Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET
Всем привет Не про политику ;) Интернет-провайдер LANET, Киев. Сегодня столкнулся с интересной ситуацией (как конечный пользователь), когда придя домой не смог попасть на один из своих серверов. Начал копать: dig @8.8.8.8 repo.pkgs.org вернул абсолютно левый IP-адрес 194.50.85.176 (вместо 144.76.64.139). Выполнил кучу других DNS-запросов на произвольные DNS-сервера, как корректно работающие, так и на несуществующие: dig @1.1.1.1 repo.pkgs.org dig @2.2.2.2 repo.pkgs.org dig @3.3.3.3 repo.pkgs.org dig @4.4.4.4 repo.pkgs.org dig @8.8.8.8 repo.pkgs.org dig @8.8.4.4 repo.pkgs.org ... dig @ns.pkgs.org repo.pkgs.org dig @ns2.pkgs.org repo.pkgs.org ... Везде получил славный ответ с левым IP-адресом и AUTHORITY SECTION: IN NS ns.lanet.ua. Запустил сниффер на вышеуказанном сервере - до него DNS-запросы с домашнего IP-адреса LANET не долетают вообще, что и следовало ожидать. ------------------------------------------------------------------------------------ # dig @ns.pkgs.org repo.pkgs.org ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org repo.pkgs.org ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32928 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;repo.pkgs.org. IN A ;; ANSWER SECTION: repo.pkgs.org. 60 IN A 194.50.85.176 ;; AUTHORITY SECTION: . 60 IN NS ns.lanet.ua. ;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 00:27:05 EET 2015 ;; MSG SIZE rcvd: 82 ------------------------------------------------------------------------------------ $ dig @ns.pkgs.org pkgs.org soa ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org pkgs.org soa ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2433 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;pkgs.org. IN SOA ;; AUTHORITY SECTION: . 60 IN SOA ns.lanet.ua. hostmaster.lanet.kiev.ua. 2013053101 21600 3600 604800 60 ;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 01:06:14 EET 2015 ;; MSG SIZE rcvd: 105 ------------------------------------------------------------------------------------ Телефонный ночной саппорт сказал что ничем помочь не может и сказал отправить запрос через личный кабинет. Собственно вопрос - насколько данное поведение интернет-провайдера законно согласно действующему законодательству? Является ли данное поведение самодеятельностью данного провайдера или является одним из существующих требований к интернет-провайдерам по оказанию услуг конечным абонентам? Как бороться: кошельком путем перебегания к конкурентам или есть другие варианты? Ибо задрало... В договоре подобное безобразие не указано: http://www.lanet.ua/wp-content/uploads/2013/07/Dogovor-Lanet-Netvork.pdf Спасибо -- With best regards, Mykola
ну понятно, что это самоуправство. Но как человек, столкнувшийся с удп
дддосом могу только поприветствовать данное решение.
В данном случае ситуация как с 25-ым портом - всем закрыть, кому надо -
открыть по запросу.
26 декабря 2015 г., 1:08 пользователь Mykola Ulianytskyi
Всем привет
Не про политику ;)
Интернет-провайдер LANET, Киев.
Сегодня столкнулся с интересной ситуацией (как конечный пользователь), когда придя домой не смог попасть на один из своих серверов.
Начал копать: dig @8.8.8.8 repo.pkgs.org вернул абсолютно левый IP-адрес 194.50.85.176 (вместо 144.76.64.139).
Выполнил кучу других DNS-запросов на произвольные DNS-сервера, как корректно работающие, так и на несуществующие: dig @1.1.1.1 repo.pkgs.org dig @2.2.2.2 repo.pkgs.org dig @3.3.3.3 repo.pkgs.org dig @4.4.4.4 repo.pkgs.org dig @8.8.8.8 repo.pkgs.org dig @8.8.4.4 repo.pkgs.org ... dig @ns.pkgs.org repo.pkgs.org dig @ns2.pkgs.org repo.pkgs.org ...
Везде получил славный ответ с левым IP-адресом и AUTHORITY SECTION: IN NS ns.lanet.ua.
Запустил сниффер на вышеуказанном сервере - до него DNS-запросы с домашнего IP-адреса LANET не долетают вообще, что и следовало ожидать.
------------------------------------------------------------------------------------ # dig @ns.pkgs.org repo.pkgs.org
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org repo.pkgs.org ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32928 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;repo.pkgs.org. IN A
;; ANSWER SECTION: repo.pkgs.org. 60 IN A 194.50.85.176
;; AUTHORITY SECTION: . 60 IN NS ns.lanet.ua.
;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 00:27:05 EET 2015 ;; MSG SIZE rcvd: 82
------------------------------------------------------------------------------------ $ dig @ns.pkgs.org pkgs.org soa
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org pkgs.org soa ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2433 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;pkgs.org. IN SOA
;; AUTHORITY SECTION: . 60 IN SOA ns.lanet.ua. hostmaster.lanet.kiev.ua. 2013053101 21600 3600 604800 60
;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 01:06:14 EET 2015 ;; MSG SIZE rcvd: 105
------------------------------------------------------------------------------------ Телефонный ночной саппорт сказал что ничем помочь не может и сказал отправить запрос через личный кабинет.
Собственно вопрос - насколько данное поведение интернет-провайдера законно согласно действующему законодательству?
Является ли данное поведение самодеятельностью данного провайдера или является одним из существующих требований к интернет-провайдерам по оказанию услуг конечным абонентам?
Как бороться: кошельком путем перебегания к конкурентам или есть другие варианты?
Ибо задрало...
В договоре подобное безобразие не указано: http://www.lanet.ua/wp-content/uploads/2013/07/Dogovor-Lanet-Netvork.pdf
Спасибо
-- With best regards, Mykola
Sat, Dec 26, 2015 at 09:21:09, basil wrote about "[uanog] Re: [uanog] Перехват DNS-запросов к Внешним DNS-серверам Интернет-Провайдером LANET":
ну понятно, что это самоуправство. Но как человек, столкнувшийся с удп дддосом могу только поприветствовать данное решение.
А каким образом это поможет против UDP DDoS? По-моему, такое поведение не только самоуправство, это просто глупость.
В данном случае ситуация как с 25-ым портом - всем закрыть, кому надо - открыть по запросу.
Сейчас почти ни у какого пользователя используемые сервисы не ограничиваются WWW.
Выполнил кучу других DNS-запросов на произвольные DNS-сервера, как корректно работающие, так и на несуществующие: dig @1.1.1.1 repo.pkgs.org dig @2.2.2.2 repo.pkgs.org dig @3.3.3.3 repo.pkgs.org dig @4.4.4.4 repo.pkgs.org dig @8.8.8.8 repo.pkgs.org dig @8.8.4.4 repo.pkgs.org ... dig @ns.pkgs.org repo.pkgs.org dig @ns2.pkgs.org repo.pkgs.org ...
Везде получил славный ответ с левым IP-адресом и AUTHORITY SECTION: IN NS ns.lanet.ua.
Запустил сниффер на вышеуказанном сервере - до него DNS-запросы с домашнего IP-адреса LANET не долетают вообще, что и следовало ожидать.
-netch-
Привет! Лишний повод внедрить у себя DNSSEC, однако. On 26.12.15 01:08, Mykola Ulianytskyi wrote:
Всем привет
Не про политику ;)
Интернет-провайдер LANET, Киев.
Сегодня столкнулся с интересной ситуацией (как конечный пользователь), когда придя домой не смог попасть на один из своих серверов.
Начал копать: dig @8.8.8.8 repo.pkgs.org вернул абсолютно левый IP-адрес 194.50.85.176 (вместо 144.76.64.139).
Выполнил кучу других DNS-запросов на произвольные DNS-сервера, как корректно работающие, так и на несуществующие: dig @1.1.1.1 repo.pkgs.org dig @2.2.2.2 repo.pkgs.org dig @3.3.3.3 repo.pkgs.org dig @4.4.4.4 repo.pkgs.org dig @8.8.8.8 repo.pkgs.org dig @8.8.4.4 repo.pkgs.org ... dig @ns.pkgs.org repo.pkgs.org dig @ns2.pkgs.org repo.pkgs.org ...
Везде получил славный ответ с левым IP-адресом и AUTHORITY SECTION: IN NS ns.lanet.ua.
Запустил сниффер на вышеуказанном сервере - до него DNS-запросы с домашнего IP-адреса LANET не долетают вообще, что и следовало ожидать.
------------------------------------------------------------------------------------ # dig @ns.pkgs.org repo.pkgs.org
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org repo.pkgs.org ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32928 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;repo.pkgs.org. IN A
;; ANSWER SECTION: repo.pkgs.org. 60 IN A 194.50.85.176
;; AUTHORITY SECTION: . 60 IN NS ns.lanet.ua.
;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 00:27:05 EET 2015 ;; MSG SIZE rcvd: 82
------------------------------------------------------------------------------------ $ dig @ns.pkgs.org pkgs.org soa
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.1 <<>> @ns.pkgs.org pkgs.org soa ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2433 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;pkgs.org. IN SOA
;; AUTHORITY SECTION: . 60 IN SOA ns.lanet.ua. hostmaster.lanet.kiev.ua. 2013053101 21600 3600 604800 60
;; Query time: 1 msec ;; SERVER: 144.76.64.139#53(144.76.64.139) ;; WHEN: Sat Dec 26 01:06:14 EET 2015 ;; MSG SIZE rcvd: 105
------------------------------------------------------------------------------------ Телефонный ночной саппорт сказал что ничем помочь не может и сказал отправить запрос через личный кабинет.
Собственно вопрос - насколько данное поведение интернет-провайдера законно согласно действующему законодательству?
Является ли данное поведение самодеятельностью данного провайдера или является одним из существующих требований к интернет-провайдерам по оказанию услуг конечным абонентам?
Как бороться: кошельком путем перебегания к конкурентам или есть другие варианты?
Ибо задрало...
В договоре подобное безобразие не указано: http://www.lanet.ua/wp-content/uploads/2013/07/Dogovor-Lanet-Netvork.pdf
Спасибо
-- With best regards, Mykola
participants (4)
-
Max Tulyev -
Mykola Ulianytskyi -
Valentin Nechayev -
Vasiliy P. Melnik