[dns-esp] El extraño comportamiento que involucró ayer a un root-server con sitios de redes sociales

Mauricio Vergara Ereche mave en cero32.cl
Jue Mar 25 17:39:04 CLST 2010 

Hola!

El día de ayer, en conversaciones con gente de un ISP bastante grande en
Chile, notaron un comportamiento extraño, por decirlo de alguna manera, de
al menos un root-server que estaba afectando a varias personas de Chile.

Este comportamiento se suscitaba al resolver dominios como facebook.com,
youtube.com o twitter.com. Y en la primera pregunta que debían resolver uno
de los root-servers (el día de ayer, al menos el root que se veía afectado
por el ISP fue el "I") se mostraba en vez de los referral a .COM, un set de
IPs como registro "A".

Este es un ejemplo de lo que aparecía...

$ dig @i.root-servers.net www.facebook.com A

; <<>> DiG 9.6.1-P3 <<>> @i.root-servers.net www.facebook.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7448
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.facebook.com.              IN      A

;; ANSWER SECTION:
www.facebook.com.       86400   IN      A       8.7.198.45

;; Query time: 444 msec
;; SERVER: 192.36.148.17#53(192.36.148.17)
;; WHEN: Wed Mar 24 14:21:54 2010
;; MSG SIZE  rcvd: 66

O sea, "parecía" responder como si fuese el root-server I (ver ip abajo
donde dice SERVER), pero retornaba una respuesta de un servidor con los
flags "ra" activados (algo que ningún root-server debe hacer) ...todas las
sospechas apuntaban a que "algo" entremedio estaba cambiando las respuestas.


Esta situación, no ocurría siempre que se preguntaba, pero sí ocurría lo
suficiente como para que más de alguna persona no pudiese ver por momentos
estos sitios.

Hoy al parecer no ha vuelto a ocurrir el problema, pero por comentarios[1]
hechos por Roy Arends, un investigador de Nominet; este hecho se estaría
dando desde hace algún tiempo con dominios que calzaran xxx.com O sea, ni
siquiera que fuese *exactamente* xxx.com, sino que podría ser cualquier cosa
como xxx.com.cero32.cl o xxx.com.vulcano.cl

Raro... muy raro.

Alguien más vio o sigue viendo este comportamiento?
Creo que sería interesante poder discutir este tema  para ver si esto se
está propagando más allá de lo que se ha visto hasta ahora.

Saludos!

Ref: [1]
https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005266.html

-- 
Mauricio Vergara Ereche
+56 99 1241718
Viña del Mar/Santiago - CHILE
http://mave.cero32.cl
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20100325/a4f03422/attachment.html

Más información sobre la lista de distribución dns-esp