Intenté utilizar algunos servicios DNS como OpenDNS y, sin importar lo que haga, las consultas DNS no arrojan los resultados esperados. Al observar el tráfico de paquetes en mi firewall, puedo ver que las consultas se envían a la dirección del servidor DNS deseada y las respuestas regresan, pero los resultados no son los esperados; por ejemplo, la página de prueba de OpenDNS siempre falla a pesar de que las solicitudes parecen ser yendo a sus servidores.
Sospecho que mi ISP intercepta consultas DNS y las envía a sus propios servidores. ¿Hay alguna manera de verificar esto? ¿Hay algo más que me pueda faltar? Estoy usando el servicio inalámbrico 3G de Sprint.
Respuesta1
¿Llamarlos y preguntar?
A partir de unahilo en los foros de OpenDNS(fechado en febrero de 2010):
Hablé con Sprint hoy.
Esto es lo que me dijo el chico con el que hablé por teléfono.
"sí, sprint está redirigiendo DNS en el puerto 53" (obviamente nosotros, en opendns, lo sabemos) "sí, incluso para cuentas estáticas"
Aparentemente puede haber una actualización de firmware para su dispositivo Sprint que permite el uso de OpenDNS, según un enlacePDF de Sprinten ese mismo mensaje.
Respuesta2
Hay diferentes formas de comprobar si su ISP utiliza un proxy DNS transparente. Depende de cómo lo haya implementado su ISP. Mi ISP redirige todas las solicitudes del puerto 53 a su propio servidor DNS recursivo (aunque no publican anuncios en NXDOMAIN. Tal vez lo usen para iniciar sesión o para evitar la creación de túneles DNS). Mencionaré algunas formas generales de detección.
- El método más sencillo es utilizarNetalyzraplicación de Android o laBanco de nombressoftware de Windows de Google. Le informarán si su ISP está utilizando un proxy DNS. No necesitas ningún conocimiento técnico para esto.
Realice una búsqueda de DNS en un servidor de nombres autorizado y compruebe si la respuesta es autorizada. Para este ejemplo usaré
dig. También puedes usarnslookuptambién. Si la respuesta tiene autoridad, dig mostrará laaabandera en la respuesta. Ahora, a.ns.facebook.com es el NS autorizado de fb.me. Si su ISP intercepta y redirige la solicitud, no recibirá una respuesta autorizada.dig @a.ns.facebook.com fb.me(El de la izquierda no intercepta DNS)
- especifique una dirección IP donde no se esté ejecutando ningún servidor DNS, como servidor DNS mientras realiza
digonslookup. Aún recibirás una respuesta si tu ISP intercepta tu solicitud. De lo contrario obtendrásTime Out. (El de la derecha intercepta y redirige las solicitudes)
Utilice nmap en direcciones IP aleatorias. Siempre verá el puerto 53 abierto si su ISP redirige todas las solicitudes del puerto 53.
Cambie la configuración de la red de su computadora y use el DNS público de Google, OpenDNS o la IP DNS de Cloudflare (use un tipo de proveedor a la vez). Luego ve aPrueba de fuga de DNSsitio web y observe si aparecen proveedores diferentes.
Evitar la interceptación de este ISP no es difícil. Necesitas usarDNScript/DNS sobre TLS o utilice cualquier servidor DNS que se ejecute en puertos no estándar (por ejemplo: 5353 o 443). En el segundo método, debe utilizar el enrutador o el firewall de su computadora para redirigir las consultas DNS salientes a esos puertos. Discutir estos métodos en detalle está fuera del alcance de esta publicación.
Respuesta3
Intente cronometrar algunas solicitudes de DNS que crea que se dirigen a diferentes proveedores, como OpenDNS y Google. Si son idénticos, el ISP debe recogerlos y atenderlos (lógica defectuosa, pero posible). Una forma de hacer esto es usandoBanco de nombres, comúnmente utilizado para elegir el mejor servidor DNS para su conexión.