Как МТС подменяет DNS-ответы для своих клиентов

Один из самых простых вариантов проверки чего-нибудь сетевого «извне» на рабочем месте — проверить это на телефоне. Недавно возникла необходимость проверить доступен ли снаружи один из поддоменов компании и, как обычно, чтобы не лезть на внешние DNS-сервера, я решил воспользоваться одной из утилит под Android для получения информации от DNS-серверов (Ping & Net).

Проверка показала, что A-записи для домена есть, их две и указывают они на амазоновские айпишники, где у нас тоже есть часть сервисов. Начали разбираться и искать эти адреса, не смогли найти и решили все же сходить в наш DNS. Оказалось, что такого поддомена у нас нет во внешней сети!

Проверил ответ от гугловского DNS — тоже пусто. Решил попробовать спросить напрямую у DNS-серверов МТС, но не с телефона, а с рабочего ПК. Естественно, они отклонили запросы (сервера 134.17.1.1 и 134.17.1.0). Запрос несуществующего имени, отправленный напрямую к этим DNS-серверам с телефона из сети МТС, возвращает адреса A-записей 52.214.129.184 и 52.209.63.28. Соответственно, если вы пытаетесь зайти на любой несуществующий домен из сети МТС — у вас открывается прекрасная «информативная» рекламная страница МТС (portal.ncnd.mts.by) с (внезапно!) ошибкой 404 и кучей рекламного контента (который, на секундочку, тратит ваш трафик, если у вас не безлимит). ИМХО, такие действия вводят пользователей в заблуждение: ошибка 404 — совсем не то же самое, что «домен не найден».

В качестве одной «ложки меда в бочке дегтя» можно назвать то, что на этой же странице можно управлять данной «услугой». Т.е. отписаться от этого чудо-портала. После отписки DNS-сервера отвечают, что такого домена нет, но мобильные браузеры все равно каким-то образом редиректят на portal.ncnd.mts.by и при этом не могут его открыть. МТС, такой МТС…

Один комментарий к “Как МТС подменяет DNS-ответы для своих клиентов

  1. согласен, но если вы подменяете некоторые ответы системы своими собственными, то дали ли вы доступ ко всей полноте информации в этой системе? ведь если исключить ваш DNS-резолвер, то абонент получит другую информацию от системы. не нарушется ли тут целостность и доступность информации? или же вы мыслите свой DNS-резолвер, подменяющий ответы системы, полноправной частью информационной системы, которой позволено подменять часть информации? но с какого рожна? одно дело, когда вы отвечаете о _своём_ домене всем разное ( например, внутренним клиентам адресами из локальной сети, внешним из глобальной), но как укладывается подмена или переписывание ответов от чужих DNS-серверов в понятие доступа к информационной системе ?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *