Разные dns сервера выдают разные айпи адреса

0ka · September 20, 2023, 4:18am

Так ведут себя не все домены, но вот пример maxcdn.bootstrapcdn.com выдает
8.8.8.8 - 104.18.11.207 и 104.18.10.207
1.1.1.1 - 188.114.99.224 и 188.114.98.224
9.9.9.9 - как и 8.8.8.8
но на некоторых доменах все 3 днса выдают разные айпи

не могу нагуглить как это называется и почему происходит, и есть ли способ получить сразу все айпи адреса

favicon · September 20, 2023, 5:08am

Ваш домен привязан к cloudflare, это cdn, он будет выдавать ближайший айпишник по доступности и гео

ValdikSS · September 20, 2023, 6:20am

Это геобалансировка. Адреса выдаются в зависимости от географического положения, как правило, пользователя, а определяется оно по EDNS Client Subnet.

bolvan · September 20, 2023, 6:23am

Даже с 1 IP адреса со временем начинают ресолвиться другие адреса.
Не только гео

LeonMskRu · September 20, 2023, 9:55am

Since June 2014, Google Public DNS automatically detects nameservers that support EDNS Client Subnet (ECS) options as defined in the IETF draft (by probing name servers at a low rate with ECS queries and caching the ECS capability), and will send queries with ECS options to such name servers automatically.[20]

0ka · September 20, 2023, 2:20pm

спасибо за ответы, т.е. получить все айпи получается довольно сложно? Пытаюсь понять на сколько выгодно цензору проверять принадлежность домена к айпи, т.е. чтобы подключения типа
ip 1.1.1.1 sni one.one.one.one проходили, а ip 5.6.7.8 sni one.one.one.one не проходили т.к. one.one.one.one не резолвится на 5.6.7.8

Snawoot · September 20, 2023, 6:49pm

Довольно сложно, общего решения нет. Есть, к примеру, всякие сканеры, которые запоминают где сертификат для этого домена засветился и такие IP-адреса сохраняют. Но это всё косвенные пути, прямого нет.

Что касается цензора, то если бы это встало проблемой, то я бы поступил так:

Принудил бы всех клиентов использовать мои DNS-серверы, а доступ к чужим обрезал бы.
На каждый DNS-запрос от клиента отвечал бы каким-то IP-адресом из своей сетки.
При приходе соединения от конкретного клиента на этот адрес из “маскировочной” сети, прозрачно проксировал бы соединение по настоящему адресу назначения (какой домен известно априори из сопоставленного адреса).

Я даже реализовал такую связку из DNS-сервера и прозрачного прокси: GitHub - Snawoot/dns44: IPv4 to IPv4 mapping DNS server

Например: приходит DNS-запрос адреса google.com. DNS ответит на него свободным случайным ИП-адресом 172.24.3.15 и запомнит, что назвал такой адрес для домена гугла. Потом, когда на порт прозрачного прокси придёт сессия на адрес 172.24.3.15, то сразу будет понятно, что настоящий запрошенный домен был гугловый и присоединиться нужно к нему на такой же порт.

А зная все домены, которые являются настоящей причиной подключений к конкретному ИП-адресу, можно фильтровать, не взирая на то, что там в SNI.

0ka · September 20, 2023, 10:36pm

ну это жестко… глобально надеюсь такое нигде не поставят

bolvan · September 21, 2023, 6:21am

Новые броузеры по умолчанию используют DoH.
Некоторые DNS ресолверы могут проверять dnssec.
В рамках обьема трафика провайдеров слишком затратно проксировать все соединения. Разве что выборочно на отдельные домены

dartraiden · September 21, 2023, 1:48pm

Крупные провайдеры типа дом.ру так и делают. Там ничего “обрезать” не нужно, достаточно заворачивать весь трафик по 53 порту на свой резолвер.

Соответственно, DNS провайдера резолвит “запрещённые” домены в IP-адрес, на котором висит заглушка провайдера “Доступ заблокирован, вот посмотрите вместо этого нашу рекламу”. Это “первая линия” блокировок, позволяющая облегчать нагрузку на DPI: раз соединение не устанавливается (пользователя отправили смотреть заглушку), то и инспектировать его не нужно.

anon94384997 · September 21, 2023, 3:58pm

Yota так не делает. Резолвит как есть. Только на facebook и instagram отвечает 127.0.0.1. Видимо, потому что признаны экстремистскими сайтами.