Перехват ответов от корневых DNS серверов

Ставил локально Unbound и столкнулся с ошибкой валидации DNSSEC.
Кто сталкивался с подобным? И какие варианты решения имеются? Очень хочется не сливать инфу различным DoH, DoT серверам корпорациям и при этом получать достоверные DNS записи.

Как давно РКН/провайдер занимается подобного рода пакостью? Мотивацию блокировать ресурсы, пользующиеся популярностью у простых смертных мне ясна, но в данном случае это уже вопиющая наглость.

У меня стоит adguard home который selfhosted в Нидерландах, и там проверка dnssec, все ок

С каких корневых серверов и что не резволилось?

Каким образом эта ошибка связана с темой топика?

Продиагностировать ошибку.

В DNSCrypt есть проксирующие релеи.

В целом это невозможно, если администратор NS не подписал свои записи. Протокол не предусматривает метод доверия к записям без RRSIG.

Возможность есть давно. DNS спуфинг замечен только у домру (не могу найти ссылку на сообщение валдика).

Нет ответа с DNSSEC со всех серверов перечисленных здесь https://www.internic.net/domain/named.root.

Каким образом эта ошибка связана с темой топика?

Напрямую. Спуфится ответ от корневого, возникает ошибка связанная с DNSSEC.

Пример ошибки в Unbound:

reply from <.> 192.33.4.12#53
info: query response REC_LAME: recursive but not authoritative server

В DNSCrypt есть проксирующие релеи.

Можно про это поподробнее?

Возможность есть давно. DNS спуфинг замечен только у домру (не могу найти ссылку на сообщение валдика).

На Ростелекоме тоже наблюдаю.

А если поднять впн и зайти с “другой стороны”, без использования провайдера, все будет ок?

Не знаток unbound, но для убедительности можно было бы сравнить два ответа в снифере на один запрос: напрямую и через тунель.

Пример 1, Пример 2

Понятно. Поэтому более десяти лет назад настроил себе DNSCrypt на всякий случай.

Да. Вне РФ работает, с такими же настройками.

Что таке спуфинг? Если подмена ответа, скажем, вместо 173.194.1.2 на запрос “google.com” выдает 127.0.0.1 или IP-провайдера со страничкой описания запрета, то у нас такое с 2014г, когда провайдерам приказали заблокировать украинские сайты.

В данном случае подмена не сработает и вернется ошибка из-за DNSSEC.

Вчера у меня лег двухлетний pihole на debian. Переехал на DietPi в котором установка Pihole + Unbound идет из коробки, 127.0.0.1#5353 прописывается сразу.
Полет отличный. Попробуйте.

Вероятно, там Unbound используется не в качестве рекурсивного резолвера, а просто для кэширования.
По совету @Xunlei (спасибо!) поставил DNSCrypt, пока более чем устраивает.

1 Like

И для кэширования и для обращения к корневым DNS серверам. А DNSSEC на стороне Pi-Hole.
Рад, что у Вас все получилось :relieved_face: