--More--
Alt-Ctrl- SCR LOCK

299792458

Porqué no uso OpenDNS

2008-11-11 11:02:53 by fjra in Servidores (4 comments) permalink

Antes yo solía usar (y recomendar) el servicio gratuito de OpenDNS (que básicamente consiste en brindar servidores DNS abiertos al uso de cualquiera, sus IPs son: 208.67.220.220 y 208.67.222.222). Pero un día descubrí que manejaba de ciertas formas (incorrectas) algunos dominios (como los no existentes). Ese manejo de los no existentes se usa normalmente para “corregir” errores tipográficos. Esto implica un problema con algunos softwares antivirus, antispyware, y antispam en particular, que se basan en buscar si un dominio existe o no, y ese comportamiento da siempre el resultado de “existe”. Comenzaremos con algunos ejemplos…
[root@fjsistemas ~]# dig noexiste.coma @208.67.220.220

; <<>> DiG 9.2.4 <<>> noexiste.coma @208.67.220.220
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64984
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;noexiste.coma. IN A

;; ANSWER SECTION:
noexiste.coma. 0 IN A 208.69.32.132

;; Query time: 100 msec
;; SERVER: 208.67.220.220#53(208.67.220.220)
;; WHEN: Tue Nov 11 10:53:07 2008
;; MSG SIZE rcvd: 47

Fíjenese que dio status: NOERROR. Mientras que el resultado debería ser…

[root@fjsistemas ~]# dig noexiste.coma


; <<>> DiG 9.2.4 <<>> noexiste.coma
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 25101
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;noexiste.coma. IN A

;; AUTHORITY SECTION:
. 10800 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2008111100 1800 900 604800 86400

;; Query time: 2120 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Nov 11 10:54:02 2008
;; MSG SIZE rcvd: 106

El cual correctamente da el resultado status: NXDOMAIN.
Ahora vamos con el caso que me parece más preocupante. ¡El dominio www.google.com resuelve a sus propios servidores! Esto me parece injustificable (lo justifican hablando protección contra búsquedas maliciosas), pues están interceptando todo en forma intencionada. Aquí los resultados de las búsquedas del dominio www.google.com en el servidor de OpenDNS, y comparémosla con una búsqueda limpia (consulta directa a los servidores raíz, y luego escalonando en los servidores DNS según corresponda):
Consulta a OpenDNS

[root@fjsistemas ~]# dig www.google.com @208.67.220.220


; <> DiG 9.2.4 <> www.google.com @208.67.220.220
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43772
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com. IN A

;; ANSWER SECTION:
www.google.com. 30 IN CNAME google.navigation.opendns.com.
google.navigation.opendns.com. 30 IN A 208.69.32.231
google.navigation.opendns.com. 30 IN A 208.69.32.230

;; Query time: 108 msec
;; SERVER: 208.67.220.220#53(208.67.220.220)
;; WHEN: Tue Nov 11 11:01:23 2008
;; MSG SIZE rcvd: 104

Y luego la consulta limpia:

[root@fjsistemas ~]# dig www.google.com


; <> DiG 9.2.4 <> www.google.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33625
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 7, ADDITIONAL: 0

;; QUESTION SECTION:
;www.google.com. IN A

;; ANSWER SECTION:
www.google.com. 341406 IN CNAME www.l.google.com.
www.l.google.com. 300 IN A 64.233.169.104
www.l.google.com. 300 IN A 64.233.169.147
www.l.google.com. 300 IN A 64.233.169.99
www.l.google.com. 300 IN A 64.233.169.103

;; AUTHORITY SECTION:
l.google.com. 55248 IN NS f.l.google.com.
l.google.com. 55248 IN NS g.l.google.com.
l.google.com. 55248 IN NS a.l.google.com.
l.google.com. 55248 IN NS b.l.google.com.
l.google.com. 55248 IN NS c.l.google.com.
l.google.com. 55248 IN NS d.l.google.com.
l.google.com. 55248 IN NS e.l.google.com.

;; Query time: 114 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Nov 11 11:02:02 2008
;; MSG SIZE rcvd: 228

Bueno, pueden sacar sus propias conclusiones a partir de ese resultado. Lo que es yo, ya no vuelvo ni a usar, ni recomendar OpenDNS.

CLI2 Theme by Rod McFarland.