Servidores de DNS e Filtros de Internet

@D'oh!, quais blocklistsvocê tem ativos no NextDNS? Tinha começado com os dois abaixo, mas de cara bloquearam o MercadoLivre e também o Webex (site de audio/video conferência da Cisco), achei exagerado...

dsouza escreveu:@D'oh!, quais blocklists você tem ativos no NextDNS? Tinha começado com os dois abaixo, mas de cara bloquearam o MercadoLivre e também o Webex (site de audio/video conferência da Cisco), achei exagerado...

Estou utilizando somente a blocklist recomendada (NextDNS Ads & Trackers Blocklist). Neste caso, prefiro que o Pi-hole execute a maioria dos bloqueios, pois assim diminui a quantidade de queries enviados ao servidor upstream. Utilizo no Pi-hole algumas blocklists encontradas na web.

O bloqueio do Mercado Livre está sendo efetuado pelo Google Safe Browsing e já foi reportado para o Google como falso positivo. Na realidade, nem é o endereço "mercadolivre.com.br" em si que está sendo bloqueado, mas uma inserção CNAME ligada ao domínio. O NextDNS, através da utilização da api do Google Safe Browsing, analisa tanto o domínio como as entradas CNAMEs e, para o Google, existe uma entrada CNAME assinalada como tentativa de golpe. Infelizmente, nesses casos, o Google demora um pouco para a remoção, pois é necessário realizar toda uma investigação. No momento, existem duas formas de contornar essa situação, seja colocando o endereço "mercadolivre.com.br" na lista de permissões ou desativando o Google Safe Browsing na configuração do NextDNS.

Estou ficando muito irritado com a Claro/NET. Começou com as rotas IPv6 que ficaram uma bagunça desde a semana passada.

Agora são as rotas IPv4 que estão uma bagunça. Ver abaixo dois pings para os servidores DNS do NextDNS (primário e secundário). Um vai para o CDN no Brasil (ping baixo ~40ms), e outro com ping alto (~140ms) vai para os EUA:

Código:

C:\>ping 45.90.28.23

Pinging 45.90.28.23 with 32 bytes of data:
Reply from 45.90.28.23: bytes=32 time=36ms TTL=52
Reply from 45.90.28.23: bytes=32 time=35ms TTL=52
Reply from 45.90.28.23: bytes=32 time=34ms TTL=52
Reply from 45.90.28.23: bytes=32 time=42ms TTL=52

Ping statistics for 45.90.28.23:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 34ms, Maximum = 42ms, Average = 36ms

C:\>ping 45.90.30.23

Pinging 45.90.30.23 with 32 bytes of data:
Reply from 45.90.30.23: bytes=32 time=147ms TTL=54
Reply from 45.90.30.23: bytes=32 time=148ms TTL=54
Reply from 45.90.30.23: bytes=32 time=145ms TTL=54
Reply from 45.90.30.23: bytes=32 time=144ms TTL=54

Ping statistics for 45.90.30.23:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 144ms, Maximum = 148ms, Average = 146ms


Interessante é que as duas rotas passam por "ebt-B1521-tcore01.ctamr.embratel.net.br", só que numa rota o ping desse roteador é ~40ms e na outra rota o ping é de ~160ms. Provavelmente esse é o roteador que está zoado:

Código:

C:\>tracert 45.90.28.23

Tracing route to dns1.nextdns.io [45.90.28.23]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ap1-router [192.168.1.1]
  2    14 ms    12 ms    10 ms  10.27.128.1
  3    14 ms    15 ms    21 ms  c915c01e.virtua.com.br [201.21.192.30]
  4    14 ms    16 ms    11 ms  200.191.199.1
  5    36 ms    38 ms    39 ms  200.230.29.121
  6    43 ms    39 ms    38 ms  ebt-B1521-tcore01.ctamr.embratel.net.br [200.230.252.230] <<<< ~40ms!!
  7    40 ms    46 ms    39 ms  ebt-B1421-tcore01.spo.embratel.net.br [200.230.231.62]
  8    38 ms    39 ms    38 ms  ebt-B2111-tcore01.rjo.embratel.net.br [200.230.251.1]
  9    37 ms    34 ms    33 ms  ebt-H0-3-1-1-agg03.rjo.embratel.net.br [200.244.18.62]
 10    35 ms    34 ms    40 ms  peer-H0-7-1-0-agg03.rjo.embratel.net.br [200.255.177.50]
 11    35 ms    34 ms    34 ms  200.25.51.32
 12    40 ms    38 ms    34 ms  dns1.nextdns.io [45.90.28.23]

Trace complete.

C:\>tracert 45.90.30.23

Tracing route to dns2.nextdns.io [45.90.30.23]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ap1-router [192.168.1.1]
  2    13 ms    14 ms    10 ms  10.27.128.1
  3    18 ms    13 ms    11 ms  c915c01e.virtua.com.br [201.21.192.30]
  4    13 ms    12 ms    12 ms  200.191.199.1
  5   157 ms   157 ms   157 ms  200.230.29.123
  6   158 ms   159 ms   156 ms  ebt-B1521-tcore01.ctamr.embratel.net.br [200.230.252.230] <<<< ~150ms ??!!??
  7   155 ms   143 ms   142 ms  ebt-B1421-intl01.nyk.embratel.net.br [200.230.220.130]
  8   142 ms   147 ms   142 ms  e5-3.cr01.iad01.us.misaka.io [206.126.236.214]
  9   145 ms   146 ms   144 ms  po-4.cr01.iad01.us.misaka.io [45.11.106.10]
 10   148 ms   143 ms   146 ms  dns2.nextdns.io [45.90.30.23]

Trace complete.

C:\>

dsouza escreveu:Agora são as rotas IPv4 que estão uma bagunça. Ver abaixo dois pings para os servidores DNS do NextDNS (primário e secundário). Um vai para o CDN no Brasil (ping baixo ~40ms), e outro com ping alto (~140ms) vai para os EUA:

A minha conexão é pela Oi. Fiz os mesmos teste por aqui e me pareceu normal.

Acho que você pode desconsiderar os resultados do tracert, creio que nem sejam parâmetros válidos para DNS, pois os endereços IPs 45.90.28.23 e 45.90.30.23 estão alocados no Estados Unidos. De toda forma, não sei como são realizadas essas configurações de rotas e de DNS pelas empresas que oferecem os serviços, mas se você consultar o site https://browserleaks.com/dns verá que os endereços de DNS são outros, diferentes dos informados acima e localizados no Brasil.

D'oh! escreveu:

dsouza escreveu:Agora são as rotas IPv4 que estão uma bagunça. Ver abaixo dois pings para os servidores DNS do NextDNS (primário e secundário). Um vai para o CDN no Brasil (ping baixo ~40ms), e outro com ping alto (~140ms) vai para os EUA:

A minha conexão é pela Oi. Fiz os mesmos teste por aqui e me pareceu normal.

Acho que você pode desconsiderar os resultados do tracert, creio que nem sejam parâmetros válidos para DNS, pois os endereços IPs 45.90.28.23 e 45.90.30.23 estão alocados no Estados Unidos. De toda forma, não sei como são realizadas essas configurações de rotas e de DNS pelas empresas que oferecem os serviços, mas se você consultar o site https://browserleaks.com/dns verá que os endereços de DNS são outros, diferentes dos informados acima e localizados no Brasil.

Meu entendimento é que mesmo que sejam alocados nos EUA, quando a empresa tem CDNs locais as rotas são alteradas (sem troca do IP) para o servidor local. Acontece isso direto com Google, YouTube, Netflix, etc. Apesar do IP ser nos EUA, as requisições vão todas para sevidores "espelhados" (CDNs) no Brasil. A mesma abordagem é adotada com os servidores de DNS com presença aqui. Mesmo com o IP nos EUA, basta ver o ping, qualquer coisa acima de 100ms está indo para os EUA, 40ms ou menos está indo para o servidor no Brasil.

Essas rotas devem ser propagadas automaticamente, e é ai que a NET (Embratel no caso) está com problemas, por algum motivo seus roteadores não estão sendo atualizados corretamente.

O artigo abaixo da CloudFlare fala um pouco sobre a arquitetura dos CDNs (que é aplicável também para os servidores DNS):

https://www.cloudflare.com/learning/cdn/what-is-a-cdn/

Esse outro artigo fala um pouco sobre as otimizações das rotas para os CDNs:

https://www.imperva.com/learn/performance/route-optimization-anycast/

Pessoal, lendo este tópico, vi a utilização de sufixos "home" nas redes. Uma dica e um alerta:

Primeiro, alerta: cuidado para não utilizar um sufixo TLD público. Veja a lista (supostamente) completa em:

https://en.wikipedia.org/wiki/List_of_Internet_top-level_domains

Experiência própria: experimentando com isso, coloquei "casa" (hosts com, p.ex., "laptop-david.casa"), até que descobri erros na resolução porque "casa" é um sufixo público válido na Internet. Num caso simples você pode ter erros de resolução (pingar seu laptop e o endereço resolvido ser um site válido na Internet), e nos mais graves você pode ter vazamento de informação privada.

Segundo, a dica: mesmo para sufixos reservados válidos como "home", eu particularmente prefiro utilizar outro, pois há o sufixo "homes" e é possível pressionar o "s" ao fim, levando para homes ao invés de home. Não chega a ser algo tão sério, mas enfim, prefiro algo bem único para evitar possíveis confusões.