تعرفه اینترنت با استفاده از dns خارجی

[shaahani]

شما میتونید فقط از DNS سرورهای داخلی استفاده کنید و تغییراتی رو مثلا در سرعت بازشدن صفحات ببینید .
به عنوان مثال اگه شما DNS Server آی اس پی خودتون رو وارد کنید ، این سرور به شما نزدیک تره و میتونه سریع پاسخ بده اما اگه DNS Server شرکت زیرساخت رو وارد کنید و یا مثلا DNS Server گوگل ، سرور زیرساخت به شما دورتر خواهد بود و عملیات ارسال و دریافت پاسخ طولانی تر خواهد بود و یا مثلا اگه DNS Server گوگل یا یک سرور خارجی را انتخاب کرده باشید اونوقت علاوه بر این که به دورترین سرورهای زیرساخت که قبل از خروج داده از ایران وجود دارند هدایت میشید ، زمان عملیات dns hijack روی داده شما نیز به این زمان اضافه خواهد شد و در مجموع شاهد دیرترین زمان های پاسخگویی خواهید بود .
DNS Server ها بصورت پلکانی فعال میشن و کار میکنند ، به عنوان مثال من یک روتر در خانه دارم و در اون DNS Server راه اندازی میکنم ، در مراحل اولیه کاربران وقتی نیاز به بازکردن یک سایت داشته باشند ، به این DNS Server مراجعه میشه و اگه پاسخی در سرور موجود نباشه ، این سرور خودش همین سوال رو از Server بالا دستی که در اون روتر به عنوان منبع مشخص کردم می پرسه و نتیجه دریافتی رو در خودش برای مراجعه های بعدی ذخیره میکنه و به کاربر نیز تحویل میده .
به این صورت در مراجعه های بعدی برای بازشدن وب سایت ، دیگه داده اینترنتی مصرف نمیکنم و این سرور داخل منزل ، همان نتیجه سرور روی اینترنت را به کاربران من خواهد داد.

نتیجه این کار علاوه بر سرعت بسیار بیشتر ، مصرف کمتر ترافیک و پهنای باند نیز هست . بر روی شبکه اینترنت نیز داستان به همین صورت هست .
مثلا سرور ISP منبع و مرجعش سرور روتر زیرساخت مخابرات هست و روتر زیرساخت منبع و مرجع اون DNS Server گوگل ، سرورهایی از بلژیک و یا هرجای دیگه .

مسئله دیگه ای که این میان میمونه همون دادن آدرس های تقلبی هست ، اگه من در روتر داخل منزل به فرض آدرس آی پی سایت گوگل را بجای اینکه از منبع درخواست کنم در داخل سرور DNS خود روتر بصورت استاتیک مثلا تنظیم کنم با آی پی فیلترینگ مخابرات 10.10.34.35 اینجا دیگه هر کاربری درخواست آی پی گوگل رو بکنه ، ادرس از بالادستی درخواست نخواهد شد و سرورداخلی بلافاصله آدرس فیلترینگ رو برای اون کاربر برمیگردونه و همه کاربران با فیلترینگ گوگل مواجه خواهند شد.
حالا اگه در روتر علاوه بر راه اندازی این DNS سرور در بخش فایروال تنظیم کرده باشم که تمام درخواست های DNS بجای اینکه از اون عبور داده بشه بیاد و بره به DNS سرور خود روتر ، دیگه در اینجا فرقی نمیکنه کاربر من چه DNS Server مختلف خارجی یا داخلی را در دستگاه خودش تنظیم کرده باشه تمام درخواست های DNS به وسیله سرور DNS من واقع بر روی روتر داخلی پاسخ داده خواهد شد.

امیدوارم متوجه مطلب شده باشید و برای اطلاعات بیشتر میتونید روی اینترنت در مورد ساختار DNS تحقیق بیشتری انجام بدین ، برای همین هست که اگه با یک کارشناس ماهر و صادق ISP خودتون گفتگو داشته باشید ، اون به شما خواهد گفت که تفاوتی نمیکنه شما چه DNS سروری رو داخل دستگاه تنظیم کنیم و نهایتا تنها پیشنهاد مفیدش میتونه این باشه که DNS Server های خود ISP تون رو داخل دستگاه تنظیم کنید.

[محمد7966]

2-3 سال پیش وقتی یکی ازسایت های فیلتر شده رو از طریق cmd پینگ میگرفتم آدرس آی پی اون سایت رو هم به من میداد بدون اینکه فیلت ر شکن نصب کرده باشم ولی الان وقتی پینگ میگیرم به من آدرس 10.10.34.35 رو میده

یعنی دلیلش چیه که چند سال پیش آدرس سرور سایت رو میداد ولی الان آی پی 10.10.34.35 رو به من نشون میده؟

[shaahani]

چندین سال پیش سرویس DNS به درستی در ایران کار میکرد و مورد سرقت قرار نگرفته بود .
اگر شما پینگ یک وب سایت فیلتر را بگیرید و آدرس آی پی واقعی اون سایت رو به شما نشون بده (گرچه تایم اوت بده بخاطر فیلتر شدن آی پی اون) ، این یعنی اینکه DNS Server شما آدرس واقعی و اصلی رو به شما بازگردونده .
میتونید برای اطمینان از اینکه آدرس درستی دریافت کرده اید آن را با آدرس دریافتی از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مقایسه نمایید.

[shaahani]

نمونه این سرقت DNS در یک سایت SSL رو میتونم براتون در مورد سایت internetdownloadmanager.com مثال بزنم .
اگه شما از اینترنت ایران به روی این وب سایت کلیک کنید به صفحه جعلی ساخته شده داخلی بر خواهید خورد .
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

در این صفحه شما با زدن دکمه Buy به یک صفحه فروش فارسی بر خواهید خورد ! که درواقع کل سرور سایتی که به آن متصل شده اید ، جعلی و دروغین است
در زمان پینگ از کامپیوترتون با آدرس [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مواجه می شوید که شما را به همان وب سایت و سرور طراحی داخل هدایت میکند.

حالا اگر همین وب سایت را از روی اینترنت پینگ بگیرید به آدرس [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] خواهید رسید که با ف یلترشکن بازشده و به وب سایت اصلی هدایت خواهید شد .

یک وب سرور و یک وب سایت نباید دو یا چند آی پی مختلف روی شبکه اینترنت داشته باشد به این دلیل که فقط یک سرور مشخص دارد، شما اینجا با دو سرور و سایت متفاوت سروکار دارید که هردو کاملا شبیه به هم هستند ، اما فقط یکی از آنها واقعی و دیگری جعلی است .
این یک مثال از سرقت داده DNS شماست.

[آرین 0098]

حتی از اون بدتر اینکه دیتا DNS شما بجای اینکه به اون سرور خارجی برای سوال برسه ، در میان راه توسط شرکت مخابرات زیرساخت ، تغییر مسیر داده میشه و مقصد اون به یک سرور داخلی تغییر پیدا میکنه ، بنابراین شما هر آدرس DNS خارجی نیز در دستگاه خودتون تنظیم کنید باز هم اطلاعات از یک سرور داخلی به دست شما خواهد رسید .

خودتون رو با Set کردن DNS خارجی در دستگاهتون گول نزنید ، تمام درخواست های DNS شما در ایران به سمت سرور های داخلی هدایت شده و در آنجا شنود می شود .
یعنی درخواست بازکردن هر سایتی را که بکنید ، آدرس سایت برای آن سرورها ارسال شده و اون سرورها برای سایت ها ممنوع آدرس های دروغی به شما تحویل میدهند .
هیچ تفاوتی نمیکنه که چه آدرس DNS سروری را در کانکشن خود وارد کرده باشید و یا آن را به حالت خودکار گذاشته باشید.

منظور من اینه که کل DNS ایران hijack میشه . یعنی شما در ب بسمه الله وقتی میخواید درخواست کنید که آدرس آی پی سایت Youtube رو دریافت کنید ، این درخواست روی پورت 53 برای DNS Server ارسال میشه . روترهای مخابراتی ایران جوری تنظیم شدن که مقصد تمام داده های DNS روی پورت 53 که درخواست IP دارند رو به روترهای داخلی تغییر میدهند و مسیر داده شما در داخل ایران عوض شده و بجای اینکه به سروری که در تنظیمات دستگاهتون تنظیم کردین برسه ، میره و میرسه به DNS Server داخلی که کار فیلترینگ رو انجام میده .
بنابراین شما هر آدرسی داخل تنظیمات کانکشنتون بزنید به سرور ایرانی خواهید رسید و همشون یک پخ هستند !
به این نکته توجه کنید که فیلتر کردن آدرس اولیه با استفاده از dns hijack بسیار ساده تر از بستن صدها آدرس آی پی هست که هرروز نیز تغییراتی در اونها اعمال میشه .

نکاتی ظریف که حیفم اومد این تاپیک کهنه رو Bump نکنم ...

امروز مشاهده شد که حتّی با ست کردن IP Address سرویس Quad9 DNS، باز هم تعدادی Hostname از جمله یه V***N Provider خارجی، به اشتباه Resolve شد.

تنها راه، Wrapکردن ترافیک DNS توی تونل V***N یا TLS Session هست که قطعاً دانش، هزینه و زمان می خواد.

البته در بعضی سرورهای DNS داخلی مثل ایرانسل، این رفتار مشاهده نشد.
این رو چه طور تحلیل می کنید آقای شاهانی؟
چون اونا هم Query رو به هر جا بخوان Forward کنن، باز هم در فایروال های زیرساخت، سرقت میشه.

[renfield]

دوستان من یه بار یا اینترنت ipv6 ایرانسل خیلی پینگ های پایین رو برنامه قند شکن ام نشون میداد مثلا 42 میلی ثانیه تا ایسلند یا مثلا 72 میلی ثانیه تا هند

اتفاقی بود این موضوع یا راهی هست آدم از این استفاده کنه ؟ شما بلدی آقای شاهانی ؟ ممنون

[shaahani]

دوستان من یه بار یا اینترنت ipv6 ایرانسل خیلی پینگ های پایین رو برنامه قند شکن ام نشون میداد مثلا 42 میلی ثانیه تا ایسلند یا مثلا 72 میلی ثانیه تا هند

اتفاقی بود این موضوع یا راهی هست آدم از این استفاده کنه ؟ شما بلدی آقای شاهانی ؟ ممنون

آی پی ورژن 6 هنوز بسترش داخل ایران فراهم نیست، یعنی ایرانسل که این ورژن از آی پی رو به شما ارائه میده، باز موقعی که میخواد داده شما رو به خارج از کشور ارسال کنه، اون رو در بستر آی پی ورژن چهار از طریق اینترنت زیرساخت و مخابرات، ارسال میکنه

برای استفاده از آی پی ورژن 6 لازمه تمام دستگاه ها از مبدا تا مقصد بر این اساس کار کنند اما چون مخابرات ایران چنین بستری رو نداره، پس استفاده کامل از اون ممکن نیست.
فقط یک استفاده نصفه و نیمه، مثل ایرانسل میشه ازش داشت.

داشتن پینگ پایین تر، اتفاقی بوده و ممکنه در لحظاتی خاص روتر های کنترل کننده فیلترینگ برای تعمیرات یا تعویض بای پس شده باشند یا اینکه مسیر مستقیم گران قیمتی که ایران از آن برای تبادل اطلاعات استفاده نمیکند، در خارج کشور بصورت موقت و اضطراری داده های شما را منتقل کرده باشد و به این صورت شما پینگ پایین تری داشته اید.

[shaahani]

نکاتی ظریف که حیفم اومد این تاپیک کهنه رو Bump نکنم ...

امروز مشاهده شد که حتّی با ست کردن IP Address سرویس Quad9 DNS، باز هم تعدادی Hostname از جمله یه V***N Provider خارجی، به اشتباه Resolve شد.

تنها راه، Wrapکردن ترافیک DNS توی تونل V***N یا TLS Session هست که قطعاً دانش، هزینه و زمان می خواد.

البته در بعضی سرورهای DNS داخلی مثل ایرانسل، این رفتار مشاهده نشد.
این رو چه طور تحلیل می کنید آقای شاهانی؟
چون اونا هم Query رو به هر جا بخوان Forward کنن، باز هم در فایروال های زیرساخت، سرقت میشه.

ببینید Query که شما میگید، باید قابل خواندن و تشخیص دادن باشه که بعد بخوان به جایی که دوست دارند Forward کنن.
وقتی شما داده های مربوط به DNS را بجای اینکه بطور معمول ارسال کنید، از داخل تانل رمزگذاری با استفاده از رمزگذاری های مختلف ارسال کنید، این داده قابل تشخیص برای هیچ روتری در میان راه نخواهد بود.

شما اگر در روتر خود داخل منزل داده های خروجی را قبل از اینکه هیچ روتر دیگری بر روی بستر مخابراتی آنها را دریافت و تغییر جهت دهد، خوانده و سپس رمزگذاری کرده و به سرور پرو کسی ارسال نمایید، دیگر قابل ردیابی نخواهد بود.
بطور عملی در روتر میکروتیک من ، روی داده های DNS مارک گذاری انجام شده، که در تصاویر پایین بر اساس آی پی DNS Server های مورد استفاده روتر ، این مارک گذاری انجام شده است، یعنی به روتر گفته شده هر زمان مقصد داده ای ، یکی از آی پی های دی ان اس سرورها بود، داده مورد نظر را مارک کن، سپس در بخش مسیر یابی آن را به داخل تونل وی پی ان بفرست که رمزگذاری شده است.
البته میتوانستم به روتر بگویم تمام داده هایی که به مقصد پورت 53 UDP و TCP ارسال می شود را مارک گذاری کن و همین کار را روی آن انجام بده، درهر صورت نتیجه یکی خواهد بود.
درشبکه داخلی منزل من، بطور خودکار دستگاه ها DNS Server روتر من را دریافت میکنند، اما میتوانستم مابقی درخواست های دستی را نیز به اجبار به سمت روتر خود ارسال نمایم که کاربر حتی با تغییر دستی DNS نیز نتواند به جایی بجز روتر من درخواست DNS خود را ارسال نماید، مگر اینکه در دستگاه خودش رمزگذاری انجام داده باشد.

در تصاویر پایین، نحوه عملی مارک گذاری داده های خروجی دی ان اس از روتر، جهت ارسال رمزگذاری شده آن نشان داده شده است:

  محتوای مخفی: تصاویر تنظیم روتربرد میکروتیک 

تفاوتی نمیکند که از چه اینترتی استفاده کنید، به عنوان مثال روتر من همزمان از اینترنت ایرانسل و ADSL استفاده میکند و در زمان هایی که اینترنت ADSL قطع شده است، اینترنت منزل را با استفاده از مودم ایرانسل تامین میکند، از هرکدام از اینترنت ها که استفاده شود، نتیجه یکسان است و داده های دی ان اس مستقیم از طریق سرور پر وکسی و بطور سالم به شبکه من می رسد.

====
بطور خلاصه جواب شما این است که بعد از اینکه IP Address سرویس DNS مورد علاقه خود را بطور دستی در سیستم عامل خود ست کردید، باید اطمینان حاصل کنید که داده های DNS شما از طریق وی پی ان و بطور رمزگذاری شده ارسال می شود، خیلی از فیلتر شکن ها اکثر داده ها را از داخل تونل خود ارسال می کنند اما داده های DNS را بطور مستقیم و بدون رمز به سمت ISP شما ارسال میکنند، که البته تا حدی این اشکال مروبط به سیستم عامل ویندوز نیز می شود، بنابراین اگر از نرم افزار خوب و صحیحی استفاده کنید و یا اینکه مانند من از یک روتر برد مخابراتی در منزل استفاده نمایید، داده ها را میتوانید به سرور پرو کسی بطور رمزگذاری شده ارسال نمایید و از تغییر جهت آن در میانه راه توسط ISP ها و یا شرکت زیرساخت ایران جلوگیری نمایید.

[shaahani]

بجز روش پینگ گرفتن که بنظر من راه بهتری است، میتوانید از وب سایت های تست نشت دی ان اس نیز برای این منظور استفاده کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[shaahani]

بطور کلی و مختصر باید گفت DNS Server کاری شبیه به مرکز تلفن 118 داره.
شما وقتی آدرس گوگل را در مرورگر خودتون میزنید تا به وب سایت و سرویس برنامه تحت وب گوگل دسترسی پیدا کنید.
ابتدا مرورگر شما دست به کار شده و آدرس تلفن آقای گوگل را برای امکان برقراری ارتباط با آن از مرکز تلفن 118 شما می پرسد و در پاسخ آدرس تلفن و در اینترنت آدرس آی پی سایت گوگل را دریافت کرده و سپس با استفاده از آن ارتباط شما را با گوگل برقرار میکند، تا زمانی که این آی پی را نداشته باشید، ارتباط از غیرممکن است.



بنابراین ابتدا توسط DNS آدرس آی پی پرسیده می شود و سپس ارتباط برقرار می گردد.
یعنی ابتدا با DNS Server ارتباط برقرار نموده و بعد یافتن آدرس آی پی مقصد با سرور مورد نظر خود ارتباط برقرار خواهید نمود.

حال برای سرعت بخشیدن به این مرحله، از سرورهای میانی استفاده می شود، به عنوان مثال مودم شما، در بخشی از حافظه خودش در مرتبه اول که درخواست آی پی گوگل را دادید، این آی پی را برای آدرس گوگل ذخیره میکند، در مرتبه دوم اگر دستگاه دیگری در شبکه شما اقدام به درخواست آدرس آی پی گوگل کرد، مودم بدون اینکه درخواستی به دی ان اس سرور خارجی ارسال نماید، از حافظه خودش، آدرس آیی پی گوگل را برای شما ارسال نموده و سرعت کار را بالا برده و ترافیک شبکه را پایین می آورد.
در داخل سیستم عامل شما مانند ویندوز نیز چنین حافظه کشی برای نگهداری درخواست های قبلی وجود دارد.



اگر آدرس آی پی سایت درخواست شده شما، در مودم یا روتر نباشد، درخواست را به سوی اینترنت و آی اس پی ارسال می کند.
سپس روتر بالا دستی در آی اس پی آنرا چک میکند و اگر اطلاعات در آن موجود نباشد، در مرحله بعدی به روتر بالاتر میفرستد، تا نهایت مثلا به سرورهای جهانی مانند گوگل برسد که جواب تمامی درخواست ها را دارد و پاسخ ارسال خواهد شد.






حالا تصور کنید که یکی از روتر های میان راه ، یا یک جناب هکری در میان راه و در مسیر عبور داده شما نشسته باشد و مسیر داده را تغییر دهد، و یا اینکه روتری در میان راه، برای یک نشانی مانند گوگل، یک آی پی ثابت تعریف شده تقلبی وارد کرده باشد، که در نتیجه پاسخ شما، تقلبی خواهد بود و شماره تلفن شخص دیگری را دریافت میکنید و نه آن شخص حقیقی که منتظر ارتباط با او هستید، سپس بدون اینکه متوجه شوید با شخص دیگری که هدف شما نبوده ارتباط برقرار کرده و مورد کلاه برداری قرار خواهید گرفت و یا در ایران بجای باز شدن وب سایت یوتیوب به سایت پیوند ها هدایت خواهید شد.