Los servidores DNS son un recurso muy valioso. En gran medida son los responsables de que podamos movernos por Internet con comodidad y sin vernos obligados a memorizar las direcciones IP de los servidores a los que queremos conectarnos, un esfuerzo que a la mayoría de nosotros nos resultaría inabarcable.
|
etiquetas: chromium , sobrecargando , servidores , dns , consultas , falsas
El problema es porque algunas operadoras secuestran la respuesta de dominio inexistente para utilizarla con fines propios. Y Chromium ejecuta un test al arrancar el programa para evitarlo. Ese test, es el que genera miles de millones de consultas, no lo de la barra de direcciones.
Lo de poner en la barra de direcciones una búsqueda es algo que se hizo de buena fe, y es una "feature" muy interesante. Lo de "estafar" a sus clientes impidiéndoles la neutralidad de la red, por parte de las operadoras, es la raíz del problema.
El problema es por poner en la barra de direcciones las cosas que en realidad queremos buscar en Google (o en cualquier otro buscador). El navegador tiene que ver primero si es una dirección de verdad.
El problema es porque algunas operadoras secuestran la respuesta de dominio inexistente para utilizarla con fines propios. Y Chromium ejecuta un test al arrancar el programa para evitarlo. Ese test, es el que genera miles de millones de consultas, no lo de la barra de direcciones.
Lo de poner en la barra de direcciones una búsqueda es algo que se hizo de buena fe, y es una "feature" muy interesante. Lo de "estafar" a sus clientes impidiéndoles la neutralidad de la red, por parte de las operadoras, es la raíz del problema.
Y sí, es una práctica horrible. Entre otras cosas, rompe las listas de bloqueo por DNS (DNSBL) que existen para combatir el correo no deseado.
El resumen es que para detectar si nuestro ISP es un hijodeputa que muestra páginas falsas cuando ponemos un dominio que no existe, chrome consulta 3 dominios aleatorios y si 2 dan la misma IP sabe que el ISP está secuestrando el mensaje de error, y por lo tanto cuando una consulta a un dominio resulta en esa ip, no nos muestra esa página falsa sino que nos dice que el dominio no existe.
Aunque hace años que en mis servidores SMTP solo utilizo RBL. Las listas que van embebidas en SpamAssassin consumen más que invitar a un cura a cenar.
en.wikipedia.org/wiki/Domain_Name_System-based_Blackhole_List
La forma de usar un servicio de esos era darle la vuelta al IP que quieres comprobar, añadir una dirección base y hacer una consulta de DNS con el resultado. Si te devuelven algo, la IP está en la lista y tu servidor de correo actuará en consecuencia (por ejemplo rechazando el correo). Si el resultado es NXDomain, el IP no está en la lista. Lógicamente si el resultado nunca es NXDomain porque tienes el DNS secuestrado, entonces estás jodido y no puedes usar el servicio.
Para los dominios que sí existen, se usa RBL.
En un servidor de correo nunca tienes el DNS secuestrado, porque usas tu propio servidor DNS, no el de una operadora barata para clientes residenciales.
en.wikipedia.org/wiki/Domain_Name_System-based_Blackhole_List#DNSBL_qu
No es el dominio de quien te envía correo el que consultas en el DNS sino una cadena de texto formada por el IP al revés y una dirección base. Mira la página que pongo.
Es posible que tú a ese mecanismo no le llames DNSBL y por eso pienses que estoy hablando de otra cosa, pero es uno de los nombres más aceptados.
developers.google.com/speed/public-dns
Como bien dice el artículo, el origen del problema es una prueba para evitar el secuestro de DNS por parte de ISPs sin escrúpulos.
Salu3
Sólo quería decir que yo uso Firefox.
Uso Firefox casi siempre y no he visto una página secuestrada por un operador. Solo he visto un dinasaurio que salta.
¿Qué le impide a el ISP tener un pool de direcciones "fake" y responder con distintas ip falsas a un mismo cliente?
Aún recuerdo la época de los open relays, ¿quien iba a pensar que iban a usar los servidores para mandar spam? Que si, que lo mismo éramos medio tontos, pero yo he montado servidores smtp así.
Por no hablar de las news de Usenet.
Para mi que casi todos los protocolos de los 80/90 necesitan un rediseño completo, se van parchando cosas pero la base de los protocolos es tolmundo e güeno y ya sabemos que no es así.
Esa es la actitud.
Te seguiré por meneame, espero que lo digas en cada comentario que publiques.
Salu3
Sólo en los envíos en los que se hablan de navegadores que no son Firefox.
Lo que tú reseñas son servidores DNS convencionales y que ya que estamos, usar los de Google es ya decirle todo absolutamente lo que haces en internet.
El problema es que muchos usan direccionamiento privado, y no puedes cortarlo si no quieres liarla en entornos empresariales de rebote.
Sobre protocolos, irc usa ssl desde hace mucho, y tanto stunnel como relayd hacen un puente transparente. Lo digo como usuario de Irc, usenet y nethack bajo ssh a diario.
Me suena a no morder la mano que da de comer. Es mucho mejor tirar siempre las piedras contra los ISP.
Si le cobran al usuario por su contrato, cobran caro. Si intentan que los que generan tráfico inútil (a mi, por ejemplo, todo el tráfico generado por publicidad, rastreo, cookies, etc. me parece un robo a mi contrato de servicios con mi ISP) paguen lo que gastan, dicen que nos cargamos la neutralidad de la red. Al final reciben palos por todas partes.
Sin embargo se dedican a lo mismo que esos angelitos que contribuyen a todo esto, a ganar dinero.
Se llama responsabilidad civil.
No es responsabilidad del ISP que alguien implemente una funcionalidad donde no debe.
Ahí no hay confusión porque se hace cada cosa en su sitio.
No creo que se creen todos los días miles de millones de dominios nuevos, luego es una cuestión de que o Google está haciendo continuamente peticiones de consultas de DNS de segundo nivel directamente a los Root DNS Servers o si las están haciendo a sus propios servidores de DNS, el timeout es muy corto o andan cortos de caché.
A ver si un día me animo.
Pero, respecto a la buena fe y confianza en la humanidad que tenían los que publicaron las primeras RFC me imagino que me darás la razón. Era otro mundo.
Yo no uso las DNS de los operadores desde hace décadas por eso.
Luego imagino que donarán algo a la wiki por lo menos...
La funcionalidad es utilizar la barra de direcciones para redirigir el contenido, bien al servidor de DNS si el navegador piensa que se trata de una dirección, bien a la página del buscador si piensa que es una búsqueda. Esa es la implementación errónea.
Porque lo de la violación de la neutralidad es de traca. ¿Acaso Google no redirige peticiones de entrada a Gmail a páginas que no son el gestor de correo? ¿No ofrece servicios, modificaciones de la autenticación, cambios en el servicio? ¿No roban los medios de comunicación los clics a una noticia redirigiendo a un anuncio?
Pero claro, son los ISP. Los habitualmente únicos a los que el usuario paga dinero contante y sonante. Por lo tanto, los malos. Los otros, los que lo dan "gratis", son los buenos.
Así anda el mundo.
En todo caso y para evitar robos del tipo que dice la noticia, tiro mucho de marcadores.
No deberíamos olvidarnos que no solo tiene un coste monetario sino también energético y este cada vez es mayor en internet.
Creo que deberíamos concienciarnos un poco, hay un proyecto que me encanta que es un gran ejemplo:
solar.lowtechmagazine.com/es/
Lo que hacen los ISP es redirigir el tráfico DNS y devolver respuestas que no son las que solicitamos. No puedes evitarlo: estás cautivo: una parte de Internet está fuera de tu alcance.
No hablo de navegar. Cualquier servicio de Internet se ve afectado. Por eso afecta a la neutralidad de la red.
Es para ir con paciencia.
pero cuando son muchas (articulo de ciencia por ejemplo) prefiero Links o Netsurf.
Se mitiga algo con un user.js de github por ahi, github.com/ghacksuserjs/ghacks-user.js/blob/master/README.md, pero
por defecto llama mucho a casa.
Sobre FB, lo mejor no es un contenedor, es usar un perfil externo directamente, y a ser posible bajo Sandboxie en Windows que ahora es GPL, firejail en Linux y en OpenBSD ya usa pledge por defecto, asi que ahi esfuerzo cero.
O mejor, no usar FB directamente. O m.facebook.com bajo Links y este configurando el proxy para que use Tor (127.0.0.1:9050, debes tenerlo en ejecucion en tu maquina, Linux te da el demonio ya configurado), y marcando la opcion de encaminar todo el trafico hacia Tor.
De entrada, todo es software. No hay nadie redirigiendo tráfico a mano.
Si se introduce parte de una dirección y el navegador entiende que es una petición de navegación (no de búsqueda) y el ISP secuestra la respuesta para poner un anuncio es exactamente lo mismo que si pincho en una noticia de un medio y me salta un anuncio. Técnicamente es muy distinto, lo sé, pero de cara al usuario es exactamente lo mismo, una petición de url y un secuestro para redirigir a otra página completamente distinta. No solo lo hacen los ISP. El usuario, además, está igualmente secuestrado.
Respondiéndole, si un ISP hace eso, cambie de ISP.
Y en último término, voy a defender a los ISP con esta práctica. Al final si un ISP secuestra una página de error, no secuestra la información que espera el usuario, como sí lo hace una empresa de contenidos que redirige a un sitio no solicitado en lugar de redirigir al sitio solicitado, que existe. Por poner un símil, si en una página de comercio electrónico se busca un producto, no es lo mismo que el si el proveedor no tiene ese producto en concreto, redirija a una página con un producto relacionado que sí que tiene, a que redirija a un anuncio aún teniendo el producto que se podrá ver después de pasar por el anuncio.
Por último, no veo como puede afectar a la neutralidad de la red algo que debería tener como resultado una página de error por no existir una solución a la petición. El ISP secuestra la respuesta de error, no el contenido solicitado.
Quizá es que tengo la manía de que sea la informática la que haga lo que yo le pido en lugar de pedir y esperar que la informática me entienda.
Ese scuestro que hacen los ISP afectan a otros servicios e Internet, algunos que realizan las máquinas sin nuestra intervención, impidiendo su uso. Por ejemplo, si un ordenador se sincroniza basado en NTP, y un servidor falla, pasa al siguiente. Si el ISP responde con una respuesta estúpida, ya no lo hace. En varios meses no te enteras, porque toda la operación se realiza por programas residentes. Y al final, en tu oficina empiezan a no programarse las tareas como deben, y dar errores.
Perdona amigo, pero algunos utilizamos Internet para fines serios, no para navegar por páginas llenas de publicidad.
Y te repito: no es lo mismo meter publicidad en un servicio al seguir un link (todos los protocolos HTTP se cumplen), que secuestrar un PROTOCOLO y no permitiendo que responda según sus especificaciones IETF.
Una cosa es parte de Internet. La otra, es afectar a la neutralidad de la red. No es parte del servicio del ISP.
Yo uso internet para mucho más que ir a páginas llenas de publicidad, entre otros, para trabajar. Ello no significa que sepa mucho de lo que hay debajo. Tan importante será hacer una buena sincronización como tener datos importantes que sincronizar. Así que algunos utilizamos internet para gestionar datos importantes, no para mover información de un lado para otro como si de una RFC 2544 se tratara.
Declarada mi ignorancia funcional, me da la impresión de que intenta tomarme el pelo o bien ilustra la, en mi opinión, mala calidad de programación. Así que si la respuesta no es la del estándar de fallo en la resolución de la petición del DNS, el sistema se pone a hacer lo que debería hacer si la conexión es correcta ¿Y qué puede hacer, mandar toda la información bajo reglas de custodia, con datos personales o secretos empresariales? Pues menuda programación.
Finalmente, si alguien está en un medio de comunicación y hace clic en el "supuesto" enlace a una noticia, pero el enlace apunta realmente a una página de publicidad, se podrán estar siguiendo todos los protocolos http, cumplir el estándar w3c y lo que se quiera, pero el usuario ha sido engañado. No hay que olvidar que la ley contempla el concepto de buena fe, que ha sido roto aquí tanto por el propietario de la página como por el programador que habrá demostrado una grave falta de ética.
En todo caso, cada uno ve las cosas según sus intereses y yo, como usuario digo que quien rompe la neutralidad de la red es quien manda una página cuyo código pudiera ocupar 10.000 caracteres en un monstruo de 100.000 caracteres. No concibo la neutralidad como la posibilidad de exigir poder meter toda la mierda que se le ocurra a alguien a la vez que el dueño de la red tiene que poner los medios para gestionar ese tráfico. Eso no es neutralidad, eso es abuso.
Suponte que me dices que tu nueva web se llama "foo.com" y yo me confundo al escribir (en la barra de dirección) y pongo "fu.bar"
El secuestro me afecta. Con lo que para evitarme eso chrome tiene que hacer las tres consultas incluso con una barra solo de dirección.
-------
Suponte que no existe el secuestro.
Suponte que tenemos una barra para todo.
Y yo escribo "foo bar buz" Eso jamás será un dominio por lo que no hay motivo para resolver el dns.
Yo escribo fu.bar... podría ser un dominio, y se resuelve sólo una vez, porque no hay que comprobar el ISP ha secuestrado el dominio.
----
¿dónde está el problema?
Y en la versión móvil sólo hay barra única
Otros secuestros no tienen consecuencias porque no afectan a los ISP sino a otras empresas sobre las que no se extiende ese tipo de problema.
Si Google hace su algoritmo de posicionamiento, nadie protesta y hay una legión de técnicos investigando para entender el funcionamiento del algoritmo y vender servicios de SEO. Todos ganan aparentemente. Pero el usuario no gana, incluso si es una empresa que quiere mostrar sus servicios pagará por el SEO. Esta misma empresa pondrá scripts, cookies y servicios para terceros y así sucesivamente. Nadie protestará por la neutralidad de la red.