Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Zašto setovati google dns servere umjesto ISP-ovih

[es] :: Enterprise Networking :: Zašto setovati google dns servere umjesto ISP-ovih

Strane: 1 2

[ Pregleda: 3815 | Odgovora: 35 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

sdurut
Mašinski šloser

Član broj: 76787
Poruke: 673



+66 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:02 - pre 42 meseci
Citat:
Milan Kragujevic:
@sdurut koji veliki provajder?

takođe, to rade samo u saradnji sa Google-om, jer im treba SSL sertifikat za *.googlevideo.com.


Ako baš moram da pričam u pitanju je SBB. Kucate ping www.google.com ili ping www.youtube.com i dobijećete replay sa servera iz 5.x.x.x opsega. Na RIPE upit 5.x.x.x opsege pripada SBB ISP provajderu.
Možete da stavite koji hoćete DNS i nslookup uvek resolvuje A record iz 5.x.x.x opsega kada ste na SBB mreži. Jedini način sa se ovako nešto izvede je DNS spoof. Isto rade i za kućne i za biznis korisnike.
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dhilosnetworks.cc.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:09 - pre 42 meseci
SBB nema 5.x.x.x nego 5.22.160.0/19. Google svojim colocated cache serverima daje IP adrese koje pripadaju njihovim IP opsezima, jedino što je traceroute drugačiji pa tako znaš da je u datacentru provajdera.

RE: Branimir i dnscrypt: Google-ov autorativni DNS server vraća IP adrese bliže tebi, a kada uradiš upit preko dnscrypt dobićeš generičku IP adresu iz nekog Google datacentra jer on ne zna gde si ti.

Provera je moguća ako zakupiš server kod nekog provajdera u Srbiji, i uradiš dig @8.8.8.8 - dobićeš IP adrese u Srbiji blizu tebi za neke određene servere.

Drugo, za YouTube, redirector.googlevideo.com radi usmeravanje na određeni server, ne postoji "cdn.youtube.com" koji onda svaki provajder hijack-uje ka svom serveru, već Google vrši usmeravanje u odnosu na svoju bazu podataka colocated caching servera.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:11 - pre 42 meseci
Milan:"RE: Branimir i dnscrypt: Google-ov autorativni DNS server vraća IP adrese bliže tebi, a kada uradiš upit preko dnscrypt dobićeš generičku IP adresu iz nekog Google datacentra jer on ne zna gde si ti."

To mozda ako dnscrypt gadja guglov dns. Ovaj sto imam ima minimum 5 pocevsi od cloudflare pa do yandexa ;)
I bira onaj koji trenutno daje najbrzi response :)
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dhilosnetworks.cc.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:14 - pre 42 meseci
Poenta je da na dnscrypt NEĆEŠ dobiti localized response. Pričam o EDNS0 i EDNS Client Subnet (RFC7871).
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:17 - pre 42 meseci
Ma dobro, ali nasetujes recimo opendns, da li ces onda dobiti localized response?
I drugo koristis *ISP*-ov dns i onda dobijes locilazed response?
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dhilosnetworks.cc.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:23 - pre 42 meseci
Dobićeš. Nećeš na CloudFlare DNS jer ne podržava taj RFC. ISP DNS će dobiti localized jer pristupa iz iste mreže kao i ti pa je njemu local isto i tebi local.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:30 - pre 42 meseci
Tvoju teoriju je vrlo lako proveriti. ISP-ov gadja Budimpestu, A Cloudflareov Sofiju. Obe su lokalizovane...
 
Odgovor na temu

markovm
Srbija

Član broj: 11886
Poruke: 207
*.dynamic.isp.telekom.rs.



+14 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:33 - pre 42 meseci
Ja kako kapriam, ISP potpise ugovor sa recimo FB ili Google-om, dobije spakova i zakljucan rack i stavi ga u svoj DC i pukne par 10/40Gbe portova kod sebe.
Nemaju mogucnosti lokalne admisistracije ili pristupa. Bivaju placeni za ovo hostovanje.


To su neki caching nodovi ili kako se zovu, a koliko znam TLKM ih sigurno ima.

Pogledajte samo propagaciono kasnjenje do 8.8.8.8 ili 1.1.1.1 - kada odbijem pretpostavljeni delay ADSL lina (recimo 5ms) ukupno kasni oko 7 ms sto je 2000 km po optickom vlaknu bez kasnjenja serijalizacije i procesiranja paketa. Znaci SIGURNO negde u Evropi, e verovatno u Srbiji.




<P14>ping 8.8.8.8
PING 8.8.8.8: 56 data bytes, press CTRL_C to break
Reply from 8.8.8.8: bytes=56 Sequence=0 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=1 ttl=121 time=8 ms
Reply from 8.8.8.8: bytes=56 Sequence=2 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=3 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=4 ttl=121 time=9 ms

--- 8.8.8.8 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 8/8/9 ms

<P14>ping 1.1.1.1
PING 1.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 1.1.1.1: bytes=56 Sequence=0 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=60 time=13 ms
Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=60 time=12 ms

--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 12/12/13 ms

<P14>ping 195.178.44.159
PING 195.178.44.159: 56 data bytes, press CTRL_C to break
Reply from 195.178.44.159: bytes=56 Sequence=0 ttl=118 time=12 ms
Reply from 195.178.44.159: bytes=56 Sequence=1 ttl=118 time=11 ms
Reply from 195.178.44.159: bytes=56 Sequence=2 ttl=118 time=7 ms
Reply from 195.178.44.159: bytes=56 Sequence=3 ttl=118 time=11 ms
Reply from 195.178.44.159: bytes=56 Sequence=4 ttl=118 time=4 ms



Poz,
Milenko.
...jer tako smo u mogućnosti.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:33 - pre 42 meseci
A da se radi o dns spoofingu je to sto *opendns* ne vraca svoj ip nego se dobija *identicna* adresa kao sa *ispovog dns-a*.
 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dhilosnetworks.cc.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:48 - pre 42 meseci
Code:

root@titan:~# dig @208.67.222.222 google.com

; <<>> DiG 9.16.1-Ubuntu <<>> @208.67.222.222 google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41808
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             300     IN      A       172.217.17.206

;; Query time: 52 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Fri Oct 02 10:47:19 CEST 2020
;; MSG SIZE  rcvd: 55

root@titan:~# dig @1.1.1.1 google.com

; <<>> DiG 9.16.1-Ubuntu <<>> @1.1.1.1 google.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8734
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;google.com.                    IN      A

;; ANSWER SECTION:
google.com.             114     IN      A       172.217.169.142

;; Query time: 4 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Fri Oct 02 10:47:24 CEST 2020
;; MSG SIZE  rcvd: 55
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 09:56 - pre 42 meseci
E vidis kod tebe Cluudflare vraca USA a gle ovo:

Code:


$ nslookup.exe google.com 1.1.1.1
Non-authoritative answer:
Server:  one.one.one.one
Address:  1.1.1.1

Name:    google.com
Addresses:  2a00:1450:4017:801::200e
          172.217.17.206


 
Odgovor na temu

zivanicd
Dejan Zivanic
KLADOVONET ISP
Kladovo

Član broj: 137218
Poruke: 1129
*.zivanic.com.

Sajt: www.kladovo.net


+139 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 16:42 - pre 42 meseci
TZV Google Cache je potpuno legitiman i svi veliki ISP imaju farme google cache servera. Nekada je Google (pre 10ak godina) davao cache ISPu ako ima permanentni trafic prema Google-u (youtube-u) >1Gbps, ali mislim da je sad uslov mnogo veci. Neko rece da youtube "srce" poprilicno saobracaj i tu je u pravu (nama otprilike 30-35%).

Sto se tiche dns spoofinga, mislim da to sa Google-om nije slucaj, vec se tu radi peering i taj saobracaj se obezbedjuje kroz posebne linkove.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
p2-115.p59.bvcom.net.



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 22:21 - pre 42 meseci
Ajde objasni kako da se "peering" izvede ako ti dns vrati adresu u inostranstvu?
Jedini nacin je da te google sa tog servera iz inostranstva redirektuje kod tvog ISP-a....... a koliko znam to bi bila nevidjena komplikacija za google.

 
Odgovor na temu

Milan Kragujevic
Software Engineer

Član broj: 231903
Poruke: 2220
*.dhilosnetworks.cc.

Sajt: https://milankragujevic.c..


+201 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 22:33 - pre 42 meseci
Postoji Anycast IP + Google redovno redirektuje na content servere koji imaju više kapaciteta slobodno, zato imaju redirector.googlevideo.com.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
p2-115.p59.bvcom.net.



+1064 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih02.10.2020. u 22:38 - pre 42 meseci
Ma pusti to. Kako gadjaju *lokalne* servere. Elem supernova *ne radi* dns spoofing definitivno, ali SBB radi.
 
Odgovor na temu

B3R1
Berislav Todorovic
NL

Član broj: 224915
Poruke: 794



+630 Profil

icon Re: Zašto setovati google dns servere umjesto ISP-ovih03.10.2020. u 17:02 - pre 42 meseci
Objasnjenje je krajnje prosto. Svi veliki javni rekurzivni DNS sistemi sa ove liste (1.1.1.1, 9.9.9.9, OpenDNS itd.) rade na anycast-principu. Njihovi vlasnici su instalirali serverčiće po raznim lokalnim datacentrima. Ti serveri imaju najcesce vise adresa:

- Public Anycast (frontend) IP (npr. 1.1.1.1, 9.9.9.9 itd.) - adresa koju korisnici gadjaju kada koriste public rDNS; ova adresa se najcesce konifigurise kao alias ili loopback.
- Public Real (backend) IP (npr. 198.51.100.3) - realna adresa servera, zavisno od datacentra gde je povezan - konfigurise se na nekom realnom interfejsu (npr. eth0)
- Management IP - adresa kojom vlasnik rDNS servisa pristupa serveru (npr. koristeci ssh) - ovo se najcesce konfigurise unutar nekog VPN-a
- iLO / iDRAC IP - adresa recovery interfejsa servera (HP koristi iLO, Dell koristi iDRAC, ali sustina je identicna) - takodje ide u neki VPN.

Sve te adrese se oglasavaju BGP protokolom sa servera ka mrezi ISP gde je server povezan - bilo sa samog servera (npr. koriscenjem Quagga/BIRD), bilo koriscenjem namenskog malog rutera koji se kaci ispred servera. Ovo drugo resenje koriste Root server operateri (barem su to radili F i K Root pre 15-tak godina, ne znam kako je sada), jer im to omogucava da na ruteru nameste i IPsec VPN i mnoge druge stvarcice, a samom serveru prepuste da radi ono za sta je postavljen - DNS. Danas se cak ide i na vise servera postavljenih u rack, ispred kojih stoji load balancer.

Kada uputite query ka 1.1.1.1:
Code:
$ host youtube.com 1.1.1.1

taj upit ide ka najblizem rDNS serveru Cloudflare-a, a taj server kontaktira Guglove autoritativne DNS-ove. Medjutim, IP adresa koju Cloudflare rDNS koristi kada salje upit nije 1.1.1.1 - to mu je frontend adresa. CF salje upite ka autoritativnim DNS serverima svojom backend adresom, a ta adresa zavisi od datacentra gde se taj rDNS server nalazi. Na osnovu te backend adrese Gugl vraca adresu svog najblizeg keša. Najbliza instanca servera 1.1.1.1 za Srbiju je instalirana na SOX ili BIX (Sofija). Ako pogodite SOX Gugl ce u 99% slucajeva vratiti adresu nekog od domacih keševa, a nema ih mnogo.

Malo razonode - Akamai ima onaj zanimlijv servis whoami.akamai.net i whoami.ds.akahelp.net, vise informacija ovde. Recimo, kada ja posaljem upit za youtube.com na 9.9.9.9 dobijam:
Code:

$ host youtube.com 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases:

youtube.com has address 172.217.17.78
youtube.com has IPv6 address 2a00:1450:400e:804::200e

$ host 172.217.17.78
78.17.217.172.in-addr.arpa domain name pointer ams16s30-in-f78.1e100.net.
78.17.217.172.in-addr.arpa domain name pointer ams16s30-in-f14.1e100.net.

$ host 2a00:1450:400e:804::200e
e.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.4.0.8.0.e.0.0.4.0.5.4.1.0.0.a.2.ip6.arpa domain name pointer ams16s29-in-x0e.1e100.net.


Zasto je to tako? Ako kazemo:
Code:

$ host -t TXT whoami.ds.akahelp.net 9.9.9.9
Using domain server:
Name: 9.9.9.9
Address: 9.9.9.9#53
Aliases:

whoami.ds.akahelp.net descriptive text "ns" "74.63.25.243"


[74.63.25.243] je backend adresa kojom Quad9 DNS gadja Guglove autoritativne DNS-ove. Gde se nalazi taj server?
Code:

$ host 74.63.25.243
243.25.63.74.in-addr.arpa domain name pointer res200.ams.rrdns.pch.net.

U Amsterdamu! Otuda me Gugle uvek vraca na servere u Amsterdamu.

Slicna je prica sa svim ostalim "velikim" rDNS servisima. Inace, whoami.ds.akahelp.net je koristan, jer daje i informaciju da li rDNS operater koristi EDNS0 (RFC7871) ili ne. Recimo, Google ga koristi{
Code:

$ host -t TXT whoami.ds.akahelp.net 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:

whoami.ds.akahelp.net descriptive text "ip" "85.147.69.241"
whoami.ds.akahelp.net descriptive text "ns" "173.194.169.69"
whoami.ds.akahelp.net descriptive text "ecs" "85.147.69.0/24/24"

Ovo prvo je moja dinamicka IP adresa (zapravo, DS Lite gatway kod mog ISP, s obzirom da kod kuce imam IPv6). Ovo "ns" je backend adresa Guglovog 8.8.8.8 servera. Ovo trece "ecs" oznacava da Gugl koristi EDNS0 Client Subnet. Za 1.1.1.1 vraca:
Code:

$ host -t TXT whoami.ds.akahelp.net 1.1.1.1
Using domain server:
Name: 1.1.1.1
Address: 1.1.1.1#53
Aliases:

whoami.ds.akahelp.net descriptive text "ns" "198.41.241.16"

Kao sto vidite, 1.1.1.1 ne koristi EDNS0 Client Subnet, bas kao sto i tvrde. OpenDNS ga koristi, tako da ako koristite OpeDNS on prosledjuje vas IP direktno Guglu:
Code:

$ host -t TXT whoami.ds.akahelp.net 208.67.222.2
Using domain server:
Name: 208.67.222.2
Address: 208.67.222.2#53
Aliases:

whoami.ds.akahelp.net descriptive text "ip" "85.147.69.241"
whoami.ds.akahelp.net descriptive text "ns" "2620:0:cc4::73"
whoami.ds.akahelp.net descriptive text "ecs" "85.147.69.0/24/24"


Igrajte se sa whoami.akamai.net i whoami.ds.akahelp.net, pa cete videti slicne rezultate. :-)

[Ovu poruku je menjao B3R1 dana 03.10.2020. u 18:34 GMT+1]
 
Odgovor na temu

[es] :: Enterprise Networking :: Zašto setovati google dns servere umjesto ISP-ovih

Strane: 1 2

[ Pregleda: 3815 | Odgovora: 35 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.