DNS a ISP

Jirka88

DNS a ISP
« kdy: 31. 12. 2017, 13:24:14 »
Ahoj všem,

Stále čtu informace o DNS a nechápu některé věci.
Doma nastavuji v routeru tyto informace:

8.110.10.16
255.255.255.0
8.110.10.1

127.39.112.22
127.39.118.10

Poslední dva údaje je DNS a alternativní DNS mého poskytovatele.
Tyto DNS má třeba napojené na:

217.31.204.130
193.29.206.206

To jsou DNS na NIC.CZ.
Které rovnou mohu nastavit v routeru místo DNS mého poskytovatele a jsou funkční.


Moje otázka zní když použiji DNS mého poskytovatele co přesně uvidí? IP adresy a jména webových stránek.

Jak se tohle liší když použiji DNS .např (NIC.CZ)? Tyto informace o DNS musí jít přes mého ISP takže uvidí to stejné ale nebude moci tyto informace podvrhnout?


Také jsem narazil na tento test: https://www.grc.com/dns/dns.htm
(První obrázek je mého poskytovatele na DNS)
https://ctrlv.cz/shots/2017/12/31/zI47.png
https://ctrlv.cz/shots/2017/12/31/weOd.png

Co přesně tento test dokazuje děkuji?


Lol Phirae

Re:DNS a ISP
« Odpověď #1 kdy: 31. 12. 2017, 13:32:39 »
127.39.112.22
127.39.118.10

Poslední dva údaje je DNS a alternativní DNS mého poskytovatele.

Vážně? 127.0.0.0/8 je loopback.  ::) ::) ::)

BIGMAX

Re:DNS a ISP
« Odpověď #2 kdy: 31. 12. 2017, 13:42:24 »
To vis asi neni tak blbej jako ty aby zadaval prave udaje o IP :-D
Skoda ze nedava root kazdy rok cenu "Šášula roku" ted by si ji urcite dostal...

Franta <xkucf03/>

Re:DNS a ISP
« Odpověď #3 kdy: 31. 12. 2017, 13:48:23 »
To jsou DNS na NIC.CZ.
Které rovnou mohu nastavit v routeru místo DNS mého poskytovatele a jsou funkční.
Moje otázka zní když použiji DNS mého poskytovatele co přesně uvidí? IP adresy a jména webových stránek.
Jak se tohle liší když použiji DNS .např (NIC.CZ)? Tyto informace o DNS musí jít přes mého ISP takže uvidí to stejné ale nebude moci tyto informace podvrhnout?

Uvidí v obou případech to samé. DNS není šifrované, takže provozovatel sítí, přes které dotazy prochází, vidí, jaká data (doménová jména, IP adresy) se přenáší. Maximálně se používá DNSSEC, které zajistí integritu dat – aby nešlo podvrhnout odpověď – ale obsah komunikace je pořád viditelný.

Pokud software na tvojí straně kontroluje platnost DNSSEC odpovědí a daná doména je podepsaná, tak ti tam ISP nic nepodvrhne – bez ohledu na to, jestli používáš jeho DNS nebo DNS servery od NICu.

Rozdíl je prakticky jen v tom, že DNS server poskytovatele může cacheovat odpovědi, takže pokud se jiný zákazník v jeho síti ptal na stejnou adresu, jako se ptáš ty, tak ti DNS server poskytovatele může odpovědět o něco málo rychleji. Na druhou stranu můžou mít jeho servery i výpadek (pak můžeš dát jako sekundární server třeba ten NICu) nebo můžou manipulovat s doménami, které nejsou podepsané přes DNSSEC (ale s těmi může manipulovat i když nepoužiješ jeho DNS servery, jen mu to dá o trošku víc práce).

Pokud se používá HTTPS a nepovede se mu na tebe udělat MITM útok, tak adresy navštěvovaných stránek (to, co je za názvem domény a lomítkem) a jejich obsah neuvidí – uvidí jen ty názvy domén a IP adresy. Např. bude vědět, že čteš Root.cz, ale ne, jaké stránky si prohlížíš nebo jaké komentáře píšeš. Pokud bys chtěl utajit i ty domény a IP adresy, tak bys musel použít nějakou VPN nebo třeba TOR.

Jirka88

Re:DNS a ISP
« Odpověď #4 kdy: 31. 12. 2017, 14:00:22 »
Děkuji tak je to přesně tak jak jsem si myslel.
PS: Je to napsané velice dobře


A ještě nevíte prosím k čemu že je ten test ?


Re:DNS a ISP
« Odpověď #5 kdy: 31. 12. 2017, 15:04:20 »
K tomu, co napsal Franta, doplním ještě jeden rozdíl. Velcí poskytovatelé služeb, kteří mají servery na více místech, používají DNS pro směrování na nejbližší server. Když to zjednoduším, když dotaz na jejich DNS server přijde z Evropy, v odpovědi pošlou IP adresu evropského serveru, když DNS dotaz přijde z USA, pošlou v odpovědi IP adresu serveru v Americe. Pokud byste byl u většího ISP, může se stát, že s nějakým poskytovatelem obsahu má speciální peering, a na dotazy z DNS vašeho ISP bude odpovídat příslušnou IP adresou. Když ale použijete DNS server CZ.NIC, bude to bráno jako dotaz „odněkud z ČR“ a třeba vás to pošle na server, který z hlediska infrastruktury vašeho ISP není tak výhodný (bude třeba dál, takže budete mít větší latenci).

A ještě jedna věc – pokud ISP poskytuje vlastní DNS servery, měly by ty servery překládat samy od kořenové zóny, ne být napojené na servery NIC.CZ nebo Googlu. Tyhle otevřené servery jsou pokud vím určené pro koncové uživatele, a nedává moc smysl, aby se jich dotazovaly servery ISP – nepřináší to nikomu žádné výhody, spíš jen nevýhody.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:DNS a ISP
« Odpověď #6 kdy: 31. 12. 2017, 16:20:06 »
A ještě nevíte prosím k čemu že je ten test ?

Jestli to spravne chapu, tak testuje nahodnost pouzitych zdrojovych portu a ID DNS dotazu, tedy jestli jsou dostatecne nahodne, aby se nedaly predpovedet dalsi v posloupnosti, coz by umoznilo honem poslat falesnou odpoved pred tim, nez prijde ta oficialni a tim nasmerovat dalsi komunikaci na nespravny stroj.

Krome toho se tam lze i docist, jestli dany DNS server podporuje DNSSEC, ktery by mel zlepsit zabezpeceni.