سلام دوستان
اگه داخل تنظیمات dns مثلا اعداد مربوط به open dns یا comodo رو توی کانکشن اترنت وارد کنیم و حالت اتوماتیک نباشه , آیا موقع دانلود از سرورهای ایرانی که یک برابر هستند به صورت 4 برابر حساب میکنه یا همون یک برابر حساب میکنه؟

سلام تا جایی که سوادم قد میده ارتباطی به dns کانکشتون نداره.شرکت های اینترنتی آدرس آی پی سرورهای سایت رو تو سیستم خودشون ذخیره دارند تا اگر به اون سایت ها وارد بشید حجم اینترنتون بین الملل حساب نشه.

حالا شاید دوستان دیگر،به این مباحث بیشتر وارد باشن ،منتظر پاسخ دیگر دوستان باشید

جناب محمد کاملا درست میگن ، تمام کاری که یک DNS میکنه پرسیدن آدرس IP یک وب سایت با دادن نشانی نوشتاری اون به DNS Server هست .
این داده بطور کلی حجمش کمه و هیچ تفاوتی نداره که از داخل یا خارج ایران این سوال پرسیده بشه و نتیجه به شما برسه .
درنهایت شما به آدرس IP یک وب سرور متصل میشید که اگه داخلی باشه ترافیک کمتری براتون محاسبه میکنند (به شرطی که سایت مذکور در لیست ترافیک نیم بهای ISP شما باشه)


تنها در یک صورت ممکن بود این ترافیک بین المللی حساب بشه براتون ، اونم اینکه از DNS پرو کسی استفاده کنید ، که درحال حاضر امکان استفاده از چنین سرویسی در داخل ایران وجود نداره و شما نمیتونید از اون استفاده کنید ، البته حتما میدونید که اگه از فیلتر شک ن استفاده کنید کل ترافیکتون خارجی حساب میشه.

حتی از اون بدتر اینکه دیتا DNS شما بجای اینکه به اون سرور خارجی برای سوال برسه ، در میان راه توسط شرکت مخابرات زیرساخت ، تغییر مسیر داده میشه و مقصد اون به یک سرور داخلی تغییر پیدا میکنه ، بنابراین شما هر آدرس DNS خارجی نیز در دستگاه خودتون تنظیم کنید باز هم اطلاعات از یک سرور داخلی به دست شما خواهد رسید .
مگر اینکه از پرو کسی استفاده کنید .

بنابراین شما در ایران هر DNS ای ست کرده باشید، تفاوتی در محاسبه ترافیکی داخلی و خارجی شما نخواهد کرد.

خودتون رو با Set کردن DNS خارجی در دستگاهتون گول نزنید ، تمام درخواست های DNS شما در ایران به سمت سرور های داخلی هدایت شده و در آنجا شنود می شود .
یعنی درخواست بازکردن هر سایتی را که بکنید ، آدرس سایت برای آن سرورها ارسال شده و اون سرورها برای سایت ها ممنوع آدرس های دروغی به شما تحویل میدهند .
هیچ تفاوتی نمیکنه که چه آدرس DNS سروری را در کانکشن خود وارد کرده باشید و یا آن را به حالت خودکار گذاشته باشید.


اگر شما آدرس یک DNS سرور ایرانی و داخلی را در کانکش خود بدهید و یا آن را به حالت اتوماتیک قرار دهید ، اطلاعات تحریف شده از سرور داخلی دریافت خواهید کرد :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر شما آدرس یک DNS سرور خارجی ویا Open DNS Server را در کانکشن خود تنظیم کنید ، مقصد اطلاعات شما به سرور داخلی تغییر داده خواهد شد و اطلاعات تحریف شده دریافت خواهید کرد :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر شما به وسیله استفاده از یک پرو کسی به اینترنت متصل شوید و تمام اطلاعات دستگاه شما از یک کانال رمزگذاری شده به اینترنت آزاد برسد ، آنگاه با تنظیم DNS های خارجی میتوانید با آنها ارتباط برقرار کرده و اطلاعات واقعی دریافت کنید :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


در این حالت سوم به دلیل اینکه تمام دیتا شما ابتدا به خارج از کشور فرستاده شده و بعد از آن اگر قصد بازکردن سایت داخلی را داشته باشید ، ان سرور خارجی بجای شما اقدام به بازکردن سایت میکند ، کل ترافیک شما بین المللی محاسبه خواهد شد.

البته اگر یک روتر حرفه ای و مخابراتی بین مودم و دستگاه مصرف کننده خود داشته باشید میتونید در داخل این روتر به سرور پرو کسی متصل شوید و از آنجا مشخص کنید که فقط داده های DNS شما از داخل تانل رمزگذاری شده فرستاده شود و زمانی که نتیجه بازگشت داده شد و آدرس IP سایت مقصد ، یک سرور داخل کشور بود ، دیگر آنرا به سمت پرو کسی سرور ارسال نکند و مستقیم به مودم بفرستد تا در یک ارتباط مستقیم ترافیک شما نیم بها محاسبه شود .

روند اینکار پیچیده است و برای شما هزینه بردار خواهد بود.

البته اگر یک روتر حرفه ای و مخابراتی بین مودم و دستگاه مصرف کننده خود داشته باشید میتونید در داخل این روتر به سرور پرو کسی متصل شوید و از آنجا مشخص کنید که فقط داده های DNS شما از داخل تانل رمزگذاری شده فرستاده شود و زمانی که نتیجه بازگشت داده شد و آدرس IP سایت مقصد ، یک سرور داخل کشور بود ، دیگر آنرا به سمت پرو کسی سرور ارسال نکند و مستقیم به مودم بفرستد تا در یک ارتباط مستقیم ترافیک شما نیم بها محاسبه شود .

روند اینکار پیچیده است و برای شما هزینه بردار خواهد بود.

یه سوالی دارم درباره روش کار شرکت ها در تقسیم ترافیک داخلی و خارجی

این شرکت ها میان آدرس سرورها رو تو سیستم خودشون ذخیره میکنن یا اسم سایت رو؟؟مثلا سایت دانلودها که یک سرور نداره که،تازه هر لحظه ممکنه سرور جدیدی هم اضافه کنه

اونوقت isp چطور الگوریتمشو میچینه؟؟یعنی میگه از فلان آدرس ترافیک رو نیم بها حساب کن یا میاد میگه از سایت downloadh a.com ترافیک رو نیم بها حساب کن؟؟

یا کلا آدرس سرورهای سایت دانلود ها یا هر سایت دیگری ثابتند و تغییری نمی کنن؟؟
تشکر

کلا با آدرس آی پی سرورها کار میکنن ، مثلا سایت دانلود ها ممکنه صدتا سرور داشته باشه اما همه پشت یک یا چندتا آی پی سرویس خدمات ارئه میدن.
آی اس پی در روتر های خودش برای اندازه گیری ترافیک ، تنظیم میکنه که اگر ارسال و دریافت با فلان آدرس های آی پی انجام شد ترافیک را نیم بها محاسبه کن .

ترافیک رد و بدل شده با این آدرس های داخلی جداگانه محاسبه میشه و مابقی ترافیک رو بین الملل و آزاد محاسبه میکنند .
یعنی اول مقدار داده های سایت های داخلی رو محاسبه میکنن و بعد در رویه های بعدی مابقی ترافیک در کنتور بین الملل ثبت میشه .

وب سرورها معمولا آدرس آی پی استاتیک دارند و در مجموع سایت های نیم بها رو آی اس پی ها معمولا در سایت خودشون لیست میکنن که آدرس های ثابت آی پی هرکدوم از اونها مشخصه

واقعا ممنون از هر دو عزیز بخصوص دوست گرامی shaahani که بسیار کامل توضیح دادن که این صفحه فکر کنم واسه همه سودمند باشه

خودتون رو با Set کردن DNS خارجی در دستگاهتون گول نزنید ، تمام درخواست های DNS شما در ایران به سمت سرور های داخلی هدایت شده و در آنجا شنود می شود .
یعنی درخواست بازکردن هر سایتی را که بکنید ، آدرس سایت برای آن سرورها ارسال شده و اون سرورها برای سایت ها ممنوع آدرس های دروغی به شما تحویل میدهند .
هیچ تفاوتی نمیکنه که چه آدرس DNS سروری را در کانکشن خود وارد کرده باشید و یا آن را به حالت خودکار گذاشته باشید.


اگر شما آدرس یک DNS سرور ایرانی و داخلی را در کانکش خود بدهید و یا آن را به حالت اتوماتیک قرار دهید ، اطلاعات تحریف شده از سرور داخلی دریافت خواهید کرد :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر شما آدرس یک DNS سرور خارجی ویا Open DNS Server را در کانکشن خود تنظیم کنید ، مقصد اطلاعات شما به سرور داخلی تغییر داده خواهد شد و اطلاعات تحریف شده دریافت خواهید کرد :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر شما به وسیله استفاده از یک پرو کسی به اینترنت متصل شوید و تمام اطلاعات دستگاه شما از یک کانال رمزگذاری شده به اینترنت آزاد برسد ، آنگاه با تنظیم DNS های خارجی میتوانید با آنها ارتباط برقرار کرده و اطلاعات واقعی دریافت کنید :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


در این حالت سوم به دلیل اینکه تمام دیتا شما ابتدا به خارج از کشور فرستاده شده و بعد از آن اگر قصد بازکردن سایت داخلی را داشته باشید ، ان سرور خارجی بجای شما اقدام به بازکردن سایت میکند ، کل ترافیک شما بین المللی محاسبه خواهد شد.

بنظرم صحبتتون غلطه!
این شکل کاملا واضح از عملکرد DNS ها هست!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

DNS کارش ترجمه ادرس نوشتاری سایت ها به ایپی هست! که اینو خودتون گفتید!
نه اینکه مسیریابی یا روت کنه!
شما وقتی تریس میگیرید اول از همه تریس ادرس یوتیوب رو از دی ان اس میپرسه بعد از راه پیمایی از زیرساخت های isp ایتون میرسه زیرساخت ایران که هرکاری بکنید چ ای اس پی تون چ زیر ساخت چ بعد از زیرساخت میدونه ادرس ایپی که شما درخواست دادید و میخواهید بهش وصل شید برای یوتیوب هست!‌ و بدلیل اینکه ادرس های CDN یوتیوب تو سرور های فیلترینگ زیرساخت جز بلاک لیست هستن Redirect میشن به ادرس همیشگی دسترسی به تارنمای فراخوانده رفته گل بچینه رو میبنید که چون SSL نمیذاره hijack یا ریداریکت بخاطر امنیتی ک هست بخاطر همین صفحه اتون به شکست بر خورد داشته!
شما خودتون میکروتیک دارید حتما حتما باید چشتون به Torch خورده باشه و بدونید چ تولزی هست!
دقت کنید که فرق روشن شدن تونل با بدون تونل تو چیه!
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

وقتی شما قندشکن رو روشن میکند ادرس سرور قندشکنتون جز فیلتر ها یا بلاک لیست نیست! کلیه کانکشن هاتون و ترافیکتون به سمت اون سرور قندشکن هدایت میشن! و اون سرور قندشکن میدونه بقیه راه رو تا پیمودن یوتیوب
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

واقعا عجیب بود جلمتون!

و بله اینم بگم تفاوت هایی دارن dns ها با هم مثلا اینکه زودتر ترجمه کنه سکیور باشه که مال ایرانیا نیست به هیچ عنوان اسیاتک رو ی مدت یادتونه dns هاش الوده بودن؟ dns hijack و اینا هم هست
کدوم پینگ و دسترسی سریع تری داشته باشن و ...
اینطور نیست بگید همشون یه پخ هستن!
نچ کاملا در اشتباهید

DNS کارش ترجمه ادرس نوشتاری سایت ها به ایپی هست! که اینو خودتون گفتید!
نه اینکه مسیریابی یا روت کنه!

ببین مهدی جان من کی گفتم که کار DNS مسیر یابی یا روت هست ؟
منظور من اینه که کل DNS ایران hijack میشه . یعنی شما در ب بسمه الله وقتی میخواید درخواست کنید که آدرس آی پی سایت Youtube رو دریافت کنید ، این درخواست روی پورت 53 برای DNS Server ارسال میشه . روترهای مخابراتی ایران جوری تنظیم شدن که مقصد تمام داده های DNS روی پورت 53 که درخواست IP دارند رو به روترهای داخلی تغییر میدهند و مسیر داده شما در داخل ایران عوض شده و بجای اینکه به سروری که در تنظیمات دستگاهتون تنظیم کردین برسه ، میره و میرسه به DNS Server داخلی که کار فیلترینگ رو انجام میده .

برای همینه که آدرس آی پی سایت یوتیوب رو از همون ابتدا اشتباه دریافت میکنید و آدرس معروف فیلترینگ به شما تحویل داده میشه .
این فرایند قبل از استفاده وب سایت ها از پروتکل های SSL رخ میده ، یعنی هرکاربری درخواست دیدن هر وب سایتی رو که بکنه در داخل اون DNS Server فیلترینگ دیده میشه که قصد بازکردن چه سایتی رو داره و در نهایت آدرس تقلبی تحویل داده میشه برای سایت های فیلتر شده .
دیگه به موضوع تریس و اینجور چیزها مربوط نمیشه .
این خلاصه اش بود ، در مثال ساده شده من فقط یک DNS Server داخلی رو عنوان کردم و تعداد DNS Server ها بسیار زیاد هست .

بنابراین شما هر آدرسی داخل تنظیمات کانکشنتون بزنید به سرور ایرانی خواهید رسید و همشون یک پخ هستند !

برای اینکه صحبت من رو امتحان کنید ، بهتون یک آزمایش پیشهاد میکنم ، با استفاده از یک روتر یا یک نرم افزار خاص ، تنها و تنها پورت 53 UDP و TCP را در دستگاه خودتون تانل کنید که از اینترنت آزاد بهره مند بشه و مابقی اینترنت شما به صورت همون فیلتر باقی بمونه .
اونوقت وارد سایت یوتیوب بشید و بارها و بارها اون رو رفرش کنید ، خواهید دید که در بعضی مواقع سایت و ویدیوهای اون باز میشه .
علت اینه که این سایت از N آی پی و سرورمختلف استفاده میکنه که اون آی پی ها سرویس های مهم و حیاتی دیگه ای نیز روی اینترنت دارند که فیلتر کردنشون ممکن نیست یا بعضی از این آی پی ها به تازگی وارد میشن و هنوز به لیست سیاه فیلترینگ نپیوستند ، بنابراین وب سایت یوتیوب را به صورت نصفه و نیمه مشاهده خواهید کرد .

به این نکته توجه کنید که فیلتر کردن آدرس اولیه با استفاده از dns hijack بسیار ساده تر از بستن صدها آدرس آی پی هست که هرروز نیز تغییراتی در اونها اعمال میشه .
اونوقت متوجه خواهید شد که حرف من درسته ، شما در درجه اول وقتی آدرس تقلبی برای اتصال به یک وب سایت دریافت کنید دیگه فرقی نمیکنه که چه کاری انجام بدین به هرحال به مقصد واقعی نخواهید رسید.

شما میتونید فقط از DNS سرورهای داخلی استفاده کنید و تغییراتی رو مثلا در سرعت بازشدن صفحات ببینید .
به عنوان مثال اگه شما DNS Server آی اس پی خودتون رو وارد کنید ، این سرور به شما نزدیک تره و میتونه سریع پاسخ بده اما اگه DNS Server شرکت زیرساخت رو وارد کنید و یا مثلا DNS Server گوگل ، سرور زیرساخت به شما دورتر خواهد بود و عملیات ارسال و دریافت پاسخ طولانی تر خواهد بود و یا مثلا اگه DNS Server گوگل یا یک سرور خارجی را انتخاب کرده باشید اونوقت علاوه بر این که به دورترین سرورهای زیرساخت که قبل از خروج داده از ایران وجود دارند هدایت میشید ، زمان عملیات dns hijack روی داده شما نیز به این زمان اضافه خواهد شد و در مجموع شاهد دیرترین زمان های پاسخگویی خواهید بود .
DNS Server ها بصورت پلکانی فعال میشن و کار میکنند ، به عنوان مثال من یک روتر در خانه دارم و در اون DNS Server راه اندازی میکنم ، در مراحل اولیه کاربران وقتی نیاز به بازکردن یک سایت داشته باشند ، به این DNS Server مراجعه میشه و اگه پاسخی در سرور موجود نباشه ، این سرور خودش همین سوال رو از Server بالا دستی که در اون روتر به عنوان منبع مشخص کردم می پرسه و نتیجه دریافتی رو در خودش برای مراجعه های بعدی ذخیره میکنه و به کاربر نیز تحویل میده .
به این صورت در مراجعه های بعدی برای بازشدن وب سایت ، دیگه داده اینترنتی مصرف نمیکنم و این سرور داخل منزل ، همان نتیجه سرور روی اینترنت را به کاربران من خواهد داد.

نتیجه این کار علاوه بر سرعت بسیار بیشتر ، مصرف کمتر ترافیک و پهنای باند نیز هست . بر روی شبکه اینترنت نیز داستان به همین صورت هست .
مثلا سرور ISP منبع و مرجعش سرور روتر زیرساخت مخابرات هست و روتر زیرساخت منبع و مرجع اون DNS Server گوگل ، سرورهایی از بلژیک و یا هرجای دیگه .

مسئله دیگه ای که این میان میمونه همون دادن آدرس های تقلبی هست ، اگه من در روتر داخل منزل به فرض آدرس آی پی سایت گوگل را بجای اینکه از منبع درخواست کنم در داخل سرور DNS خود روتر بصورت استاتیک مثلا تنظیم کنم با آی پی فیلترینگ مخابرات 10.10.34.35 اینجا دیگه هر کاربری درخواست آی پی گوگل رو بکنه ، ادرس از بالادستی درخواست نخواهد شد و سرورداخلی بلافاصله آدرس فیلترینگ رو برای اون کاربر برمیگردونه و همه کاربران با فیلترینگ گوگل مواجه خواهند شد.
حالا اگه در روتر علاوه بر راه اندازی این DNS سرور در بخش فایروال تنظیم کرده باشم که تمام درخواست های DNS بجای اینکه از اون عبور داده بشه بیاد و بره به DNS سرور خود روتر ، دیگه در اینجا فرقی نمیکنه کاربر من چه DNS Server مختلف خارجی یا داخلی را در دستگاه خودش تنظیم کرده باشه تمام درخواست های DNS به وسیله سرور DNS من واقع بر روی روتر داخلی پاسخ داده خواهد شد.

امیدوارم متوجه مطلب شده باشید و برای اطلاعات بیشتر میتونید روی اینترنت در مورد ساختار DNS تحقیق بیشتری انجام بدین ، برای همین هست که اگه با یک کارشناس ماهر و صادق ISP خودتون گفتگو داشته باشید ، اون به شما خواهد گفت که تفاوتی نمیکنه شما چه DNS سروری رو داخل دستگاه تنظیم کنیم و نهایتا تنها پیشنهاد مفیدش میتونه این باشه که DNS Server های خود ISP تون رو داخل دستگاه تنظیم کنید.

2-3 سال پیش وقتی یکی ازسایت های فیلتر شده رو از طریق cmd پینگ میگرفتم آدرس آی پی اون سایت رو هم به من میداد بدون اینکه فیلت ر شکن نصب کرده باشم ولی الان وقتی پینگ میگیرم به من آدرس 10.10.34.35 رو میده

یعنی دلیلش چیه که چند سال پیش آدرس سرور سایت رو میداد ولی الان آی پی 10.10.34.35 رو به من نشون میده؟

چندین سال پیش سرویس DNS به درستی در ایران کار میکرد و مورد سرقت قرار نگرفته بود .
اگر شما پینگ یک وب سایت فیلتر را بگیرید و آدرس آی پی واقعی اون سایت رو به شما نشون بده (گرچه تایم اوت بده بخاطر فیلتر شدن آی پی اون) ، این یعنی اینکه DNS Server شما آدرس واقعی و اصلی رو به شما بازگردونده .
میتونید برای اطمینان از اینکه آدرس درستی دریافت کرده اید آن را با آدرس دریافتی از [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] مقایسه نمایید.

نمونه این سرقت DNS در یک سایت SSL رو میتونم براتون در مورد سایت internetdownloadmanager.com مثال بزنم .
اگه شما از اینترنت ایران به روی این وب سایت کلیک کنید به صفحه جعلی ساخته شده داخلی بر خواهید خورد .
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در این صفحه شما با زدن دکمه Buy به یک صفحه فروش فارسی بر خواهید خورد ! که درواقع کل سرور سایتی که به آن متصل شده اید ، جعلی و دروغین است
در زمان پینگ از کامپیوترتون با آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] مواجه می شوید که شما را به همان وب سایت و سرور طراحی داخل هدایت میکند.

حالا اگر همین وب سایت را از روی اینترنت پینگ بگیرید به آدرس [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] خواهید رسید که با ف یلترشکن بازشده و به وب سایت اصلی هدایت خواهید شد .

یک وب سرور و یک وب سایت نباید دو یا چند آی پی مختلف روی شبکه اینترنت داشته باشد به این دلیل که فقط یک سرور مشخص دارد، شما اینجا با دو سرور و سایت متفاوت سروکار دارید که هردو کاملا شبیه به هم هستند ، اما فقط یکی از آنها واقعی و دیگری جعلی است .
این یک مثال از سرقت داده DNS شماست.

حتی از اون بدتر اینکه دیتا DNS شما بجای اینکه به اون سرور خارجی برای سوال برسه ، در میان راه توسط شرکت مخابرات زیرساخت ، تغییر مسیر داده میشه و مقصد اون به یک سرور داخلی تغییر پیدا میکنه ، بنابراین شما هر آدرس DNS خارجی نیز در دستگاه خودتون تنظیم کنید باز هم اطلاعات از یک سرور داخلی به دست شما خواهد رسید .


خودتون رو با Set کردن DNS خارجی در دستگاهتون گول نزنید ، تمام درخواست های DNS شما در ایران به سمت سرور های داخلی هدایت شده و در آنجا شنود می شود .
یعنی درخواست بازکردن هر سایتی را که بکنید ، آدرس سایت برای آن سرورها ارسال شده و اون سرورها برای سایت ها ممنوع آدرس های دروغی به شما تحویل میدهند .
هیچ تفاوتی نمیکنه که چه آدرس DNS سروری را در کانکشن خود وارد کرده باشید و یا آن را به حالت خودکار گذاشته باشید.


منظور من اینه که کل DNS ایران hijack میشه . یعنی شما در ب بسمه الله وقتی میخواید درخواست کنید که آدرس آی پی سایت Youtube رو دریافت کنید ، این درخواست روی پورت 53 برای DNS Server ارسال میشه . روترهای مخابراتی ایران جوری تنظیم شدن که مقصد تمام داده های DNS روی پورت 53 که درخواست IP دارند رو به روترهای داخلی تغییر میدهند و مسیر داده شما در داخل ایران عوض شده و بجای اینکه به سروری که در تنظیمات دستگاهتون تنظیم کردین برسه ، میره و میرسه به DNS Server داخلی که کار فیلترینگ رو انجام میده .
بنابراین شما هر آدرسی داخل تنظیمات کانکشنتون بزنید به سرور ایرانی خواهید رسید و همشون یک پخ هستند !
به این نکته توجه کنید که فیلتر کردن آدرس اولیه با استفاده از dns hijack بسیار ساده تر از بستن صدها آدرس آی پی هست که هرروز نیز تغییراتی در اونها اعمال میشه .

نکاتی ظریف که حیفم اومد این تاپیک کهنه رو Bump نکنم ...

امروز مشاهده شد که حتّی با ست کردن IP Address سرویس Quad9 DNS، باز هم تعدادی Hostname از جمله یه V***N Provider خارجی، به اشتباه Resolve شد.

تنها راه، Wrapکردن ترافیک DNS توی تونل V***N یا TLS Session هست که قطعاً دانش، هزینه و زمان می خواد.

البته در بعضی سرورهای DNS داخلی مثل ایرانسل، این رفتار مشاهده نشد.
این رو چه طور تحلیل می کنید آقای شاهانی؟
چون اونا هم Query رو به هر جا بخوان Forward کنن، باز هم در فایروال های زیرساخت، سرقت میشه.

دوستان من یه بار یا اینترنت ipv6 ایرانسل خیلی پینگ های پایین رو برنامه قند شکن ام نشون میداد مثلا 42 میلی ثانیه تا ایسلند یا مثلا 72 میلی ثانیه تا هند

اتفاقی بود این موضوع یا راهی هست آدم از این استفاده کنه ؟ شما بلدی آقای شاهانی ؟ ممنون

دوستان من یه بار یا اینترنت ipv6 ایرانسل خیلی پینگ های پایین رو برنامه قند شکن ام نشون میداد مثلا 42 میلی ثانیه تا ایسلند یا مثلا 72 میلی ثانیه تا هند

اتفاقی بود این موضوع یا راهی هست آدم از این استفاده کنه ؟ شما بلدی آقای شاهانی ؟ ممنون

آی پی ورژن 6 هنوز بسترش داخل ایران فراهم نیست، یعنی ایرانسل که این ورژن از آی پی رو به شما ارائه میده، باز موقعی که میخواد داده شما رو به خارج از کشور ارسال کنه، اون رو در بستر آی پی ورژن چهار از طریق اینترنت زیرساخت و مخابرات، ارسال میکنه

برای استفاده از آی پی ورژن 6 لازمه تمام دستگاه ها از مبدا تا مقصد بر این اساس کار کنند اما چون مخابرات ایران چنین بستری رو نداره، پس استفاده کامل از اون ممکن نیست.
فقط یک استفاده نصفه و نیمه، مثل ایرانسل میشه ازش داشت.

داشتن پینگ پایین تر، اتفاقی بوده و ممکنه در لحظاتی خاص روتر های کنترل کننده فیلترینگ برای تعمیرات یا تعویض بای پس شده باشند یا اینکه مسیر مستقیم گران قیمتی که ایران از آن برای تبادل اطلاعات استفاده نمیکند، در خارج کشور بصورت موقت و اضطراری داده های شما را منتقل کرده باشد و به این صورت شما پینگ پایین تری داشته اید.

نکاتی ظریف که حیفم اومد این تاپیک کهنه رو Bump نکنم ...

امروز مشاهده شد که حتّی با ست کردن IP Address سرویس Quad9 DNS، باز هم تعدادی Hostname از جمله یه V***N Provider خارجی، به اشتباه Resolve شد.

تنها راه، Wrapکردن ترافیک DNS توی تونل V***N یا TLS Session هست که قطعاً دانش، هزینه و زمان می خواد.

البته در بعضی سرورهای DNS داخلی مثل ایرانسل، این رفتار مشاهده نشد.
این رو چه طور تحلیل می کنید آقای شاهانی؟
چون اونا هم Query رو به هر جا بخوان Forward کنن، باز هم در فایروال های زیرساخت، سرقت میشه.

ببینید Query که شما میگید، باید قابل خواندن و تشخیص دادن باشه که بعد بخوان به جایی که دوست دارند Forward کنن.
وقتی شما داده های مربوط به DNS را بجای اینکه بطور معمول ارسال کنید، از داخل تانل رمزگذاری با استفاده از رمزگذاری های مختلف ارسال کنید، این داده قابل تشخیص برای هیچ روتری در میان راه نخواهد بود.

شما اگر در روتر خود داخل منزل داده های خروجی را قبل از اینکه هیچ روتر دیگری بر روی بستر مخابراتی آنها را دریافت و تغییر جهت دهد، خوانده و سپس رمزگذاری کرده و به سرور پرو کسی ارسال نمایید، دیگر قابل ردیابی نخواهد بود.
بطور عملی در روتر میکروتیک من ، روی داده های DNS مارک گذاری انجام شده، که در تصاویر پایین بر اساس آی پی DNS Server های مورد استفاده روتر ، این مارک گذاری انجام شده است، یعنی به روتر گفته شده هر زمان مقصد داده ای ، یکی از آی پی های دی ان اس سرورها بود، داده مورد نظر را مارک کن، سپس در بخش مسیر یابی آن را به داخل تونل وی پی ان بفرست که رمزگذاری شده است.
البته میتوانستم به روتر بگویم تمام داده هایی که به مقصد پورت 53 UDP و TCP ارسال می شود را مارک گذاری کن و همین کار را روی آن انجام بده، درهر صورت نتیجه یکی خواهد بود.
درشبکه داخلی منزل من، بطور خودکار دستگاه ها DNS Server روتر من را دریافت میکنند، اما میتوانستم مابقی درخواست های دستی را نیز به اجبار به سمت روتر خود ارسال نمایم که کاربر حتی با تغییر دستی DNS نیز نتواند به جایی بجز روتر من درخواست DNS خود را ارسال نماید، مگر اینکه در دستگاه خودش رمزگذاری انجام داده باشد.

در تصاویر پایین، نحوه عملی مارک گذاری داده های خروجی دی ان اس از روتر، جهت ارسال رمزگذاری شده آن نشان داده شده است:


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


تفاوتی نمیکند که از چه اینترتی استفاده کنید، به عنوان مثال روتر من همزمان از اینترنت ایرانسل و ADSL استفاده میکند و در زمان هایی که اینترنت ADSL قطع شده است، اینترنت منزل را با استفاده از مودم ایرانسل تامین میکند، از هرکدام از اینترنت ها که استفاده شود، نتیجه یکسان است و داده های دی ان اس مستقیم از طریق سرور پر وکسی و بطور سالم به شبکه من می رسد.

====
بطور خلاصه جواب شما این است که بعد از اینکه IP Address سرویس DNS مورد علاقه خود را بطور دستی در سیستم عامل خود ست کردید، باید اطمینان حاصل کنید که داده های DNS شما از طریق وی پی ان و بطور رمزگذاری شده ارسال می شود، خیلی از فیلتر شکن ها اکثر داده ها را از داخل تونل خود ارسال می کنند اما داده های DNS را بطور مستقیم و بدون رمز به سمت ISP شما ارسال میکنند، که البته تا حدی این اشکال مروبط به سیستم عامل ویندوز نیز می شود، بنابراین اگر از نرم افزار خوب و صحیحی استفاده کنید و یا اینکه مانند من از یک روتر برد مخابراتی در منزل استفاده نمایید، داده ها را میتوانید به سرور پرو کسی بطور رمزگذاری شده ارسال نمایید و از تغییر جهت آن در میانه راه توسط ISP ها و یا شرکت زیرساخت ایران جلوگیری نمایید.

بجز روش پینگ گرفتن که بنظر من راه بهتری است، میتوانید از وب سایت های تست نشت دی ان اس نیز برای این منظور استفاده کنید
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بطور کلی و مختصر باید گفت DNS Server کاری شبیه به مرکز تلفن 118 داره.
شما وقتی آدرس گوگل را در مرورگر خودتون میزنید تا به وب سایت و سرویس برنامه تحت وب گوگل دسترسی پیدا کنید.
ابتدا مرورگر شما دست به کار شده و آدرس تلفن آقای گوگل را برای امکان برقراری ارتباط با آن از مرکز تلفن 118 شما می پرسد و در پاسخ آدرس تلفن و در اینترنت آدرس آی پی سایت گوگل را دریافت کرده و سپس با استفاده از آن ارتباط شما را با گوگل برقرار میکند، تا زمانی که این آی پی را نداشته باشید، ارتباط از غیرممکن است.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بنابراین ابتدا توسط DNS آدرس آی پی پرسیده می شود و سپس ارتباط برقرار می گردد.
یعنی ابتدا با DNS Server ارتباط برقرار نموده و بعد یافتن آدرس آی پی مقصد با سرور مورد نظر خود ارتباط برقرار خواهید نمود.

حال برای سرعت بخشیدن به این مرحله، از سرورهای میانی استفاده می شود، به عنوان مثال مودم شما، در بخشی از حافظه خودش در مرتبه اول که درخواست آی پی گوگل را دادید، این آی پی را برای آدرس گوگل ذخیره میکند، در مرتبه دوم اگر دستگاه دیگری در شبکه شما اقدام به درخواست آدرس آی پی گوگل کرد، مودم بدون اینکه درخواستی به دی ان اس سرور خارجی ارسال نماید، از حافظه خودش، آدرس آیی پی گوگل را برای شما ارسال نموده و سرعت کار را بالا برده و ترافیک شبکه را پایین می آورد.
در داخل سیستم عامل شما مانند ویندوز نیز چنین حافظه کشی برای نگهداری درخواست های قبلی وجود دارد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر آدرس آی پی سایت درخواست شده شما، در مودم یا روتر نباشد، درخواست را به سوی اینترنت و آی اس پی ارسال می کند.
سپس روتر بالا دستی در آی اس پی آنرا چک میکند و اگر اطلاعات در آن موجود نباشد، در مرحله بعدی به روتر بالاتر میفرستد، تا نهایت مثلا به سرورهای جهانی مانند گوگل برسد که جواب تمامی درخواست ها را دارد و پاسخ ارسال خواهد شد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


حالا تصور کنید که یکی از روتر های میان راه ، یا یک جناب هکری در میان راه و در مسیر عبور داده شما نشسته باشد و مسیر داده را تغییر دهد، و یا اینکه روتری در میان راه، برای یک نشانی مانند گوگل، یک آی پی ثابت تعریف شده تقلبی وارد کرده باشد، که در نتیجه پاسخ شما، تقلبی خواهد بود و شماره تلفن شخص دیگری را دریافت میکنید و نه آن شخص حقیقی که منتظر ارتباط با او هستید، سپس بدون اینکه متوجه شوید با شخص دیگری که هدف شما نبوده ارتباط برقرار کرده و مورد کلاه برداری قرار خواهید گرفت و یا در ایران بجای باز شدن وب سایت یوتیوب به سایت پیوند ها هدایت خواهید شد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ببینید Query که شما میگید ...

منم روی فایروال، سرور Unbound راه اندازی کردم که به Requestهای سمت LAN گوش بده و از طریق تونل VPN ارسال کنه.
قبلاً از طریق نشست TLS ارسال می کرد که خب Overhead زیادی داشت و عملیات Resolve کند می شد.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همه ی درخواست های DNS به مقصدی غیر از فایروال هم Redirect کردم:

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سوال این جا بود که اصلاً تمام این ها به کنار، زمانی که سرور DNS مثلاً ایرانسل باشه، مسموم کردن DNS اتفاق نمیفته. چون طبیعتاً اون ها هم Query رو به هر جا بخوان Forward کنن، باز هم توی فایروال های زیرساخت Capture میشه و در نهایت، آدرس Fake برمی گرده، در حالی که این طور نیست.
مگه این که مسیر ایرانسل جای دیگه ای باشه.

سوال این جا بود که اصلاً تمام این ها به کنار، زمانی که سرور DNS مثلاً ایرانسل باشه، مسموم کردن DNS اتفاق نمیفته. چون طبیعتاً اون ها هم Query رو به هر جا بخوان Forward کنن، باز هم توی فایروال های زیرساخت Capture میشه و در نهایت، آدرس Fake برمی گرده، در حالی که این طور نیست.
مگه این که مسیر ایرانسل جای دیگه ای باشه.

کی گفته مسموم کردن DNS در ایراسل اتفاق نمی افته ؟

من الان دستگاه کامپیوترم رو به یک مودم که دارای سیم کارت ایرانسل است متصل کردم.
چه در زمانی که درخواست DNS را مستقیم به خود مودم با آی پی 192.168.10.1 میفرستم که مطابق اون این درخواست به اولین سرور ایرانسل ارسال میشه
و چه در زمانی که در کامپیوتر خود تنظیم کرده ام که سرور DNS گوگل باشد با آی پی 8.8.8.8

در هر دو صورت درخواست من مسموم شده و آی پی جعلی برای وب سایت یوتیوب به من بازگردانده شده است.
تصاویر زیر، اثبات گفته من است :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


اینترنت ایرانسل نیز از شرکت زیرساخت تامین شده و در هر صورت داده های DNS مورد سرقت قرار گرفته و پاسخ جعلی تحویل مصرف کننده داده می شود.

کی گفته مسموم کردن DNS در ایراسل اتفاق نمی افته ؟

...

برای من دامین یه V***N Provider خارجی روی ایرانسل Resolve میشه، ولی در اینترنت مخابرات Poison میشه.