¿Cómo puede un servidor DNS cambiar la IP del usuario?

¿Cómo puede un servidor DNS cambiar la IP del usuario?

Por ejemplo, la IP WAN del usuario A es 2.2.2.2. Cuando el usuario configura este servidor DNS en particular en su enrutador o dentro de la configuración IPv4 de su sistema operativo, su IP WAN cambiará a otra cosa, por ejemplo 3.3.3.3.

¿Cómo es esto posible?

Y por razones de seguridad, creo que esto hará que los clientes estén más seguros ya que funciona como una VPN.

El único problema que veo es que, si dos usuarios que usan este DNS y acceden a un mismo sitio web, se mostrarán en la misma IP, por lo que los administradores de ese sitio web podrían pensar que tienen doble contabilidad y potencialmente podrían prohibirlos.

Respuesta1

¿Cómo es esto posible?

No lo es.


Vale, es algo posible, pero no es una idea tan buena como parece.

El servidor DNS sólo dice a los clientes dónde está su destino real; en realidad, no transporta los paquetes de datos, por lo que no tiene forma de alterarlos. (El cliente puede incluso utilizar enlaces de Internet completamente diferentes para solicitudes de DNS y conexiones de datos reales).

Para lograr lo que desea, el servidor DNS necesitaría proporcionar respuestas falsas que siempre apunten a un servidor de retransmisión como destino (y esperar que los clientes no rechacen estas respuestas como obviamente falsas debido a fallas de verificación de DNSSEC). Ese servidor de retransmisión tendría que actuar como un "proxy transparente", aceptando todas las conexiones, leyendo el protocolo de enlace, luego realizando nuevas conexiones al destino real y transmitiendo los datos. (Ya existe un software para hacer esto, aunque está destinado a realizar conexiones proxy desde una única LAN).

El servidor de retransmisión no tiene ninguna forma general de saber qué conexión TCP o qué datagrama UDP corresponde a qué dominio original. Esto sólo se puede hacer con algunos protocolos específicos como HTTP o TLS (HTTPS, SMTPS, IMAPS, FTPS), que incluyen el dominio como parte del protocolo de enlace inicial.

Y por razones de seguridad, creo que esto hará que los clientes estén más seguros ya que funciona como una VPN.

Sólo para solicitudes que realmente involucran DNS; no puede hacer nada para conexiones IP "directas", por ejemplo, cuando un juego obtiene direcciones IP del servidor de inicio de sesión, o cuando un cliente BitTorrent obtiene direcciones IP de un rastreador. Esos pasarían por alto completamente su sistema.

Además, solo para los pocos protocolos mencionados anteriormente que envían el nombre de host en el protocolo de enlace inicial. Sus clientes no podrían utilizar ningún otro protocolo: casi nada de juegos, nada de VoIP, nada de SSH, nada de BitTorrent y, sobre todo, nada de VPN reales.

Además, sólo si los clientesdesactivarla característica de seguridad conocida como "DNSSEC" y confían en usted para que proporcione deliberadamente información falsa en todas sus consultas de DNS.

También,no puede proporcionar cifrado de paquetes(ni siquiera protección de integridad), ¡que es uno de los principales puntos de venta de una VPN! Para muchos usuarios, de ahí proviene la mayor parte de la "seguridad".

(Además, muchas direcciones IPv4 de clientes ya son dinámicas y/o compartidas; la necesidad de ocultarlas ocupa un lugar bastante bajo en la lista de prioridades).

Entonces no, no actúa como una VPN.

Respuesta2

En lugar de un servidor DNS, debería considerar configurar un Servidor proxy:

un servidor proxy es un servidor (un sistema informático o una aplicación) que actúa como intermediario para las solicitudes de clientes que buscan recursos de otros servidores

Luego, un proxy le permite conectarse con una identidad de dirección IP diferente, que es la dirección IP del propio proxy.

Cada cliente que usa el proxy es una conexión diferente, por lo que muchas personas pueden usar el proxy, pareciendo que todas tienen la misma dirección IP, sin ningún problema.

información relacionada