Hola!<br><br>El día de ayer, en conversaciones con gente de un ISP bastante grande en Chile, notaron un comportamiento extraño, por decirlo de alguna manera, de al menos un root-server que estaba afectando a varias personas de Chile.<br>
<br>Este comportamiento se suscitaba al resolver dominios como <a href="http://facebook.com">facebook.com</a>, <a href="http://youtube.com">youtube.com</a> o <a href="http://twitter.com">twitter.com</a>. Y en la primera pregunta que debían resolver uno de los root-servers (el día de ayer, al menos el root que se veía afectado por el ISP fue el "I") se mostraba en vez de los referral a .COM, un set de IPs como registro "A".<br>
<br>Este es un ejemplo de lo que aparecía...<br><br clear="all">
$ dig @<a href="http://i.root-servers.net">i.root-servers.net</a> <a href="http://www.facebook.com">www.facebook.com</a> A <br><br>; <<>> DiG 9.6.1-P3 <<>> @<a href="http://i.root-servers.net">i.root-servers.net</a> <a href="http://www.facebook.com">www.facebook.com</a> A<br>
; (1 server found)<br>;; global options: +cmd<br>;; Got answer:<br>;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7448<br>;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0<br><br>;; QUESTION SECTION:<br>
;<a href="http://www.facebook.com">www.facebook.com</a>. IN A<br><br>;; ANSWER SECTION:<br><a href="http://www.facebook.com">www.facebook.com</a>. 86400 IN A 8.7.198.45<br><br>;; Query time: 444 msec<br>
;; SERVER: 192.36.148.17#53(192.36.148.17)<br>;; WHEN: Wed Mar 24 14:21:54 2010<br>;; MSG SIZE rcvd: 66<br><br>O sea, "parecía" responder como si fuese el root-server I (ver ip abajo donde dice SERVER), pero retornaba una respuesta de un servidor con los flags "ra" activados (algo que ningún root-server debe hacer) ...todas las sospechas apuntaban a que "algo" entremedio estaba cambiando las respuestas. <br>
<br>Esta situación, no ocurría siempre que se preguntaba, pero sí ocurría lo suficiente como para que más de alguna persona no pudiese ver por momentos estos sitios.<br><br>Hoy al parecer no ha vuelto a ocurrir el problema, pero por comentarios[1] hechos por Roy Arends, un investigador de Nominet; este hecho se estaría dando desde hace algún tiempo con dominios que calzaran <a href="http://xxx.com">xxx.com</a> O sea, ni siquiera que fuese *exactamente* <a href="http://xxx.com">xxx.com</a>, sino que podría ser cualquier cosa como <a href="http://xxx.com.cero32.cl">xxx.com.cero32.cl</a> o <a href="http://xxx.com.vulcano.cl">xxx.com.vulcano.cl</a><br>
<br>Raro... muy raro.<br><br>Alguien más vio o sigue viendo este comportamiento?<br>Creo que sería interesante poder discutir este tema para ver si esto se está propagando más allá de lo que se ha visto hasta ahora.<br><br>
Saludos!<br><br>Ref: [1] <a href="https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005266.html">https://lists.dns-oarc.net/pipermail/dns-operations/2010-March/005266.html</a><br><br>-- <br>Mauricio Vergara Ereche<br>
+56 99 1241718<br>Viña del Mar/Santiago - CHILE<br><a href="http://mave.cero32.cl" target="_blank">http://mave.cero32.cl</a><br>