OpenDNS와 같은 일부 DNS 서비스를 사용하려고 시도했지만 무엇을 하든 DNS 쿼리가 예상한 결과를 반환하지 않습니다. 방화벽에서 패킷 트래픽을 관찰하면 쿼리가 의도한 DNS 서버 주소로 나가고 응답이 돌아오는 것을 볼 수 있지만 결과는 예상과 다릅니다. 예를 들어 요청이 다음과 같은 것처럼 보이더라도 OpenDNS 테스트 페이지는 항상 실패합니다. 그들의 서버로 이동합니다.
내 ISP가 DNS 쿼리를 가로채서 자체 서버로 보내는 것 같습니다. 이를 확인할 수 있는 방법이 있나요? 내가 놓친 다른 것이 있습니까? 저는 Sprint의 3G 무선 서비스를 사용하고 있습니다.
답변1
전화해서 물어보시겠어요?
에서OpenDNS 포럼의 스레드(2010년 2월):
오늘 Sprint와 통화했어요.
제가 전화로 통화한 그 사람이 제게 말한 내용은 다음과 같습니다.
"예, sprint는 포트 53에서 DNS를 리디렉션하고 있습니다."(분명히 우리 opendns에서는 이것을 알고 있습니다) "예, 정적 계정의 경우에도"
연결된 링크에 따르면 OpenDNS 사용을 허용하는 Sprint 장치의 펌웨어 업그레이드가 있을 수 있습니다.스프린트의 PDF같은 메시지에서.
답변2
ISP가 투명 DNS 프록시를 사용하고 있는지 확인하는 방법에는 여러 가지가 있습니다. ISP가 구현한 방법에 따라 다릅니다. 내 ISP는 모든 포트 53 요청을 자체 재귀 DNS 서버로 리디렉션합니다. 하지만 NXDOMAIN에서는 광고를 제공하지 않습니다. 아마도 로깅이나 DNS 터널링을 방지하는 데 사용할 수도 있습니다. 나는 탐지하는 몇 가지 일반적인 방법을 언급하겠습니다.
- 가장 쉬운 방법은 다음과 같습니다.네탈라이저안드로이드 앱이나네임벤치Google의 Windows 소프트웨어. ISP가 DNS 프록시를 사용하고 있는지 알려줄 것입니다. 이를 위해서는 기술적 지식이 필요하지 않습니다.
권한 있는 네임서버에 대한 DNS 조회를 수행하고 응답이 신뢰할 수 있는지 확인합니다. 이 예에서는
dig. 당신도 사용할 수 있습니다nslookup. 답변이 신뢰할 수 있는 경우 dig는aa답변에 플래그를 표시합니다. 이제 a.ns.facebook.com은 fb.me의 권위 있는 NS입니다. ISP가 요청을 가로채서 리디렉션하는 경우 신뢰할 수 있는 응답을 받을 수 없습니다.dig @a.ns.facebook.com fb.me(왼쪽은 DNS를 가로채지 않습니다)
dig또는 를 수행하는 동안 DNS 서버가 실행되지 않는 IP 주소를 DNS 서버로 지정합니다nslookup. ISP가 귀하의 요청을 가로채는 경우에도 응답을 받게 됩니다. 그렇지 않으면 당신은 얻을 것이다Time Out. (오른쪽은 요청을 가로채서 리디렉션합니다)
임의의 IP 주소에 nmap을 사용하십시오. ISP가 모든 포트 53 요청을 리디렉션하는 경우 항상 포트 53이 열려 있는 것을 볼 수 있습니다.
컴퓨터 네트워크 설정을 변경하고 Google 공개 DNS, OpenDNS 또는 Cloudflare DNS IP를 사용하세요(한 번에 하나의 공급자 유형 사용). 그런 다음DNS 누출 테스트웹사이트를 방문하여 다른 제공업체가 나타나는지 확인하세요.
이 ISP 차단을 우회하는 것은 어렵지 않습니다. 당신은 사용해야합니다DNS암호화TLS를 통한 /DNS 또는 비표준 포트(예: 5353 또는 443)에서 실행되는 DNS 서버를 사용합니다. 두 번째 방법에서는 라우터나 컴퓨터 방화벽을 사용하여 나가는 DNS 쿼리를 해당 포트로 리디렉션해야 합니다. 이러한 방법을 자세히 논의하는 것은 이 게시물의 범위를 벗어납니다.
답변3
OpenDNS 및 Google과 같은 다른 공급자에게 전달될 것으로 생각되는 DNS 요청의 타이밍을 맞춰보세요. 동일하다면 ISP가 선택하여 서비스해야 합니다(잘못된 논리이지만 가능함). 이를 수행할 수 있는 한 가지 방법은 다음을 사용하는 것입니다.네임벤치, 일반적으로 연결에 가장 적합한 DNS 서버를 선택하는 데 사용됩니다.