Ma machine Windows 10 rencontre-t-elle un empoisonnement DNS? Je continue d'obtenir des adresses IP chinoises lorsque je me connecte à un domaine du gouvernement américain

Réseau de diffusion de contenu

Cela fait probablement partie d'un Content Delivery Network avec beaucoup de questions politiques à considérer.

Si tu essayes Dig www.whitehouse.gov a, sous la section des réponses, vous verrez ce qui suit:

www.whitehouse.gov. 131 IN  CNAME   wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net. 731 IN CNAME e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net. 20   IN  A   23.73.28.110

Voir les adresses CNAME? Essayez Host -t A www.whitehouse.gov pour une meilleure explication:

www.whitehouse.gov is an alias for wildcard.whitehouse.gov.edgekey.net.
wildcard.whitehouse.gov.edgekey.net is an alias for e4036.dscb.akamaiedge.net.
e4036.dscb.akamaiedge.net has address 23.73.28.110

Avez-vous remarqué que j'obtiens une adresse IP différente de la vôtre? Noter la wildcard*Edge* portion? Qu'est-ce que c'est? C'est un serveur Edge qui est supposé pour être le plus proche de vous.

Utilisez-vous un VPN sur votre machine Linux ou Windows? Peut-être celui qui est à Hong Kong, Hangzhou ou ailleurs en Asie de l'Est? Peut-être que votre routeur est configuré pour utiliser un VPN ou passer par TOR?

L'adresse IP que vous avez reçue appartient à Aliyun Computing Co. Ltd, qui fait partie de la suite Alibaba Cloud/CDN.

Mais attendez, comment avons-nous obtenu une adresse IP Aliyun Cloud/CDN (Alibaba) d'Akamai? Ne sont-ils pas concurrents?

Encore une fois, utilisez-vous un VPN sur votre machine Linux ou Windows? Peut-être celui qui est à Hong Kong, Hangzhou ou ailleurs en Asie de l'Est? Peut-être que votre routeur est configuré pour utiliser un VPN ou passer par TOR?

Akamai fonctionne en Chine , mais ...

Vous voulez gagner de l'argent en Chine? Vous devez suivre les règles de Pékin. Je pense que nous venons de trouver quelque chose d'embarrassant pour Akamai: afin d'opérer en Chine, ils ont probablement été contraints de s'associer avec eux.

Pour faire des affaires en Chine, presque toutes les sociétés étrangères devaient auparavant céder le contrôle de leur propriété intellectuelle à un partenaire chinois commun pour être autorisées à opérer dans le pays.

Regardons l'adresse IP que vous nous avez donnée: whois 139.129.57.70 | grep -i 'ALi\|Hangzhou':

nom de réseau: ALISOFT 
 descr:  Aliyun Computing Co., LTD  
 descr:  No.391 Wen ' er Road,  Hangzhou, Zhejiang, Chine , 310099  
 adresse: NO.969 West Wen Yi Road, Yu Hang District, Hangzhou 
 E-mail: jiali.jl @  alibaba-inc.com  
 Adresse: No.391 Wen'er Road, Hangzhou City 
 E-mail: anti-spam @ list.  alibaba-inc.com  
 E-mail : cloud-cc-sqcloud @ list.  alibaba-inc.com  
 adresse: Hangzhou, Zhejiang, Chine 
 adresse : No.391 Wen'er Road, Hangzhou City 
 E-mail: guowei.pangw @  alibaba-inc.com 

Dans ce cas, le partenaire Akamai est probablement Alibaba/Aliyun. Cela permet au gouvernement chinois, s'il le souhaite, de diffuser du contenu malveillant aux visiteurs via le CDN.

Chaque CDN est, à mon avis, MITM en tant que service.

Wireshark? Vous peut-être vous vous trompez.

Et si vous aviez avez un problème de détournement de DNS/MITM? Si vous souhaitez utiliser Wireshark, vous ne pouvez probablement pas faire de capture de paquets entre votre routeur et votre ordinateur sauf si le problème existe principalement sur votre machine Windows 10. Vous recevrez simplement tout ce que votre routeur vous fournira avec.

S'il n'y a aucun problème avec votre machine Windows 10, l'utilisation de Wireshark sur votre ordinateur ne vous fournira probablement aucune information significative. Et si votre routeur a été compromis?

Ce que vous pourriez faire, c'est mettre un commutateur avec des capacités de mise en miroir de ports entre votre passerelle et votre routeur, et utiliser le miroir de ports pour voir ce qui se passe. Ou une étoile qui lance un LAN. De cette façon, vous pouvez voir ce que votre routeur envoie et reçoit, et le comparer à ce que voit Wireshark.

Eh bien, j'ai installé Wireshark et appliqué un filtre DNS pour voir ce qui se passait. Lorsque je fais le nslookup de Windows vers whitehouse.gov, je peux voir dans Wireshark qu'il ajoute (sans me le montrer) mon suffixe DNS domestique (.casa).

Ensuite, j'ai essayé à partir de la machine Linux de résoudre n'importe quoi. Gov.casa et il a été résolu pour ladite IP chinoise.

Donc, je suis presque sûr que le problème ici est que Windows ajoute sombrement mon suffixe DNS domestique (.casa) aux domaines gov. Pourquoi il a commencé à faire cela, je ne sais pas, ce suffixe est configuré dans mon routeur RAF tomate depuis de nombreuses années, et ce comportement a commencé à se produire ces derniers jours. Il y a quelques jours, je suis entré sans problème dans jpl.nasa.gov pour voir quelques photos, donc ce changement est très récent.

Peut-être que le problème est dans le TLD .casa qui peut avoir été rendu public ces derniers jours, ou certains changements dans une mise à jour récente de Windows 10, mais certainement pas un problème lié à la sécurité.

Merci à tous pour vos conseils.

Je voudrais d'abord jeter un œil à la C:\Windows\System32\drivers\etc\hosts fichier, si vous trouvez des listes pour certains .gov domaines (ou autres, par défaut c'est vide) qui ne devraient pas être listés ici .. C'est pourquoi le DNS n'a pas fonctionné correctement.

Du fichier lui-même:

Ce fichier contient les mappages des adresses IP aux noms d'hôte

Mais je vous conseille également, comme Luc l'a dit, de réinstaller l'ordinateur, s'il y a un virus qui édite le fichier hosts (qui ne peut qu'avec les droits d'administrateur) cela pourrait faire bien pire.