который работает на конечной точке и сопоставляет имена по данным lookup сервисов. Попадалось ли такое кому?

открой для себя файл хост

(1) я его только что закрыл

(0) Обычный днс сервис, он как раз этим и занимается. Почему хитрый?

А что в нём хитрого?
локально себе binkd поставь... ТОлько жену предупреди, что у тебя критические недели (штуки 4) и тебе нельзя...

(3) предполагалось получать данные по http с рандомного сервиса из наперёд заданных
(4) надо подумать

(5) Ну и что мешает ?
В том месте, где получаешь, ты соединение устанавливаешь по IP-адресу.

(0) любой кэширующий DNS поставь, например http://habrahabr.ru/post/159013/

(5)Тоесть тебе нужен обычный днс, и хитрый сервис который будет скармливать ему нужные данные.

(0) задача?

ну то есть не то, что ты там расписал в ноль, а чего ты хочешь добиться в итоге

(9) Получение данных о доменах из доверенных источников.

(11) Тогда просто нужно изучить протокол DNS и узнать адреса опрашиваемых DNS-серверов.

(0) может я тебя не понял но в качестве кэширующего можешь попробовать dnsmasq. У него много разной фигни в настройках можно накрутить: задать ДНС сервера куда перенаправлять запросы на определенные домены и т.д.

(13)+ посмотри у него в conf файле настройку
server=/domain/[IP]

судя по тому, что google public dns у меня дома и на работе выдаёт разные сети для google.com, вариант с протоколом DNS отпадает полностью

(15) приведи конкретный пример домена, гугл и прочие высоко нагруженные не со зла разные адреса отдают

(16) >>гугл и прочие высоко нагруженные не со зла разные адреса отдают
я в курсе, но иметь с гуглом одного провайдера мне в принципе не нравится

ertelecom.ru

Тебе не "хитрый DNS" нужен, а забугорный хостинг с поднятым VPN.

(19) пока так и кручусь

во, в блокнотике айпи этого гугла записывал: 188.234.130.237 net130.234.188-237.ertelecom.ru

Каким-то хреном заражается кеш роутера. А тут ещё http://www.securitylab.ru/news/449717.php пишут.

(22) Так это только в Польше работает. В России такой вирус недееспособен. У нас ДНС с российским колоритом. :)
Перейди на ipv6

(15)А что он должен одинаковые выдавать???

(24) не должен. речь о ненадежности способа.

(25)Каковы критерии надежности?
Я просто не пойму о какой надежности  идет речь?
Тебе нужно надежно получать работающий адрес, или нужно получать адрес из надежного источника? или еще что?

(26) см (11)

Айпи из (21) к гуглу, похоже, никакого отношения не имеет.

(27)И что является для тебя доверенным источником?
Системе ДНС я так понял ты не доверяешь, значит остается только вариант забивания вручную айпишников в хостс.

(28)А должен иметь?
Я думаю что нет. Вполне может, но не должен.

(29) Оффшоры. И кроме получения айпи, было бы неплохо определять момент подмены.

Адрес который тебе выдает днс должен вести на нужный ресурс.
И только.
Возможно это будет адрес принадлежащий ресурсу, возможно нет.
Это уже от ресурса зависит. Как у него внутренняя кухня устроена.

(30) На сервере открыто два http порта, которые идентифицируются nmap как гугловые, но доступ из браузера непосредственно по айпи не работает, тогда как он работает для более нормальных гуглей.

(31)Еще раз, более подробно.
Что есть офшоры в отношении днс? Независимость от местных властей?

О какой подмене идет речь?

то есть сервисы идентифицируются, а не порты

(34) типа того. привычка.

(33)Доступ по айпи не обязан работать, если это хттп, может работать только доступ по имени.
Это  скорее всего адрес балансировщика нагрузки.

(34) я сбрасывал роутер и он с настройками dhcp по-умолчанию выдавал обычные гугловые сети, дней три.

(38)Ну не пользуйся днс серверами провайдера,  если не доверяешь.
Забей гугловские стандартный гугловский днс - 4.4.4.4 или 8.8.8.8
Какие еще настройки? И кто там что будет подменять?

(39) уже сделано

Это сайт Васи Пупкина может висет на конкретном айпишнике, серьезные ресурсы никогда не дают прямой доступ к своему серверу, доступ идет через балансировщики нагрузки, сервисы защиты и прочие.
Т.е получая айпишник сайта ты получаешь на самом деле адрес входного шлюза какого нибудь CloudFlare к которому этот сайт подключен, а там уж разберутся кто ты и куда тебя направить.

(41) Эту кухню я знаю, но локальных гуглей я нигде больше не видел. Списки балансировщиков гугла искал и находил, но не самые свежие.

(40)А больше ничего не сделаешь.

Кому еще можно доверять, если не доверяешь гуглу?
Для своих сайтов (которые ты админишь) ты можешь узнать адреса и забить в хостс.
Чужие адреса только из днс, у многих они постоянно меняются.

кажется нужен DNSSec, гугл его поддерживает
кстати причина паранойи так и не озвучена. Если провайдер слишком агрессивно кеширует, то достаточно юзать гугловские или другие фри днс. Если провайдер подделывает ответы, да еще и ответы чужих серверов - без стакана в это не поверить

(44)
>> Если провайдер слишком агрессивно кеширует, то достаточно юзать гугловские или другие фри днс.

Опять же что мешает настроить свои кеширующие серверы, чтобы они сами делали рекурсию к авторитетным серверам

(44)Ну провайдер уровня Ростелекома вполне может резолвить неугодные адреса куда надо.
Достаточно частая ситуация.

Вы ещё не забывайте, что некоторые не совсем честные провайдеры предоставляют только http-доступ, причём все DNS-адреса выдаются на их Proxy-сервер, который уже сам решает, кого и куда подключать.
Просто, грамотно это делается не через dns, а через перехват трафика по 80-порту.

(22) Если модель ssl-шифрования используется только для части страницы, то вполне возможно к такой странице добавить всё, что угодно - если страница полностью шифрована, то без подделки ключа шифрования и сертификата это сделать нельзя.

(46) резолвить и модифицировать ответы 8.8.4.4 это разные статьи ) днссек курите, мне тоже интересно)

(48) Модифицировать ответы DNS-серверов - это называется DNS-proxy. В принципе, никто так делать не запрещает, если клиенту выдаётся внутренний IP-адрес.

(47) За неделю до топика, линукс начал ругаться на неверную подпись репозитория, а браузер кричал о неверном сертификате https://downloadcenter.intel.com. Потому-то я и начал бдеть.

(48)Зачем модифицировать? Модифицировать это как раз на грани фантастики.
У них же свои днс сервера, которые автоматом выдаются всем абонентам, если тот не указал другие.

(51) c 8.8.4.4 тоже врал, и с опенднс. кеши перед проверкой чистил.

(50) Ну это никак может быть не связано с DNS, на сайте установили кривой сертификат (в каком-то банк-клиенте такое было)

(53) Может быть и не связано, но с работы заходил нормально.