Возможна перехват DNS у провайдера

Я собирался войти в панель управления нашего хостинг-провайдера, и он зашел на другую веб-страницу, которая не была сервером моего хостера (я подтвердил им, что IP-адрес не принадлежит им)

mixdev@ThinkpadT430:~$ ping manage.softlayer.com
PING manage.softlayer.com (168.144.134.129) 56(84) bytes of data.
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=1 ttl=47 time=286 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=2 ttl=47 time=285 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=3 ttl=47 time=287 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=4 ttl=47 time=294 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=5 ttl=47 time=284 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=6 ttl=47 time=285 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=7 ttl=47 time=310 ms
64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=8 ttl=47 time=285 ms
^C64 bytes from vps-1131725-16286.manage.myhosting.com (168.144.134.129): icmp_req=9 ttl=47 time=285 ms

--- manage.softlayer.com ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8005ms
rtt min/avg/max/mdev = 284.838/289.510/310.756/8.034 ms

Это происходит только с одним провайдером (Airtel) на всех моих машинах (разных ОС). Все остальные интернет-провайдеры показывают правильную страницу. Нет проблем, если я перенастроить использовать Google DNS либо. Запуск Ubuntu 12 LTS и мой файл hosts чист.

Меня беспокоит то, что это какая-то атака на домен manage.softlayer.com на уровне ISP DNS, и кому-то удалось успешно сменить его на другой свой сервер. Таким образом, они могут просто поместить страницу входа в систему точно так же, как программный слой, и захватить все мои пароли (и всех других пользователей, которые случайно используют затронутый DNS-сервер). Это вообще возможно? Насколько рискованно рассматривать эту ситуацию?

[Поэтому я связался с хостинг-провайдером по поводу проблемы, и они утверждают, что, поскольку проблема не в их серверах, они не должны действовать.]

1 ответ

Для оптимальной безопасности вы должны использовать только (а) DNS-серверы, которым можете доверять, и (б) интернет-провайдера, которому вы можете доверять.

Вы сообщили интернет-провайдеру, что они могут быть жертвами атаки по отравлению кэша DNS или другой атаки на их разрешающий сервер имен. Если они не думают, что это их проблема, то у вас нет другого выхода, кроме как найти кого-то еще, кто не так наивен.

[Обратите внимание, это не проблема софт-слоя; они не контролируют DNS-серверы вашего провайдера]

Другие вопросы по тегам