Немного информации для поразмыслить по пути домой из офиса о том, почему всё вокруг параноидально шифруют, а DNS нет.
Неравнодушные люди решили посмотреть, что происходит с транзитным DNS трафиком и с удивлением обнаружили, что множество запросов к публичным DNS серверам перехватываются провайдерами. Они, конечно же, объясняют всё заботой о пользователях, о снижении нагрузки на каналы, о блокировках, о дополнительной защите и низком времени отклика. Вот правда о потенциальных возможностях подмены они почему-то умалчивают.
Вот немного цифр, чтобы думалось значительно веселее:
- 8,5% провайдеров засветившихся в исследовании, практикуют перехват
- 0,66% запросов по TCP к публичным DNS было перехвачено
- Для UDP цифру можно увеличить раза в 3-4
- Китай опять впереди планеты всей: 61 AS неравнодушна к вашим запросам. В Росии 44, в США 15 и т.д. Безгрешных найти не удалось.
- Хуже всего живётся публичным DNS от Google
- 57% DNS серверов в сети так и не поддерживают DNSSEC
Приятного вам вечера.
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf
