Ako si setovao Google-ove DNS-ove, onda neće pitati ni ruter ni ISP nego upravo Google-ove DNS servere. Svakako kada pokreneš nslookup iz CMD-a bez ikakvih parametara vidiš koji je server najpre pitan ;-)

setovao sam na ruteru google-ove DNS-ove i evo šta kaže tranceroute

setovao sam na ruteru google-ove DNS-ove i evo šta kaže tranceroute


Edit:

To samo znaci da je problem u tome sto ne razumes cemu sluzi traceroute.

google dns podrzava dnscrypt i verovatno dns over https.
Ja recimo koristim na ruteru dnscrypt.

Jedan naš internet veliki provajder radi DNS spoofing. Tako da možeš da na tvom računaru da staviš koji hoćeš DNS ali tvoj upit će biti presretnut i odgovor ćeš da dobiješ od lokalnog DNS-a provajdera. To rade da bi saobraćaj ka youtube preusmerili na svoje proxy servere. Ako su proxy za youtube spori ili zagušeni eto problema sa sporim youtube seckanjem čestim reloadom, itd. Rešenje za spoofing je dnscrypt ili dns over https.

@sdurut koji veliki provajder?

takođe, to rade samo u saradnji sa Google-om, jer im treba SSL sertifikat za *.googlevideo.com.

Ovo i mene zanima. Da nije mozda to google-ov proxy server, samo stavljen u neki DC? Netflix stavlja svoje servere u provajdere da bi smanjio traffic....

edit: Ne mogu da zamislim da google nekom provajderu da pristup certobvima, to je problem ;).

Znate kako covek sigurno nije ispricao napamet :P
Ima logike da prebace na nekog domaceg provajdera, jer youtube bas srce saobracaj...

Nema ništa loše u tome, ali to radi Google svakako, i bez otimanja DNS-a.

Otimanje DNS-a ima smisla za ove koji posebno daju "besplatno" protok ka youtube kao moj zmaj paket.

To se radi na nivou IP adresa koje vode ka *.googlevideo.com. Zero rated saobraćaj nije samo unutar data centra, najveći trošak je uvek pristupna mreža kod korisnika, posebno na 4G.

Ovo sto Milan kaze - ima logike da zakupe kapacitet kod domaceg provajdera, podese DNS da radi geo-distributed i onda rutiraju unutar DC-a.

Sustinska razlika: Ugovor nosi google, nema hijack-a jer ti google DNS vrati IP unutar provajdera ako upit posaljes sa Ip-a iz provajderove mreze, plus nema da cert izadje van necega sto poseduje Google (Alphabet Inc ili kako vec). Bitna razlika u odnosu na "hijack" od strane provajdera, jednostrano. :)

Cuj, to ne moze da se radi na nivou ip idresa, nego na preusmeravanju dns- upita ka sopstvenim adresama :P

Da, ne mora hijack, ali onda moras da radis sa google-ovim ili ISP-ovim dns-m ne?

Google DNS je autorativni DNS za googlevideos.com . Ako pitas Google DNS, a dolazis sa IP-a provajdera, dobijes IP u provajderu. Ako DNS provajdera pita, on isto dolazi sa IP-a provajdera, pa dobije IP u provajderu. Jedino ako koristis neki treci, onda zavisi gde je taj DNS fizicki - posto dosta DNS servera nije na jednoj lokaciji, vec su i oni geodistributed - npr. CloudFlare ima svoje rack-ove u par vecih provajdera u Beogradu.

Pazi moj provajder 100% radi dns spoofing. Recimo kada pingam google.com bez dnscrypt gadja ovaj server ovde u Sr, a kad ukljucim
dnscrypt gadja server u inostranstvu.

Pre bi rekao da je bug, ne verujem da bi im google "na lepu rec" dao certove da mogu da stave na "neki svoj proxy" da rade sta hoce....

edit: Moguce je da lokalni DNS server ne podrzava dnscrypt pa da preusmerava negde drugde - to mislim pod "bug", problem u konceptu ne u tehnologiji.

Ma dao je njima gugl. Mislim, sto bi preusmeravali ping na google.com na domaci google server?

Ako baš moram da pričam u pitanju je SBB. Kucate ping www.google.com ili ping www.youtube.com i dobijećete replay sa servera iz 5.x.x.x opsega. Na RIPE upit 5.x.x.x opsege pripada SBB ISP provajderu.
Možete da stavite koji hoćete DNS i nslookup uvek resolvuje A record iz 5.x.x.x opsega kada ste na SBB mreži. Jedini način sa se ovako nešto izvede je DNS spoof. Isto rade i za kućne i za biznis korisnike.

SBB nema 5.x.x.x nego 5.22.160.0/19. Google svojim colocated cache serverima daje IP adrese koje pripadaju njihovim IP opsezima, jedino što je traceroute drugačiji pa tako znaš da je u datacentru provajdera.

RE: Branimir i dnscrypt: Google-ov autorativni DNS server vraća IP adrese bliže tebi, a kada uradiš upit preko dnscrypt dobićeš generičku IP adresu iz nekog Google datacentra jer on ne zna gde si ti.

Provera je moguća ako zakupiš server kod nekog provajdera u Srbiji, i uradiš dig @8.8.8.8 - dobićeš IP adrese u Srbiji blizu tebi za neke određene servere.

Drugo, za YouTube, redirector.googlevideo.com radi usmeravanje na određeni server, ne postoji "cdn.youtube.com" koji onda svaki provajder hijack-uje ka svom serveru, već Google vrši usmeravanje u odnosu na svoju bazu podataka colocated caching servera.

Milan:"RE: Branimir i dnscrypt: Google-ov autorativni DNS server vraća IP adrese bliže tebi, a kada uradiš upit preko dnscrypt dobićeš generičku IP adresu iz nekog Google datacentra jer on ne zna gde si ti."

To mozda ako dnscrypt gadja guglov dns. Ovaj sto imam ima minimum 5 pocevsi od cloudflare pa do yandexa ;)
I bira onaj koji trenutno daje najbrzi response :)

Poenta je da na dnscrypt NEĆEŠ dobiti localized response. Pričam o EDNS0 i EDNS Client Subnet (RFC7871).

Ma dobro, ali nasetujes recimo opendns, da li ces onda dobiti localized response?
I drugo koristis *ISP*-ov dns i onda dobijes locilazed response?

Dobićeš. Nećeš na CloudFlare DNS jer ne podržava taj RFC. ISP DNS će dobiti localized jer pristupa iz iste mreže kao i ti pa je njemu local isto i tebi local.

Tvoju teoriju je vrlo lako proveriti. ISP-ov gadja Budimpestu, A Cloudflareov Sofiju. Obe su lokalizovane...

Ja kako kapriam, ISP potpise ugovor sa recimo FB ili Google-om, dobije spakova i zakljucan rack i stavi ga u svoj DC i pukne par 10/40Gbe portova kod sebe.
Nemaju mogucnosti lokalne admisistracije ili pristupa. Bivaju placeni za ovo hostovanje.


To su neki caching nodovi ili kako se zovu, a koliko znam TLKM ih sigurno ima.

Pogledajte samo propagaciono kasnjenje do 8.8.8.8 ili 1.1.1.1 - kada odbijem pretpostavljeni delay ADSL lina (recimo 5ms) ukupno kasni oko 7 ms sto je 2000 km po optickom vlaknu bez kasnjenja serijalizacije i procesiranja paketa. Znaci SIGURNO negde u Evropi, e verovatno u Srbiji.




<P14>ping 8.8.8.8
PING 8.8.8.8: 56 data bytes, press CTRL_C to break
Reply from 8.8.8.8: bytes=56 Sequence=0 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=1 ttl=121 time=8 ms
Reply from 8.8.8.8: bytes=56 Sequence=2 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=3 ttl=121 time=9 ms
Reply from 8.8.8.8: bytes=56 Sequence=4 ttl=121 time=9 ms

--- 8.8.8.8 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 8/8/9 ms

<P14>ping 1.1.1.1
PING 1.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 1.1.1.1: bytes=56 Sequence=0 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=60 time=13 ms
Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=60 time=12 ms
Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=60 time=12 ms

--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 12/12/13 ms

<P14>ping 195.178.44.159
PING 195.178.44.159: 56 data bytes, press CTRL_C to break
Reply from 195.178.44.159: bytes=56 Sequence=0 ttl=118 time=12 ms
Reply from 195.178.44.159: bytes=56 Sequence=1 ttl=118 time=11 ms
Reply from 195.178.44.159: bytes=56 Sequence=2 ttl=118 time=7 ms
Reply from 195.178.44.159: bytes=56 Sequence=3 ttl=118 time=11 ms
Reply from 195.178.44.159: bytes=56 Sequence=4 ttl=118 time=4 ms



Poz,
Milenko.

A da se radi o dns spoofingu je to sto *opendns* ne vraca svoj ip nego se dobija *identicna* adresa kao sa *ispovog dns-a*.

E vidis kod tebe Cluudflare vraca USA a gle ovo:

TZV Google Cache je potpuno legitiman i svi veliki ISP imaju farme google cache servera. Nekada je Google (pre 10ak godina) davao cache ISPu ako ima permanentni trafic prema Google-u (youtube-u) >1Gbps, ali mislim da je sad uslov mnogo veci. Neko rece da youtube "srce" poprilicno saobracaj i tu je u pravu (nama otprilike 30-35%).

Sto se tiche dns spoofinga, mislim da to sa Google-om nije slucaj, vec se tu radi peering i taj saobracaj se obezbedjuje kroz posebne linkove.

Ajde objasni kako da se "peering" izvede ako ti dns vrati adresu u inostranstvu?
Jedini nacin je da te google sa tog servera iz inostranstva redirektuje kod tvog ISP-a....... a koliko znam to bi bila nevidjena komplikacija za google.

Postoji Anycast IP + Google redovno redirektuje na content servere koji imaju više kapaciteta slobodno, zato imaju redirector.googlevideo.com.

Ma pusti to. Kako gadjaju *lokalne* servere. Elem supernova *ne radi* dns spoofing definitivno, ali SBB radi.

Objasnjenje je krajnje prosto. Svi veliki javni rekurzivni DNS sistemi sa ove liste (1.1.1.1, 9.9.9.9, OpenDNS itd.) rade na anycast-principu. Njihovi vlasnici su instalirali serverčiće po raznim lokalnim datacentrima. Ti serveri imaju najcesce vise adresa:

- Public Anycast (frontend) IP (npr. 1.1.1.1, 9.9.9.9 itd.) - adresa koju korisnici gadjaju kada koriste public rDNS; ova adresa se najcesce konifigurise kao alias ili loopback.
- Public Real (backend) IP (npr. 198.51.100.3) - realna adresa servera, zavisno od datacentra gde je povezan - konfigurise se na nekom realnom interfejsu (npr. eth0)
- Management IP - adresa kojom vlasnik rDNS servisa pristupa serveru (npr. koristeci ssh) - ovo se najcesce konfigurise unutar nekog VPN-a
- iLO / iDRAC IP - adresa recovery interfejsa servera (HP koristi iLO, Dell koristi iDRAC, ali sustina je identicna) - takodje ide u neki VPN.

Sve te adrese se oglasavaju BGP protokolom sa servera ka mrezi ISP gde je server povezan - bilo sa samog servera (npr. koriscenjem Quagga/BIRD), bilo koriscenjem namenskog malog rutera koji se kaci ispred servera. Ovo drugo resenje koriste Root server operateri (barem su to radili F i K Root pre 15-tak godina, ne znam kako je sada), jer im to omogucava da na ruteru nameste i IPsec VPN i mnoge druge stvarcice, a samom serveru prepuste da radi ono za sta je postavljen - DNS. Danas se cak ide i na vise servera postavljenih u rack, ispred kojih stoji load balancer.

Kada uputite query ka 1.1.1.1:

taj upit ide ka najblizem rDNS serveru Cloudflare-a, a taj server kontaktira Guglove autoritativne DNS-ove. Medjutim, IP adresa koju Cloudflare rDNS koristi kada salje upit nije 1.1.1.1 - to mu je frontend adresa. CF salje upite ka autoritativnim DNS serverima svojom backend adresom, a ta adresa zavisi od datacentra gde se taj rDNS server nalazi. Na osnovu te backend adrese Gugl vraca adresu svog najblizeg keša. Najbliza instanca servera 1.1.1.1 za Srbiju je instalirana na SOX ili BIX (Sofija). Ako pogodite SOX Gugl ce u 99% slucajeva vratiti adresu nekog od domacih keševa, a nema ih mnogo.

Malo razonode - Akamai ima onaj zanimlijv servis whoami.akamai.net i whoami.ds.akahelp.net, vise informacija ovde. Recimo, kada ja posaljem upit za youtube.com na 9.9.9.9 dobijam:


Zasto je to tako? Ako kazemo:


[74.63.25.243] je backend adresa kojom Quad9 DNS gadja Guglove autoritativne DNS-ove. Gde se nalazi taj server?

U Amsterdamu! Otuda me Gugle uvek vraca na servere u Amsterdamu.

Slicna je prica sa svim ostalim "velikim" rDNS servisima. Inace, whoami.ds.akahelp.net je koristan, jer daje i informaciju da li rDNS operater koristi EDNS0 (RFC7871) ili ne. Recimo, Google ga koristi{

Ovo prvo je moja dinamicka IP adresa (zapravo, DS Lite gatway kod mog ISP, s obzirom da kod kuce imam IPv6). Ovo "ns" je backend adresa Guglovog 8.8.8.8 servera. Ovo trece "ecs" oznacava da Gugl koristi EDNS0 Client Subnet. Za 1.1.1.1 vraca:

Kao sto vidite, 1.1.1.1 ne koristi EDNS0 Client Subnet, bas kao sto i tvrde. OpenDNS ga koristi, tako da ako koristite OpeDNS on prosledjuje vas IP direktno Guglu:


Igrajte se sa whoami.akamai.net i whoami.ds.akahelp.net, pa cete videti slicne rezultate. :-)

_{[Ovu poruku je menjao B3R1 dana 03.10.2020. u 18:34 GMT+1]}