Jump to content
Калькуляторы

Сотовые операторы и возможность выбора альтернативных DNS-серверов

Обнаружил довольно забавный момент. Многие сотовые модемы (роутеры) по умолчанию работают в NDIS-режиме, представляясь для операционной системы, как своеобразная виртуальная сетевая карта.

При этом в момент установления соединения оборудование и ПО оператора сами "отдают" в DHCP-режиме IP-адрес, шлюз и IP DNS-сервера вашему сотовому устройству.

Так как сотовые операторы "взяли моду" блокировать доступ к некоторым сетевым ресурсам в сети интернет по велению великого и ужасного Роскомнадзора, возникает логичное желание при использовании сотового интернета задать альтернативные DNS сервера, например гуловские: 8.8.8.8 и 8.8.4.4.

Интересный момент заключается в том, что указание альтернативных DNS серверов приходится производить не до установления соединения, а уже на установленном соединении, так как операторы принудительно "засылают" в настройки сотового модема свои операторские DNS с каждым соединением, даже если вы предварительно (до установления соединения) их переназначили. При этом на установленном соединении в Windows сначала придется зайти в расширенные настройки установленного сетевого соединения, затем удалить оттуда принудительно "засланные" в момент соединения DNS оператора (обычно строка с двумя IP) и уже потом вписать туда новый DNS - 8.8.8.8 или 8.8.4.4.

Вот в такой ситуации DNS временно (до дисконнекта) будут назначены гугловские.

Особая странность в том, что на моих тестах такой трюк с принудительным "горячим" переназначением позволили проделать Мегафон, Билайн и Tele2, но категорически не позволяет это проделать МТС.

У МТС спокойно показывает после назначения в настройках установленного сотового соединения что ваш DNS - 8.8.8.8 и при этом чекинг на whoer.net показывается что реально на "внешке" ваш DNS так и остался мтсовским.

Странная маршрутизация у МТС (по крайней мере на Северном Кавказе так), вы не находите?

Share this post


Link to post
Share on other sites

Нет, сделайте VPN поверх сотового оператора и пользуйтесь любыми сайтами.

Share this post


Link to post
Share on other sites

Нет, сделайте VPN поверх сотового оператора и пользуйтесь любыми сайтами.

 

да нет, о массе способов искусственно поменять свою маршрутизацию, включая использование vpn, я, несомненно знаю. тут вся суть именно в том, что МТС на "последней миле" умудряется все равно нахлобучить свои DNS, несмотря на переназначение их на моем оборудовании. просто подобного не наблюдается у остальных сотовых операторов, а у МТС - такое есть. и так как я не люблю вопросов, на которые нет ответа, вот и пытаюсь понять как и главное, зачем они это делают.

Share this post


Link to post
Share on other sites
вот и пытаюсь понять как и главное, зачем они это делают.

Достоверно -- не знаю, но предполагаю -- средствами dpi(Deep packet inspection) трафик заворачивается на свои ДНС, либо только гугловские ДНСы каким-либо фаерволом(проверяется простой проверкой других альтернативных ДНС). Зачем -- всё просто, чтоб не придирались по поводу закона о защите детей, распространению порнографии и прочей фигне.

 

 

При желании гарантированно обойти -- используйте dnscrypt или любой другой аналог.

Edited by NewUse

Share this post


Link to post
Share on other sites

NewUse, спасибо за совет "как обойти", но интересно было в первую очередь "зачем так сделано?". Ваша версия "зачем" - интересная, но вот насчет причины (закон и т.д.) - как то мало в это верится. то есть все остальные операторы сотовой связи "забили", а МТС - белые и пушистые? мало верится. а вот если подумать о "зачем?" с точки зрения облегчения мониторинга трафика и облегчения работы известных решений от сами знаете каких структур на оборудовании провайдера - это видится более вероятной причиной.

Share this post


Link to post
Share on other sites
то есть все остальные операторы сотовой связи "забили", а МТС - белые и пушистые?

скорее наоборот -- МТС-овцы излишне перестраховались....

Share this post


Link to post
Share on other sites

зачем они это делают

Можно ограничивать доступ к запрещенным ресурсам по IP-адресу. Но эффективность очень низкая.

Можно (и нужно) ограничивать доступ к ресурсам по URI. Но для этого нужен DPI, а внедрять полноценный DPI на крупных сетях достаточно дорого.

Есть половинчатое решение, когда доступ ограничивается по доменным именам, это делается с помощью DNS-сервера (на провайдерском DNS-сервере доменные имена запрещенных ресурсов форвардятся на 127.0.0.1).

Но это работает только при условии, что используются DNS-сервера провайдера. Если пользователь будет использовать сторонние DNS-сервера, то эта фильтрация не сработает.

Вот чтобы пользователь так не делал, и заворачивают весь 53/udp на свой DNS-сервер.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this