Сценарий: аппаратный маршрутизатор используется для подключения сети к Интернету. Маршрутизатор использует DNS-серверы интернет-провайдера и оснащен новейшей микропрограммой (уязвимости не известны). Кеширование DNS отключено. Насколько известно, все доменные имена обычно разрешаются на знакомые IP-адреса (=> других замечаний не обнаружено).
Недавно было замечено следующее странное событие в вышеупомянутой сети:
Будучи нормальным всего несколько секунд назад, www.google.de внезапно перестал преобразовываться в IP-адрес из обычных американских и американских диапазонов IP-адресов. Вместо этого маршрутизатор возвратил реальную связку вьетнамских IP-адресов, принадлежащих одной сети /24! Это не относится к клиентской рабочей станции, так как это можно увидеть и в файле журнала маршрутизатора. (Таким образом, причина не может быть вредоносной программой на клиенте.) Вывод nslookup
выглядит следующим образом (IP-адреса подвергаются цензуре):
$ nslookup www.google.de
Nicht autorisierende Antwort:
Server: UnKnown
Address: 192.168.yy.yy
Name: www.google.de
Addresses: 2a00:1450:...
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
Доступ к сайту в Firefox показал, что использовались странные IP-адреса, но был представлен действительный сертификат HTTPS для правильного CN!
Примерно через минуту повторная попытка показала, что разрешение DNS снова стало нормальным, и снова дала знакомые IP-адреса. Возможно, www.google.de был единственным затронутым доменным именем. www.google.com и другие проверенные имена не были затронуты. Проблема больше не может быть воспроизведена и не является постоянной.
Что Вы думаете об этом?
Был ли обманут локальный маршрутизатор или даже DNS-сервер провайдера?
Я думал о введении локального сервера DNS-кэша, который запрашивает несколько DNS-серверов и сравнивает результаты перед возвратом IP-адресов клиенту. Разумно?