Ciao a tutti,

Sto eseguendo le verifiche seguenti da una connessione FTTC residenziale con Vodafone. Configurazione standard, con Vodafone Power Station come unico router. Varie opzioni commerciali, tipo "Rete Sicura", sono disattivate.

Cercando di trovare le cause all'origine di un problema (ovvero l'inaccessibilità di alcuni siti web che normalmente sono bloccati solo a livello del resolver DNS del provider, es. www.rt.com), mi scontro con questo fatto molto curioso.

Non so se è una cosa nota, se è confermabile, o se per qualche motivo mi sto prendendo un grosso abbaglio.

La sensazione è che Vodafone nella sua rete di accesso, o forse addirittura la Vodafone station, stiano intercettando tutto il traffico in uscita sulla porta 53, per ridirezionarlo sempre e solo verso i resolver Vodafone, a prescindere da quale sia il server DNS impostato sul computer. È possibile anche inserire un indirizzo a caso come server DNS (a patto che non sia nella subnet locale) e sempre si riceverà una risposta alle query.

Ecco alcune prove fatte su www.rt.com, a titolo di esempio:

Da provider non Vodafone (WindTre)

# Query A? www.rt.com verso resolver WindTre (attraverso Gateway)
00:57:50.975503 IP 192.168.1.104.60724 > 192.168.1.1.53: 32276+ A? www.rt.com. (28)
00:57:51.001720 IP 192.168.1.1.53 > 192.168.1.104.60724: 32276 1/0/0 A 127.0.0.1 (67)
# ---> A 127.0.0.1 (sito blacklistato) -- 57msec

# Query A? www.rt.com verso resolver Google (da rete WindTre)
00:59:02.328891 IP 192.168.1.104.55068 > 8.8.8.8.53: 6571+ A? www.rt.com. (28)
00:59:02.402810 IP 8.8.8.8.53 > 192.168.1.104.55068: 6571 2/0/0 CNAME en.wpc.rt.com., A 91.215.41.10 (65)
# ---> CNAME en.wpc.rt.com., A 91.215.41.10 (ok!) -- 215msec

# Query A? www.rt.com verso resolver insesistente (da rete WindTre)
01:00:49.964836 IP 192.168.1.104.55234 > 192.168.60.60.53: 27458+ A? www.rt.com. (28)
01:00:54.968325 IP 192.168.1.104.39653 > 192.168.60.60.53: 27458+ A? www.rt.com. (28)
01:00:59.971652 IP 192.168.1.104.52238 > 192.168.60.60.53: 27458+ A? www.rt.com. (28)
# ---> richiesta in timeout, giustamente.

Passiamo ora a ripetere le prove da rete Vodafone (ho provato da due diversi dispositivi connessi alla Power Station):

# Query A? www.rt.com verso resolver Vodafone (attraverso PowerStation)
01:03:13.123386 IP 192.168.1.7.42878 > 192.168.1.1.53: 64674+ A? www.rt.com. (28)
01:03:13.138249 IP 192.168.1.1.53 > 192.168.1.7.42878: 64674 NXDomain 0/0/1 (75)
# ---> NXDOMAIN (sito blacklistato) -- 14 msec

# Query A? www.rt.com verso resolver Google (da rete Vodafone)
01:04:49.024652 IP 192.168.1.7.58330 > 8.8.8.8.53: 1479+ A? www.rt.com. (28)
01:04:49.038590 IP 8.8.8.8.53 > 192.168.1.7.58330: 1479 NXDomain 0/0/1 (75)
# ---> NXDOMAIN -- 14 msec (probabimente non è google a rispondere, notare la latenza!, ping 8.8.8.8 da 22ms di media!

# Query A? www.rt.com verso resolver insesistente (da rete Vodafone)
01:08:12.342358 IP 192.168.1.7.40872 > 192.168.60.60.53: 503+ A? www.rt.com. (28)
01:08:12.356382 IP 192.168.60.60.53 > 192.168.1.7.40872: 503 NXDomain 0/0/1 (75)
# ---> NXDOMAIN -- 15 msec, WTF???!!!

Non è uno scandalo, alcuni ISP lo fanno, anche per questo è stato inventato DoH

    andreagdipaolo

    Di fatto corrisponde a bloccare la porta 53 outbound, e non essendo specificato nel contratto sarebbe una bella violazione contrattuale.
    Lasciando perdere la questione delle blacklist, inizio a realizzare solo adesso che questo fatto sta a monte di un grattacapo che mi ha fatto perdere un bel po' di tempo.

    Stavo usando una connessione Vodafone per debuggare dall'esterno il comportamento di vari NS autoritativi che gestisco, e ricevevo risposte completamente diverse da quelle che mi aspettavo per le loro zone di competenza.

    Cioè, io ti invio un pacchetto TCP/IP con un bel campo DEST nell'header, che corrisponde a una risorsa IP detenuta da enti pubblici o privati con cui tu ISP non hai nulla a che fare.
    Va bene, per qualche motivo tu ISP non vuoi o non puoi recapitare quel pacchetto, allora mi mandi un codice ICMP di errore, o al limite mi droppi la connessione.

    No fai peggio, mi rimandi indietro un pacchetto forgiato fingendoti il detentore di quella risorsa IP, ma mettendoci il tuo contenuto.

    Cioè io imbusto e affranco una lettera a Tizio, e PosteItaliane non solo se la tiene, la apre e non la fa mai vedere a Tizio, ma addirittura mi riscrive indietro mettendo l'indirizzo di Tizio come mittente.

    • x_term ha risposto a questo messaggio

        lore20 se non sbaglio era già noto ed è la Station che lo fa. Dal punto di vista di vodafone diciamo che potrebbero preferire una forzatura per far sfruttare meglio le cache on-net dei vari Netflix, DAZN, Akamai ecc
        D’altro canto, non so come sia la legislazione in Italia ma all’estero è autorizzato e diversi ISP fanno DNS hijack.

          È abilitato il dns sicuro, é la station che lo fa

          Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
          P.I. IT16712091004 - info@fibraclick.it

          ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile