Tentei usar alguns serviços DNS como o OpenDNS e, não importa o que eu faça, as consultas DNS não retornam os resultados esperados. Observando o tráfego de pacotes no meu firewall, posso ver as consultas saindo para o endereço do servidor DNS pretendido e as respostas voltando, mas os resultados não são os esperados, por exemplo, a página de teste do OpenDNS sempre falha, mesmo que as solicitações pareçam ser indo para seus servidores.
Suspeito que meu ISP esteja interceptando consultas DNS e enviando-as para seus próprios servidores. Existe uma maneira de verificar isso? Há algo mais que eu possa estar perdendo? Estou usando o serviço sem fio 3G da Sprint.
Responder1
Ligue para eles e pergunte?
A partir de umtópico nos fóruns do OpenDNS(datado de fevereiro de 2010):
falei com a Sprint hoje.
aqui está o que o cara com quem falei ao telefone me disse.
"sim, o sprint está redirecionando o DNS na porta 53" (obviamente nós, no opendns, sabemos disso) "sim, mesmo para contas estáticas"
Aparentemente, pode haver uma atualização de firmware para o seu dispositivo Sprint que permite o uso do OpenDNS, de acordo com um linkPDF da Sprintnessa mesma mensagem.
Responder2
Existem diferentes maneiras de verificar se o seu ISP está usando um proxy DNS transparente. Depende de como o seu ISP o implementou. Meu ISP redireciona todas as solicitações da porta 53 para seu próprio servidor DNS recursivo (no entanto, eles não veiculam anúncios no NXDOMAIN. Talvez o usem para registro ou para evitar o tunelamento DNS). Mencionarei algumas maneiras gerais de detectar.
- O método mais fácil é usarNetalyzraplicativo Android ou oBanco de nomessoftware Windows do Google. Eles irão informá-lo se o seu ISP estiver usando um proxy DNS. Você não precisa de nenhum conhecimento técnico para isso.
Execute uma pesquisa de DNS para um servidor de nomes autoritativo e verifique se a resposta é autoritativa. Para este exemplo usarei
dig. Você também pode usarnslookup. Se a resposta for oficial, dig exibirá oaasinalizador na resposta. Agora, a.ns.facebook.com é o NS oficial do fb.me. Se o seu ISP interceptar e redirecionar a solicitação, você não receberá uma resposta oficial.dig @a.ns.facebook.com fb.me(O esquerdo não intercepta DNS)
- especifique um endereço IP onde nenhum servidor DNS esteja em execução, como o servidor DNS durante a execução
digounslookup. Você ainda receberá resposta se o seu ISP interceptar sua solicitação. Caso contrário você conseguiráTime Out. (O da direita intercepta e redireciona solicitações)
Use nmap em endereços IP aleatórios. Você sempre verá a porta 53 aberta, se o seu ISP redirecionar todas as solicitações da porta 53.
Altere as configurações de rede do seu computador e use o DNS público do Google ou OpenDNS ou IP DNS da Cloudflare (use um tipo de provedor por vez). Então vá paraTeste de vazamento de DNSsite e observe se algum(s) fornecedor(es) diferente(s) está(ão) aparecendo.
Ignorar essa interceptação do ISP não é difícil. Você precisa usarDNScrypt/DNS sobre TLS ou use qualquer servidor DNS que execute em portas não padrão (por exemplo: 5353 ou 443). No segundo método, você deve usar o roteador ou firewall do computador para redirecionar as consultas DNS de saída para essas portas. Discutir esses métodos em detalhes está fora do escopo desta postagem.
Responder3
Tente cronometrar algumas solicitações de DNS que você acha que vão para provedores diferentes, como OpenDNS e Google. Se forem idênticos, devem estar sendo captados e atendidos pelo ISP (lógica defeituosa, mas possível). Uma maneira de fazer isso é usandoBanco de nomes, comumente usado para escolher o melhor servidor DNS para sua conexão.