Cenário: Um roteador de hardware é usado para conectar uma rede à Internet. O roteador usa os servidores DNS do ISP e possui um firmware atualizado (sem vulnerabilidades conhecidas). O cache do DNS está desabilitado. Até onde se sabe, todos os nomes de domínio geralmente resolvem para os endereços IP familiares (= > nenhuma outra anormalidade notada).
Recentemente, o seguinte evento estranho na rede mencionada acima foi notado:
Depois de ter sido normal apenas alguns segundos antes, o www.google.de de repente não resolveu mais um endereço IP dos intervalos normais de IP do Google americano nos EUA. Em vez disso, o roteador retornou um monte de endereços IP vietnamitas pertencentes a uma única rede / 24! Isso não era específico da estação de trabalho do cliente, pois isso também pode ser visto no arquivo de log do roteador. (Portanto, o motivo não pode ser malware no cliente.) A saída de nslookup segue (endereços IP censurados):
$ nslookup www.google.de
Nicht autorisierende Antwort:
Server: UnKnown
Address: 192.168.yy.yy
Name: www.google.de
Addresses: 2a00:1450:...
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
Acessar o site no Firefox mostrou que os endereços IP estranhos foram usados, mas um certificado HTTPS válido para o CN correto foi apresentado!
Uma nova tentativa, cerca de um minuto depois, mostrou que a resolução do DNS tornou-se normal novamente e forneceu os endereços IP conhecidos novamente. Provavelmente www.google.de foi o único nome de domínio afetado. www.google.com e outros nomes testados não foram afetados. O problema não pode mais ser reproduzido e não é persistente.
O que você acha disso?
O roteador local foi enganado ou talvez até mesmo o servidor DNS do provedor?
Pensei em introduzir um servidor de cache DNS local que solicita vários servidores DNS e compara os resultados antes de retornar endereços IP ao cliente. Razoável?