Вот моя проблема:
При подключении к моему FIOS-провайдеру без маршрутизатора, IE, напрямую подключенный к моему FIOS-модему, я получаю другие Aзаписи DNS, чем при подключении к другому FIOS-провайдеру/сети.
- На моем FIOS ISP я запускаю:
nslookup netflix.com- это без указания DNS, и получаю:
Non-authoritative answer:
Name: netflix.com
Addresses: 2a01:578:3::22fa:2993
2a01:578:3::3413:2893
2a01:578:3::341f:91b7
2a01:578:3::34d1:eb8d
2a01:578:3::341e:2dc6
2a01:578:3::36ab:7445
2a01:578:3::34d2:745
2a01:578:3::341f:b664
54.77.143.196
52.208.135.54
34.252.179.162
52.209.79.186
52.17.227.174
52.51.252.111
54.171.187.60
52.30.103.23
- Опять же, на моем FIOS ISP я затем запускаю:
nslookup netflix.com 85.203.37.1с85.203.37.1указанным DNS-резолвером, и получаю в ответ точно то же самое, что и (1):
Non-authoritative answer:
Name: netflix.com
Addresses: 2a01:578:3::22fa:2993
2a01:578:3::3413:2893
2a01:578:3::341f:91b7
2a01:578:3::34d1:eb8d
2a01:578:3::341e:2dc6
2a01:578:3::36ab:7445
2a01:578:3::34d2:745
2a01:578:3::341f:b664
54.77.143.196
52.208.135.54
34.252.179.162
52.209.79.186
52.17.227.174
52.51.252.111
54.171.187.60
52.30.103.23
- Однако, что меня совершенно сбивает с толку, если я запущу
nslookup netflix.com 85.203.37.1указанный85.203.37.1DNS-резолвер, налюбойдругую сеть, то есть через VPN, или на мобильных устройствах и т.д. Я получаю обратно
Non-authoritative answer:
Name: netflix.com
Addresses: 198.255.83.3
107.182.237.252
(3) — это тот ответ, который я ожидаю получить, но я не понимаю, как при подключении к моему провайдеру FIOS в (2) создается впечатление, что я не указал DNS-преобразователь, хотя он указан, и как записи DNS Aточно такие же, как те, которые возвращает DNS моего провайдера.
Что делает это действительно странным для меня, так это то, что это похоже на какой-то перехват DNS или захват. И после того, как я много гуглил о перехвате DNS, мне не ясно, происходит ли это на самом деле.
Досадно, что я не могу найти ни одного последовательного теста, который всегда доказывал бы, что DNS-запросы перехватываются, я полагаю, потому что существует так много разных способов перехвата или перенаправления DNS-запросов. Вот некоторые из «тестов», которые я провел:
- https://padlock.argh.in/2019/04/28/sky-dns-interception.html
- https://superuser.com/a/1348765/450105
- https://labs.ripe.net/Members/babak_farrokhi/is-your-isp-hijacking-your-dns-traffic
Во всех этих тестах я, кажется, не получаю ни одного изперехват-происходитРезультаты.
Я пытался узнать как можно больше о специфике перехвата DNS, но это так сложно, что я не могу сказать, что понимаю это. Но, учитывая собранную мной информацию, единственное объяснение, которое я могу придумать, это то, что мой FIOS ISP каким-то образом переписывает Aзаписи DNS.
Это разумный вывод или я что-то упустил?
Я предупреждаю, что, возможно, схожу с ума, потому что эта проблема медленно сводит меня с ума.
решение1
Вы не сходите с ума, и ваш провайдер не вмешивается в ваши результаты DNS. Современный Интернет просто гораздо более сложен и виртуализирован, чем вы могли бы предположить.
Высокотрафикные веб-сайты используют сети доставки контента (CDN). CDN имеют серверы, распределенные по всем «краям» Интернета; то есть близко к тому месту, где потребители подключаются к Интернету. Таким образом, когда вы собираетесь транслировать что-либо из Netflix, это не идет из штаб-квартиры Netflix в Лос-Гатосе, Калифорния, США, это идет с сервера «пограничного узла» CDN, подключенного к сетевой инфраструктуре вашего локального интернет-провайдера. Таким образом, время отклика, пропускная способность и надежность намного лучше, чем если бы трансляция происходила издалека.
Когда вы делаете DNS-запрос для доменного имени, размещенного в CDN, DNS-серверы CDN отвечают вам записями A и AAAA, указывающими на их граничные узлы, которые расположены ближе всего к вам, на основе IP-адреса, с которого пришел ваш DNS-запрос.
Хорошо, но большинство разрешающих DNS-серверов не раскрывают IP-адрес вашего клиента, когда они рекурсивно разрешают DNS-запрос для вас. Так почему же вы получаете разные ответыс того же DNS-серверакогда вы подключаетесь из разных сетей?
Ну, в вашем случае, похоже, что DNS-сервер, который вы используете (85.203.37.1), размещен в облачном хостинге IBM по схеме «Принеси свой собственный IP» (BYOIP), поэтому даже ваш трафик на 85.203.37.1 фактически идет на разные физические серверы в зависимости от того, из какой сети он поступает. Так что, даже несмотря на то, что этот IP-адрес из сетевого блока, назначенного falco-networks.com, похоже, что Falco организовала для IBM «владение» маршрутом к этому сетевому блоку, поэтому трафик на этот IP-адрес направляется в ближайшую точку входа в глобальную сеть IBM, а затем IBM направляет его в свой ближайший пограничный узел.
Итак, когда я трассирую маршрут до 85.203.37.1, он заканчивается в моей собственной столичной области в США, хотя этот сетевой блок является частью распределения IPv4 RIPE (Европейский региональный интернет-реестр), и хотя Falco, похоже, является компанией из Нидерландов. Без кучи сетевой виртуализации, происходящей через CDN и облачные сервисы, я бы никогда не ожидал, что этот трассировщик завершится где-то, кроме Европы. Я подозреваю, что когда вы трассируете маршрут до него, он завершится где-то в Нидерландах для вас (я предполагаю, что вы в Нидерландах).
Если вы хотите перепроверить меня с помощью собственных traceroutes и whois-запросов, обратите внимание, что домены "networklayer.com", "softlayer.net" и "sl-reverse.com" по всей видимости принадлежат IBM и используются как часть ее облачной инфраструктуры. Так что если вы видите любое из этих имен в последнем или предпоследнем именованном переходе, это весомый признак того, что ваш трафик вошел в сеть облачных сервисов IBM в этой точке.