LINUX.ORG.RU

Google хочет видеть IP адреса клиентов в DNS запросах

 , ,


0

0

На днях группа DNS и контент-провайдеров, включая Neustar/UltraDNS и Google, опубликовали предложение о расширении DNS протокола. Данное изменение позволит включать часть вашего IP адреса (первые 24 бита) в запрос к DNS серверу. По мнению разработчиков Google этой информации хватит для определения местоположения пользователя без ущерба для конфиденциальности, что позволит использовать DNS для распределения нагрузки по трафику и направить клиента на ближайший сервер запроса.

Проект был размещён в почтовой рассылке dnsext, где он будет обсуждаться в течении нескольких месяцев, а затем, как они надеются, войдёт в официальный стандарт интернета.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Ответ на: комментарий от mkfifo

> и какимже образом он их будет видить?

(те которые не гугловские? а те которые гугловские он и щаз видит, по HTTP)

ну хорошо, расспиши поитапно (мож я и правда туплю, я допускаю этот вариант, > как вероятность)...

поИтапно?

у гугла есть публичные dns, стремительно наибрают популярность

anonymous
()
Ответ на: комментарий от mkfifo

> вот предположим я захожу на www.example.org , и что происходит_сейчас\будет_происходить ?

При передаче dns-запроса по цепочке все звенья будут знать твой айпи, а не твоего dns-сервера. Анальщина же.

anonymous
()

Что-то я не догоняю, а anycast-адреса не помогут? Зачем dns насиловать?

Lego_12239 ★★
()
Ответ на: комментарий от anonymous

>у гугла есть публичные dns, стремительно наибрают популярность

И Гугл будет с ними контролировать всё, что захочет. Это централизация интернета. Какой захочет ИП адрес, такой и выдаст. Если вообще выдаст, а то может сказать, что как бы «адрес не найден».

anonymous
()
Ответ на: комментарий от anonymous

будут слишком «хотеть», так быстро будут терять популярность...
неработающие и плохо работающие DNS никому не нужны

Sylvia ★★★★★
()
Ответ на: комментарий от anonymous

>При передаче dns-запроса по цепочке все звенья будут знать твой айпи, а не твоего dns-сервера. Анальщина же.

Угу, но ничто не будет мешать писать туда всё что угодно. На движение пакета это влиять не будет, как я понимаю.

Кстати сегодня включат адрес в ДНС, а завтра захотят в ДНС-запросы включать номера кредитных карт для оплаты запроса ДНС.

anonymous
()
Ответ на: комментарий от Sylvia

>совсем обнаглели, может им еще номер паспорта в dns запрос включать сразу?

Никто даже не подумал, что делая dns-запрос любой пользователь в неявном виде отправляет на сервер свой адрес

Gary ★★★★★
()
Ответ на: комментарий от anonymous

> Угу, но ничто не будет мешать писать туда всё что угодно. На движение пакета это влиять не будет, как я понимаю.

Потом одно мааленькое дополнение к стандарту, обязывающее сервера в начале цепочки не принимать запросы, где это поле отличается от фактического адреса, и куку.

anonymous
()
Ответ на: комментарий от Gary

>неявном виде отправляет на сервер свой адрес

на сервер провайдера (или другой используемый пользователем dns server)
дальше он не уходит, гуглу хочется чтобы адрес передавался дальше

Sylvia ★★★★★
()

Еще один шаг гугла к господству над миром.

Блин, хороший сюжет для сценаристов.

doctorx ★★★★
()
Ответ на: комментарий от mkfifo

> такчто Гуг хочет чтобы этот самый рекурсивный-dns — сообщал бы о клиенте поподробнее

В 99% случаев рекурсивный dns-сервер находится в одном регионе с клиентом. Ещё есть полпроцента случаев, когда IP рекурсивного DNS (на роутере) одновременно является и IP'шником клиента (NAT), но при этом сервер даже приблизительно не знает, где физически находится клиент (радиомодем, спутник и т.п.). И вот ради оставшихся полпроцента юзеров со сбитыми настройками резолвера Гугл готов пойти на изменение протокола DNS?

annonymous ★★
()
Ответ на: комментарий от anonymous

>Если так дальше пойдёт с наглым Гуглом, то скоро даже отъявленные антивиндузятники будут с тоской вспоминать дядюшек Билла и Стива и славные денёчки c Микрософтом.

Так уже :) Но Гуглу удается не быть совсем проклятым благодаря переодическим подачкам опенсорсу. Да и банальный зонд у него настолько эргономичный, что как миниум 50% ЛОРа сидит на Хроме, мечтает об смартфоне на Андроиде и не может отказаться от гугло-почты и гугло-поиска :)

troll_them_all
()
Ответ на: комментарий от annonymous

>IP рекурсивного DNS (на роутере)

я вас разочарую, на роутерах стоит не рекурсивный dns, а всего-лишь обычно DNS прокси использующий DNS провайдера или те DNS , которые были вбиты в его настройки.

Sylvia ★★★★★
()

я видел мир без гугла :( ...

qwerky
()
Ответ на: комментарий от anonymous

> Кстати сегодня включат адрес в ДНС, а завтра захотят в ДНС-запросы включать номера кредитных карт

В идеале для Гугла и спецслужб сразу отправлять в DNS-запросе ИНН отправителя без возможности подделки. Запретить выход в интернет без персонального электронного ключа. Вот это, видимо, предел мечтаний.

annonymous ★★
()

гугл превращается в монстра

kto_tama ★★★★★
()
Ответ на: комментарий от annonymous

[2084]

предел ?
Нет, у них гораздо более далекоидущие планы, вплоть до встраивания датчиков для анализов в унитаз, чтобы потом порекомендовать какие продукты купить в местных магазинах

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

> я вас разочарую, на роутерах стоит не рекурсивный dns, а всего-лишь обычно DNS прокси использующий DNS провайдера

Что-то мешает или запрещает использование рекурсивного dns на роутере? Я ставлю только рекурсивные. И безопаснее, и надёжнее.

annonymous ★★
()
Ответ на: комментарий от Gary

хотя бы тем, что его пользователю приходится ставить самостоятельно, в то время как настройки ДНС провайдера получаются через DHCP , в том числе и теми, кто вообще не знает что такое DNS и для чего это нужно

Sylvia ★★★★★
()
Ответ на: комментарий от annonymous

>Я ставлю

вы ставите, и я ставлю, но вот большинство домашних роутеров-мыльниц такими функциями не обладают, и в прошивке там не особенно развернешься с рекурсивным то...
А теперь сравните число роутеров SOHO и число роутеров более высокого уровня ? С развитием ШПД, SOHO мыльниц стало несравнимо больше

Sylvia ★★★★★
()
Ответ на: комментарий от Gary

>Ну а чем сервер гугла хуже сервера провайдера?

Провайдера можно сменить, в отличие от гугла ;)

troll_them_all
()
Ответ на: комментарий от Sylvia

Это не аргумент. На домашних роутерах свет клином не сошёлся. И даже неграмотному юзверю это никак не помеха. Работает из коробки с заводскими настройками, а для желающих править конфиги дают вебинтерфейсы.

annonymous ★★
()
Ответ на: комментарий от Sylvia

>но вот большинство домашних роутеров-мыльниц такими функциями не обладают,

Объясните гумманитарию, спасет ли его быдло-мыльницу прошивка DWRT?

troll_them_all
()
Ответ на: комментарий от annonymous

не аргумент? ) хомячков не видели, которым пароль на веб интерфейс не сменить даже? А их полно, не будут они менять настройки DNS )

Sylvia ★★★★★
()
Ответ на: комментарий от anonymous

> у гугла есть публичные dns, стремительно наибрают популярность

если клиент использует 8.8.8.8 и 8.8.4.4 то ip такого клиента (при передаче dns-запроса) — уже известен гуглю — без изменения DNS-протокола

блин.... а зачем я разжовываю такие очевидные вещщи(?) %) %)

mkfifo
()

AOL потирает руки в предвкушении очередного бана России. Даже не придётся напрягать пакетные фильтры.

KblCb ★★★★★
()
Ответ на: комментарий от anonymous

>> вот предположим я захожу на www.example.org , и что происходит_сейчас\будет_происходить ?

При передаче dns-запроса по цепочке все звенья будут знать твой айпи, а не твоего dns-сервера. Анальщина же.


1. вот только Google — нигде в этой цепочке не замешан
2. а когда я подключаюсь к www (тому самому чей dns-запрос я узнавал) — мой ip не передаётся?

mkfifo
()
Ответ на: комментарий от anonymous

>> у гугла есть публичные dns, стремительно наибрают популярность

И Гугл будет с ними контролировать всё, что захочет. Это централизация интернета. Какой захочет ИП адрес, такой и выдаст. Если вообще выдаст, а то может сказать, что как бы «адрес не найден».


а вот ЭТО — верно — ставить себе дамой гугловские 8.8.8.8 и 8.8.4.4 — ябы не рискнул :-)

(но извенение протокола DNS — это никак не касается)

mkfifo
()
Ответ на: комментарий от annonymous

> Поставьте ферму из вебсерверов, которые анализируют IP, и перенаправляют на региональный контент-вебсервер.

Очевидно же, что Гугл хочет распределенную поддержку для DNS prefetching, который они встроили в Chrome. Имхо - идут они в х** со своим ненужным префетчингом и ненужными расширениями DNS-протокола.

faustus
()
Ответ на: комментарий от annonymous

> Что-то мешает или запрещает использование рекурсивного dns на роутере? Я ставлю только рекурсивные. И безопаснее, и надёжнее.

Рекурсивно - это dnscache-style, когда в @ руты прописаны? Как раз ненадежно, по моему опыту, слишком часто фейлит. В причины не вникал, предполагаю, что запросы с динамических адресов имеют низкий приоритет.

faustus
()
Ответ на: комментарий от faustus

> Централизацией

Что-то мне подсказывает что сервера гугла это больше чем полтора компьютера у провайдера

Gary ★★★★★
()
Ответ на: комментарий от Gary

> Что-то мне подсказывает что сервера гугла это больше чем полтора компьютера у провайдера

Ну, я не в смысле single point of failure, а в смысле анального зонда.

faustus
()
Ответ на: комментарий от mkfifo

> вот только Google — нигде в этой цепочке не замешан

RLY? И да, он у нас уже эксклюзивно зарезервировал лейбл Мировое Зло™?

а когда я подключаюсь к www (тому самому чей dns-запрос я узнавал) — мой ip не передаётся?

Это не значит, что его можно светить где угодно. Особенно при том, что тут это нафиг не нужно.

anonymous
()
Ответ на: комментарий от faustus

зависит от ПО, bind и unbound работают весьма неплохо, powerdns recursor достаточно нетерпелив и выдает таймауты если не может получить авторитативный ответ в течении 1500-2000 ms

Sylvia ★★★★★
()
Ответ на: комментарий от faustus

>Ну, я не в смысле single point of failure, а в смысле анального зонда.

Ололо, анальный зонд — это когда твои запросы фиксирует провайдер, у которого есть твой адрес и паспортные данные, а также местное отделение милиции

Gary ★★★★★
()

И как это будет работать через NAT? Хотим наступить на те же грабли что и sip/h.323?

Да к слову - ничего так что эта информаци (IP адрес клиента) уже имеется в заголовке IP-пакета, в котором пришел DNS-запрос? Красноглазые атакуют?

P.S. Кем проверенно - мог даже и не смотреть, угадал с 1го раза. :-)

anonymous
()
Ответ на: комментарий от troll_them_all

Майкрософт по сравнению с гуглём просто невинная милашка.

не, не, не... это игра в «добрый полицейский, злой полицейский», и иногда меняемся ролями, но от этого они оба не перестают быть полицейскими :)

shty ★★★★★
()
Ответ на: комментарий от Gary

Провайдер эти запросы может фиксировать по любому, просто потому, что он провайдер. Алсо, про паспорт и милицию - это не ко мне. Такие дела.

faustus
()
Ответ на: комментарий от Sylvia

> не аргумент? ) хомячков не видели, которым пароль на веб интерфейс не сменить даже?

Дык зачем им вообще что-то менять, если рекурсивный DNS-Сервер даже от провайдера не зависит? Наоборот, конфиг ещё проще, и не зависит от кривого железа/софта профайдера.

annonymous ★★
()
Ответ на: комментарий от KblCb

>AOL потирает руки в предвкушении очередного бана России. Даже не придётся напрягать пакетные фильтры.

Вы так говорите, как будто от этого станет хуже

goingUp ★★★★★
()
Ответ на: комментарий от anonymous

> Да к слову - ничего так что эта информаци (IP адрес клиента) уже имеется в заголовке IP-пакета, в котором пришел DNS-запрос? Красноглазые атакуют?

Атакуют неосилившие 2 страницы треда, скорее.

anonymous
()
Ответ на: [2084] от Sylvia

Желающие анонимно посидеть на унитазе всегда могут сбегать до ветра или посрать в раковину. Свободу не задушишь!

queen3 ★★★★★
()
Ответ на: комментарий от Sylvia

> прочем возможен такой вариант как установка собственного DNS сервера, с патчем рандомизирующим «источник» запроса, и пусть вся их статистика в тартарары катится ;)

Я что не въезжаю в проблему - с каких пор в UDP пакете отсутствует SOURCE IP ???? Куда идет ответ от DNS????

Что то тут не так с google:))

fi ★★★
()
Ответ на: комментарий от Sylvia

Silvy

и кто останется? Израиль ?) в остальном мире ICQ не популярно

А что? Будет кошерный IM без гоев.

KblCb ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.