[uanog] Яндекс все?

[Dmitry Kohmanyuk]

On 30 трав. 2017 р., at 16:02, Sergey Myasoedov <sm at netartgroup.com> wrote:
> 
>>> блокировка на уровне провайдера лучше всего получается или 1) на IP уровне или 2) в DNS. Чаще всего используют комбинацию: на IP блокируют, а при помощи DNS показывают “что случилось”.
>>>> Если включен DNSSEC, то никакой подмены на уровне DNS не получится.
>>> Это шутка? Много ли клиентов ISP держат у себя валидирующий резолвер?

Достаточно много ISP *в мире* так делают и некоторые из них не отвечают данными из подписанного домена, если подпись RRSIG не сошлась с хешем из DS.

Но да, это в "развитых" странах, не в xSU.

>> Т.е. ты хочешь сказать, что если домен подписан, то можно поменять его IP и все будет работать?
>> Я правильно тебя понял?

Можно теоретически даже подписать домен и надеяться, что прокатит :)

> Я хочу сказать, что если ты доверяешь своему провайдеру в вопросе DNS или твой провайдер перехватывает твои DNS-запросы и отвечает на них сам (есть и такие), естественно, ставя нули в нужных битах - можно подменять адрес хоть google.com и всё будет работать.

Пока клиент не проверяет бит AD - да.
Или если провайдер его подделывает.

В идеале нужно TLS transport до ISP и далее валидация. Или сразу у клиента свой stub+cache resolver с DNSSEC.
Но тогда проще свой unbound поставить на ноутбук или на роутер с openwrt.