Как стать автором
Поиск
Написать публикацию
Обновить

Агрегация маршрутов для списков РКН и чем это грозит добропорядочным сервисам

Время на прочтение3 мин
Количество просмотров7.5K
Информационная безопасность*Системное администрирование*Сетевые технологии*
Всего голосов 19: ↑17 и ↓2+15
Комментарии4

Комментарии 4

Блокировка путём dns-спуфинга и «заруливанию» трафика на DPI/transparent proxy только для IP-адресов, которые есть в реестре (некоторые ещё добавляют путём резолвинга, но не суть).

Если работать с DNS по IPv6 то спуфинг не работает. Это особенность протокола или многие операторы не спуфят DNS по IPv6?
Комментарий пока не оценивали0
Тут всё по-разному. Оператором нужно, чтобы Ревизор генерировал хороший отчёт (с минимальным количеством пропусков). Ревизор следит и за ipv6, сторонние dns (насколько мне известно), Ревизор не тестирует. Многие операторы вообще не фильтруют трафик сторонних DNS, некоторые выдают специальные dns для Ревизора (вообще, РКН может покарать за помещение их коробочки в песочницу). Какой-то оператор может заворачивать весь трафик ipv4 dns на свой, а про ipv6 забыть или не иметь возможности (nat66 не все железки умеют).
В целом у меня нет статистики по операторам кто делает спуфинг по dns ipv4 и по dns ipv6. Кроме как «забыли» и нет возможности сделать «nat66»/не умеет DPI других вариантов не вижу. Сам по себе IPv6 никак не защищает от dns-спуфинга, так что у вас это какой-то побочный эффект.
Всего голосов 2: ↑2 и ↓0+2
ДомРу, по IP блокирует(не знаю каким методом) по IPv4 и IPv6, в DNS подставляет IP заглушки только по IPv4.
Заголовок спойлера
PS C:\> nslookup telegram.org 8.8.8.8
╤хЁтхЁ: dns.google
Address: 8.8.8.8

Не заслуживающий доверия ответ:
╚ь : telegram.org
Addresses: 2a02:2698:a002:1::3:17
5.3.3.17

PS C:\> nslookup telegram.org 2001:4860:4860::8888
╤хЁтхЁ: dns.google
Address: 2001:4860:4860::8888

Не заслуживающий доверия ответ:
╚ь : telegram.org
Addresses: 2001:67c:4e8:1033:1:100:0:a
2001:67c:4e8:1033:2:100:0:a
2001:67c:4e8:1033:3:100:0:a
2001:67c:4e8:1033:4:100:0:a
2001:67c:4e8:1033:5:100:0:a
2001:67c:4e8:1033:6:100:0:a
149.154.167.99

Всего голосов 1: ↑1 и ↓0+1

Оператор может подменять ответы dns серверов в том числе 8.8.8.8 так как находится по середине и в обычном виде dns трафик не защищён от просмотра и подмены. Для борьбы с этим и существуют всякие DNScrypt или DNS over HTTPs (doh)

Всего голосов 3: ↑3 и ↓0+3
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Показать лучшие за всё время

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr