Отравление DNS-кэша. Как найти негодника?

Question

[Игорь]

Периодически наблюдаю такую вот ситуацию:


При чём происходит это с разными сайтами. Раз в несколько месяцев или недель.

А происходит вот в такой схеме:
Локальный комп НАТится через Linksys WRT160N. Он же прописан как DNS-сервер. У этого маршрутизатора прописан DNS провайдера. Можно ли средствами данного Linksys или анализом пакетов найти кто и каким образом подменяет DNS-кэш? Происходит ли атака на мой маршрутизатор или на один из маршрутизаторов провайдера?

Когда прописываю себе на локальном хосте в качестве DNS гугловский (8.8.8.8) такого не происходит

Answer 1

[mob]

скорее всего, это не атака а то, как выглядит реализация услуги по типу GGC (Google Global Cache), только для Facebook. Крупные компании размещают свои сервера с контентом на площадках ведущих операторов, Facebook в данном случае знает, что запрашиваемый контент есть на его серверах у вашего провайдера и возвращает их IP в ответе DNS.
Вот поподробнее на примере GGC — habrahabr.ru/blogs/google/93864/.
У меня есть большая техническая дока от одной всеми известной компании, размещающей свои кэши на площадках провов, но поделиться я с ней не могу, ибо строго confidential.

Comments

[mob]

… или не исключён вариант косяков с самой железкой…
homecommunity.cisco.com/t5/Wireless-Routers/WRT160N-V3-has-serioius-DNS-issues/td-p/280327

Answer 2

[Михаил Лялин]

обратиться к провайдеру

Answer 3

[Игорь]

Меня интересует техническая сторона вопроса.
Если атакуют сервера провайдера — я об этом не узнаю. Так получается?
А если атакуют роутер? Как я могу узнать об этом?