungsausschluss eingefügt, dass ich möglicherweise verrückt werde, weil dieses Problem mich langsam in den Wahnsinn treibt.

Antwort1

Sie werden nicht verrückt und Ihr ISP manipuliert Ihre DNS-Ergebnisse nicht. Das moderne Internet ist einfach viel komplexer und virtualisierter, als Sie vielleicht annehmen.

Websites mit hohem Datenverkehr verwenden Content Delivery Networks (CDNs). CDNs haben Server, die an den „Rändern“ des Internets verteilt sind, also in der Nähe der Orte, an denen Verbraucher auf das Internet zugreifen. Wenn Sie also etwas von Netflix streamen, kommt es nicht aus der Netflix-Zentrale in Los Gatos, Kalifornien, USA, sondern von einem CDN-„Edge Node“-Server, der an die Netzwerkinfrastruktur Ihres lokalen ISPs angeschlossen ist. Auf diese Weise sind Reaktionszeit, Bandbreite und Zuverlässigkeit viel besser, als wenn Sie von so weit weg streamen würden.

Wenn Sie eine DNS-Abfrage für einen über ein CDN gehosteten Domänennamen durchführen, antworten Ihnen die DNS-Server des CDN mit A- und AAAA-Einträgen, die auf die Ihnen am nächsten gelegenen Edge-Knoten verweisen, basierend auf der IP-Adresse, von der Ihre DNS-Abfrage kam.

Okay, aber die meisten auflösenden DNS-Server geben die IP-Adresse Ihres Clients nicht preis, wenn sie eine DNS-Abfrage rekursiv für Sie auflösen. Warum erhalten Sie also unterschiedliche Antworten?vom gleichen DNS-Serverwenn Sie sich von verschiedenen Netzwerken aus verbinden?

Nun, in Ihrem Fall scheint der von Ihnen verwendete DNS-Server (85.203.37.1) über eine „Bring Your Own IP“-Vereinbarung (BYOIP) im IBM-Cloud-Hosting gehostet zu sein, sodass sogar Ihr Datenverkehr zu 85.203.37.1 tatsächlich an unterschiedliche physische Server weitergeleitet wird, je nachdem, aus welchem ​​Netzwerk Ihr Datenverkehr kommt. Obwohl diese IP-Adresse aus einem falco-networks.com zugewiesenen Netzblock stammt, scheint Falco dafür gesorgt zu haben, dass IBM die Route zu diesem Netzblock „besitzt“, sodass der Datenverkehr zu dieser IP-Adresse an den nächstgelegenen Einstiegspunkt in das globale Netzwerk von IBM weitergeleitet wird und IBM ihn dann an seinen nächstgelegenen Randknoten weiterleitet.

Wenn ich also ein Traceroute zu 85.203.37.1 verwende, endet es in meiner eigenen Metropolregion in den USA, obwohl dieser Netzblock Teil der IPv4-Zuweisung von RIPE (European Regional Internet Registry) ist und obwohl Falco ein Unternehmen aus den Niederlanden zu sein scheint. Ohne eine Menge Netzwerkvirtualisierung über CDNs und Cloud-Dienste würde ich nie erwarten, dass dieses Traceroute irgendwo anders als in Europa endet. Ich vermute, dass es für Sie irgendwo in den Niederlanden endet, wenn Sie ein Traceroute dorthin verwenden (ich vermute, Sie befinden sich in den Niederlanden).

Wenn Sie dies mit Ihren eigenen Traceroutes und Whois-Abfragen überprüfen möchten, beachten Sie, dass die Domänen „networklayer.com“, „softlayer.net“ und „sl-reverse.com“ alle Eigentum von IBM zu sein scheinen und als Teil ihrer Cloud-Infrastruktur verwendet werden. Wenn Sie also einen dieser Namen im letzten oder vorletzten benannten Hop sehen, ist dies ein starker Hinweis darauf, dass Ihr Datenverkehr an diesem Punkt in das Cloud-Services-Netzwerk von IBM gelangt ist.

verwandte Informationen