Por exemplo, o IP WAN do usuário A é 2.2.2.2. Quando o usuário configura esse servidor DNS específico em seu roteador ou nas configurações IPv4 de seu sistema operacional, seu IP WAN mudará para outro, por exemplo, 3.3.3.3.
Como isso é possível?
E por questões de segurança, acho que isso deixará os clientes mais seguros, pois funciona como uma VPN.
O único problema que vejo é que, se dois usuários que estiverem usando esse DNS e acessarem o mesmo site, eles aparecerão no mesmo IP, então os administradores desse site podem pensar que estão com contabilidade dupla e podem bani-los.
Responder1
Como isso é possível?
Não é.
Ok, é possível, mas não é uma ideia tão boa quanto parece.
O servidor DNS apenas informa aos clientes onde está seu destino real – na verdade, ele não transporta os pacotes de dados, portanto não tem como alterá-los. (O cliente pode até usar links de Internet completamente diferentes para solicitações de DNS e conexões de dados reais.)
Para conseguir o que deseja, o servidor DNS precisaria fornecer respostas falsas que sempre apontam para um servidor de retransmissão como destino (e esperar que os clientes não rejeitem essas respostas como obviamente falsas devido a falhas na verificação do DNSSEC). Esse servidor de retransmissão precisaria atuar como um "proxy transparente", aceitando todas as conexões, lendo o handshake e, em seguida, fazendo novas conexões com o destino real e retransmitindo os dados. (Já existe um software para fazer isso, embora seja destinado a fazer proxy de conexões de uma única LAN.)
O servidor de retransmissão não possui nenhuma maneira geral de saber qual conexão TCP ou qual datagrama UDP corresponde a qual domínio original. Isso só pode ser feito com alguns protocolos específicos, como HTTP ou TLS (HTTPS, SMTPS, IMAPS, FTPS), que incluem o domínio como parte do handshake inicial.
E por questões de segurança, acho que isso deixará os clientes mais seguros, pois funciona como uma VPN.
Apenas para solicitações que realmente envolvem DNS – ele não pode fazer nada para conexões IP "diretas", por exemplo, quando um jogo obtém endereços IP do servidor de login ou quando um cliente BitTorrent obtém endereços IP de pares de um rastreador. Isso ignoraria completamente o seu sistema.
Além disso, apenas para os poucos protocolos mencionados anteriormente que enviam o nome do host no handshake inicial. Seus clientes seriam completamente incapazes de usar qualquer outro protocolo – quase nenhum jogo, nenhum VoIP, nenhum SSH, nenhum BitTorrent e, principalmente, nenhuma VPN real.
Além disso, somente se os clientesdesabilitaro recurso de segurança conhecido como "DNSSEC" e confia em você para fornecer deliberadamente informações falsas para todas as suas consultas DNS.
Também,não pode fornecer criptografia de pacotes(nem mesmo proteção de integridade), que é um dos principais pontos de venda de uma VPN! Para muitos usuários, é de onde vem a maior parte da “segurança”.
(Além disso, muitos endereços IPv4 de clientes já são dinâmicos e/ou compartilhados; a necessidade de ocultá-los está bem baixa na lista de prioridades.)
Então não, não funciona como uma VPN.
Responder2
Em vez de um servidor DNS, você deveria configurar um Servidor proxy:
um servidor proxy é um servidor (um sistema de computador ou um aplicativo) que atua como intermediário para solicitações de clientes que buscam recursos de outros servidores
Um proxy permite que você fique on-line com uma identidade de endereço IP diferente, que é o endereço IP do próprio proxy.
Cada cliente que utiliza o proxy é uma conexão diferente, portanto muitas pessoas podem utilizar o proxy, parecendo que todas possuem o mesmo endereço IP, sem nenhum problema.