Cuando se caen los DNS, Telefónica censura

La alegría con que la gente se apresura a afirmar que Telefónica está censurando páginas dedicadas al intercambio de enlaces p2p es cuanto menos curiosa. Ciñéndonos un poco a los hechos, hace una hora he visto en el feed de Meneame que Telefónica censura Internet. En la entrada original, cuentan cómo no pueden acceder desde las ADSL de Telefónica a ciertas páginas. Afirma además que “terra aun no las capa.”

Veamos, si Terra lo único que es, bueno, era, un revendedor de ADSL de Telefónica y usa su infraestructura. Yo, como cliente de Terra voy a comprobar si tiran esas páginas. Aparentemente, el DNS falla. ¿Censura? Nada más lejos de la realidad. Lo que está pasando es que algún servidor DNS está caído. O bien los de Telefónica o bien alguno a los que se sincroniza. Si nos ponemos a mirar un poco más damos enseguida con el problema.

El asunto radica en que el Registrar de los dominios “censurados”, eNom inc. ha debido de tener un problema o bien en la sincronización o peticiones entre los DNS de Telefónica y los suyos algo ha ido mal y por eso para Telefónica esos nombres de dominio no se resuelven.

Vamos a usar un poco la maravillosa herramienta dig para arrojar algo de luz. Antes de nada, el escenario: mi casa. Como diría E.T. Tengo configurados los DNS de Telefónica 194.179.1.100 y 194.179.1.101. Si hacemos una petición a uno de los dominios afectados, como gamestorrents.com, vemos lo siguiente:

[code]theefrit@teroknor:/tmp$ dig @194.179.1.100 gamestorrents.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 gamestorrents.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 26509
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;gamestorrents.com. IN A

;; Query time: 90 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:12:41 2007
;; MSG SIZE rcvd: 35
[/code]

Parece que hay un fallo con los DNS, devuelve un SERVFAIL. Probemos ahora con otro, newpct.com:

[code]
theefrit@teroknor:/tmp$ dig @194.179.1.100 newpct.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 newpct.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 687
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;newpct.com. IN A

;; Query time: 50 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:16:33 2007
;; MSG SIZE rcvd: 28
[/code]

Mismo error. Aún no sabemos si Telefónica censura o qué está pasando. Veamos otros servidores, como los de OpenDNS:

[code]theefrit@teroknor:/tmp$ dig @208.67.222.222 newpct.com

; <<>> DiG 9.3.4 <<>> @208.67.222.222 newpct.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30966
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;newpct.com. IN A

;; ANSWER SECTION:
newpct.com. 1800 IN A 85.17.17.50

;; Query time: 220 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Mar 27 18:18:39 2007
;; MSG SIZE rcvd: 44
[/code]

La opción @IP permite fijar un servidor de DNS distinto. NOERROR, esta ha ido bien. Vale, aparentemente no tira bien la cosa con los DNS de Telefónica. ¿Qué tienen en común estos sitios que fallan? Los WHOIS dan la clave:

[code]theefrit@teroknor:/tmp$ whois newpct.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: NEWPCT.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
[/code]
[code]theefrit@teroknor:/tmp$ whois gamestorrents.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: GAMESTORRENTS.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
[/code]

Aquí vamos viendo que los dos dominios están en el mismo Registrar de DNS, ENOM, INC. Vamos a ver si Enom tira:

[code]theefrit@teroknor:/tmp$ dig @194.179.1.100 enom.com

; <<>> DiG 9.3.4 <<>> @194.179.1.100 enom.com
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 6375
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;enom.com. IN A

;; Query time: 56 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Tue Mar 27 18:22:20 2007
;; MSG SIZE rcvd: 26
[/code]

También falla. Ups. Parece que algo no tira con los DNS de Telefónica y Enom. No creo que Telefónica se cargue así por las buenas ni aunque se lo pidan los reyes de la fritanga o el clan Bardem al unísono. Más bien va a ser una caída en el servicio. Llegados a este punto, las soluciones:

  1. La sencilla y rápida: cambiar de DNS, los de OpenDNS nos pueden valer, tal como sugerían en el artículo original, 208.67.222.222 y 208.67.220.220. Cuando Telefónica resuelva la incidencia, podemos volver a los del ISP, que seguramente estarán menos cargados. Digo seguramente, nunca se sabe.
  2. La del buen samaritano: llamar al servicio técnico y dar parte, armándote de paciencia para explicar al primer operador del 902 que no es un problema con tu Outlook ni tienes virus ni te interesa comprar una casa con ADSL. Luego puedes cambiar de DNS o echarle más paciencia hasta que se resuelva el asunto.

Y como conclusión, ¿hay que saber todo esto para determinar si Telefónica censura? La respuesta es NO. Lo que hay que hacer es no precipitarse, comprobar primero que no somos nosotros los que fallamos y llamar al servicio técnico. Si sabemos un poco de por dónde van los tiros, probar un DNS distinto y si no, nos tocará cagarnos un poquito en alguien, pero no llegar al extremo de lanzar a los cuatro vientos que Telefónica está censurando páginas de p2p. No adelantemos acontecimientos, por favor.

Sosiego y calma.

Actualización 20:56: a raíz del comentario de Nukeador, sobre si afecta a todos los dominios registrados en Enom, he estado indagando más. El problema exacto es un fallo de conectividad entre los DNS de NAME-SERVICES.COM y los de Telefónica. Sus servidores de nombres, nsX.name-services.com parecen estar caídos y no responden a ping ni a ninguna solicitud desde mi conexión, que sale al mundo vía Telefónica. Si al hacer el WHOIS del dominio registrado en Enom se obtiene que los servidores de nombres son de name-services.com, como pasa con los dominios perdidos, entonces no funcionará la resolución de nombres. En el caso de Nukeador, su dominio nukeador.com tiene otros servidores de nombres, accesibles desde la red de Telefónica y por tanto, la resolución del nombre funcionará.

El comando de linux dig permite además hacer trazas para ver hasta dónde llegas directamente desde tu equipo al resolver nombres:

[code]dig @SERVIDOR_NOMBRES nombre.tld +trace[/code]

Así, podemos ver:

[code]theefrit@teroknor:~$ dig @194.179.1.100 nukeador.com +trace

; <<>> DiG 9.3.4 <<>> @194.179.1.100 nukeador.com +trace
; (1 server found)
;; global options: printcmd
. 95296 IN NS a.root-servers.net.
. 95296 IN NS b.root-servers.net.
. 95296 IN NS c.root-servers.net.
. 95296 IN NS d.root-servers.net.
. 95296 IN NS e.root-servers.net.
. 95296 IN NS f.root-servers.net.
. 95296 IN NS g.root-servers.net.
. 95296 IN NS h.root-servers.net.
. 95296 IN NS i.root-servers.net.
. 95296 IN NS j.root-servers.net.
. 95296 IN NS k.root-servers.net.
. 95296 IN NS l.root-servers.net.
. 95296 IN NS m.root-servers.net.
;; Received 436 bytes from 194.179.1.100#53(194.179.1.100) in 657 ms

com. 172800 IN NS F.GTLD-SERVERS.NET.
com. 172800 IN NS G.GTLD-SERVERS.NET.
com. 172800 IN NS H.GTLD-SERVERS.NET.
com. 172800 IN NS I.GTLD-SERVERS.NET.
com. 172800 IN NS J.GTLD-SERVERS.NET.
com. 172800 IN NS K.GTLD-SERVERS.NET.
com. 172800 IN NS L.GTLD-SERVERS.NET.
com. 172800 IN NS M.GTLD-SERVERS.NET.
com. 172800 IN NS A.GTLD-SERVERS.NET.
com. 172800 IN NS B.GTLD-SERVERS.NET.
com. 172800 IN NS C.GTLD-SERVERS.NET.
com. 172800 IN NS D.GTLD-SERVERS.NET.
com. 172800 IN NS E.GTLD-SERVERS.NET.
;; Received 502 bytes from 198.41.0.4#53(a.root-servers.net) in 1070 ms

nukeador.com. 172800 IN NS ns1.dnspropio.com.
nukeador.com. 172800 IN NS ns2.dnspropio.com.
;; Received 108 bytes from 192.35.51.30#53(F.GTLD-SERVERS.NET) in 2673 ms

nukeador.com. 14400 IN A 195.140.142.122
nukeador.com. 14400 IN NS ns2.dnspropio.com.
nukeador.com. 14400 IN NS ns1.dnspropio.com.
;; Received 92 bytes from 195.140.142.122#53(ns1.dnspropio.com) in 1461 ms
[/code]

Mientras que si intentamos lo mismo con uno de los fallidos:

[code]theefrit@teroknor:~$ dig @194.179.1.100 newpct.com +trace

; <<>> DiG 9.3.4 <<>> @194.179.1.100 newpct.com +trace
; (1 server found)
;; global options: printcmd
. 95480 IN NS a.root-servers.net.
. 95480 IN NS b.root-servers.net.
. 95480 IN NS c.root-servers.net.
. 95480 IN NS d.root-servers.net.
. 95480 IN NS e.root-servers.net.
. 95480 IN NS f.root-servers.net.
. 95480 IN NS g.root-servers.net.
. 95480 IN NS h.root-servers.net.
. 95480 IN NS i.root-servers.net.
. 95480 IN NS j.root-servers.net.
. 95480 IN NS k.root-servers.net.
. 95480 IN NS l.root-servers.net.
. 95480 IN NS m.root-servers.net.
;; Received 436 bytes from 194.179.1.100#53(194.179.1.100) in 690 ms

com. 172800 IN NS B.GTLD-SERVERS.NET.
com. 172800 IN NS C.GTLD-SERVERS.NET.
com. 172800 IN NS D.GTLD-SERVERS.NET.
com. 172800 IN NS E.GTLD-SERVERS.NET.
com. 172800 IN NS F.GTLD-SERVERS.NET.
com. 172800 IN NS G.GTLD-SERVERS.NET.
com. 172800 IN NS H.GTLD-SERVERS.NET.
com. 172800 IN NS I.GTLD-SERVERS.NET.
com. 172800 IN NS J.GTLD-SERVERS.NET.
com. 172800 IN NS K.GTLD-SERVERS.NET.
com. 172800 IN NS L.GTLD-SERVERS.NET.
com. 172800 IN NS M.GTLD-SERVERS.NET.
com. 172800 IN NS A.GTLD-SERVERS.NET.
;; Received 500 bytes from 198.41.0.4#53(a.root-servers.net) in 794 ms

newpct.com. 172800 IN NS dns1.name-services.com.
newpct.com. 172800 IN NS dns2.name-services.com.
newpct.com. 172800 IN NS dns3.name-services.com.
newpct.com. 172800 IN NS dns4.name-services.com.
newpct.com. 172800 IN NS dns5.name-services.com.
;; Received 217 bytes from 192.33.14.30#53(B.GTLD-SERVERS.NET) in 2700 ms

;; reply from unexpected source: 127.0.0.1#53, expected 216.52.184.230#53
;; Warning: ID mismatch: expected ID 21051, got 53005
;; reply from unexpected source: 127.0.0.1#53, expected 63.251.92.193#53
;; Warning: ID mismatch: expected ID 21051, got 65011
;; reply from unexpected source: 127.0.0.1#53, expected 216.52.184.230#53
;; Warning: ID mismatch: expected ID 21051, got 53005
;; reply from unexpected source: 127.0.0.1#53, expected 63.251.92.193#53
;; Warning: ID mismatch: expected ID 21051, got 65011
;; reply from unexpected source: 127.0.0.1#53, expected 64.74.96.242#53
;; Warning: ID mismatch: expected ID 21051, got 26660
;; reply from unexpected source: 127.0.0.1#53, expected 64.74.96.242#53
;; Warning: ID mismatch: expected ID 21051, got 26660
;; connection timed out; no servers could be reached
[/code]

En este caso dig se va conectando a los servidores de nombres uno detrás de otro, en vez de dejar que el primero -194.179.1.100 en este caso- resuelva conectándose a quien considere oportuno. Como se puede ver, no hay forma de llegar a los servidores de nombres de name-services.com desde la red de Telefónica.

2007
03/27
ESCRITO POR
CATEGORIA
redes
ETIQUETAS




6 comentarios

  1. Hola TheEfrit, soy el autor del artículo original.

    Una pregunta. Mi dominio, nukeador.com me devuelve como eNom pero las DNS de telefónica lo resuelven perfectamente.

    ¿Es posible que se de el caso que unos si y otros no?

  2. Nukeador, para ser un poco más exacto en la explicación, el fallo se encuentra en los servidores de nombres asociados a los dominios que están caídos. Si te fijas, los servidores de nombres o NS de estos dominios son del tipo DNS1.NAME-SERVICES.COM. Este resultado lo puedes ver en el WHOIS.

    En tu caso, si hacemos el WHOIS a tu dominio, tu servidor de nombres primario es NS1.DNSPROPIO.COM:

    [code]
    theefrit@teroknor:~$ whois nukeador.com

    Whois Server Version 2.0

    Domain names in the .com and .net domains can now be registered
    with many different competing registrars. Go to http://www.internic.net
    for detailed information.

    Domain Name: NUKEADOR.COM
    Registrar: ENOM, INC.
    Whois Server: whois.enom.com
    Referral URL: http://www.enom.com
    Name Server: NS1.DNSPROPIO.COM
    Name Server: NS2.DNSPROPIO.COM
    Status: clientDeleteProhibited
    Status: clientTransferProhibited
    Updated Date: 09-mar-2007
    Creation Date: 14-mar-2006
    Expiration Date: 14-mar-2008
    [/code]

    El problema está en los NS de NAME-SERVICES.COM no en los tuyos, NS1.DNSPROPIO.COM/NS2.DNSPROPIO.COM. Espero que esto te aclare un poco más las cosas.

  3. Muchas gracias por la aclaración, he actualizado el artículo. De todas formas, aunque ahora mismo las DNS de telefónica ya resuelven esos dominios, siempre nos quedará la duda de si fue o no un error :S , yo seguiré con las DNS de OpenDNS y mi DNS Cache local

  4. Saludos,
    Tengo un problema parecido con http://trebejos.phpnet.us en conexiones de telefonica no funciona y desde otras si que se ve la pagina. Unicamente que no son NAME-service.com. Como bien explicas en tu blog llevo una semana de “analista” en “analista” y telefonica me da largas, explicarle lo mismo una y otra vez no sirve de nada. A ver si tu me pudieras hechar un cable.

  5. Antonio, por lo que veo sí que se resuelve el subdominio:

    dig trebejos.phpnet.us @194.179.1.100

; < <>> DiG 9.4.2 < <>> trebejos.phpnet.us @194.179.1.100
;; global options:  printcmd
;; Got answer:
;; ->>HEADER< <- opcode: QUERY, status: NOERROR, id: 4845
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;trebejos.phpnet.us.		IN	A

;; ANSWER SECTION:
trebejos.phpnet.us.	86400	IN	A	209.51.196.243

;; Query time: 152 msec
;; SERVER: 194.179.1.100#53(194.179.1.100)
;; WHEN: Mon Jun  9 11:42:01 2008
;; MSG SIZE  rcvd: 52

    Lo que parece pasar a continuación es que no se conecta al servidor web en el puerto 80. NMAP dice que la máquina no responde a nada:

    Starting Nmap 4.53 ( http://insecure.org ) at 2008-06-09 11:48 CEST
    Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
    Nmap done: 1 IP address (0 hosts up) scanned in 3.100 seconds

  6. Saludos de nuevo, supongo que tienes conexion telefonica, si es asi no te funcionará. Sin embargo prueba desde otra, yo lo hago desde mi trabajo y funciona perfectamente, o desde otro operador distinto telefonica.

    Si hacemos un telnet al puerto desde una conexion NO telefonica da vida
    _____________________________
    $telnet trebejos.phpnet.us 80
    Trying 209.51.196.243…
    Connected to trebejos.phpnet.us.
    Escape character is ‘^]’.
    get
    HTTP/1.0 400 Bad Request
    Server: squid/2.7.STABLE2
    Date: Mon, 09 Jun 2008 18:01:53 GMT
    Content-Type: text/html
    Content-Length: 1021
    Expires: Mon, 09 Jun 2008 18:01:53 GMT
    X-Squid-Error: ERR_INVALID_REQ 0
    X-Cache: MISS from demil1.byetcluster.com
    X-Cache-Lookup: NONE from demil1.byetcluster.com:80
    Via: 1.0 demil1.byetcluster.com:80 (squid/2.7.STABLE2)
    Connection: close

    Si hacemos un nmap desde una conexion con telefonica ______________________________________________________
    nmap trebejos.phpnet.us -P0

    Starting Nmap 4.62 ( http://nmap.org ) at 2008-06-09 19:53 CEST
    All 1715 scanned ports on 209.51.196.243 are filtered

    Nmap done: 1 IP address (1 host up) scanned in 346.736 seconds

    Si el nmap lo hacemos desde una conexion no telefonica
    ______________________________________________________

    nmap trebejos.phpnet.us

    Starting Nmap 4.03 ( http://www.insecure.org/nmap/ ) at 2008-06-09 19:53 CEST
    Interesting ports on 209.51.196.243:
    (The 1663 ports scanned but not shown below are in state: filtered)
    PORT STATE SERVICE
    21/tcp closed ftp
    25/tcp closed smtp
    80/tcp open http
    110/tcp closed pop3
    135/tcp closed msrpc
    137/tcp closed netbios-ns
    138/tcp closed netbios-dgm
    139/tcp closed netbios-ssn
    443/tcp closed https
    445/tcp closed microsoft-ds
    446/tcp closed ddm-rdb

    Nmap finished: 1 IP address (1 host up) scanned in 1672.354 seconds

    La verdad es bastante raro para mi censura, firewall, lista negra, etc.
    Segun me comenta el admon del servidor resulta que se meten muchos hacker brasileños
    y habrán tenido que tocar los buitos a mas de un panoli que al final telefonica a baneado el dominio. Otra explicacion no me cabe, problema de enrutado ?
    ____________________________________
    traceroute desde conexion no telefonica ( ultimos 6 saltos )

    10 mad-b1-link.telia.net (213.248.81.25) 12.778 ms 12.844 ms 12.640 ms
    11 prs-bb2-link.telia.net (80.91.248.130) 37.386 ms 37.374 ms 37.264 ms
    12 prs-b4-link.telia.net (213.248.65.226) 34.030 ms 33.012 ms 32.958 ms
    13 global-124046-prs-b4.telia.net (213.248.98.122) 43.074 ms 42.596 ms 43.197 ms
    14 64.209.101.122 (64.209.101.122) 126.005 ms 125.846 ms 125.054 ms
    15 g6-1.c1.xlhost.com (206.222.25.18) 125.401 ms 126.003 ms 125.244 ms
    16 g6-1.c1.xlhost.com (206.222.25.18) 126.087 ms !A * 125.515 ms !A

    ________________________________________________________-
    traceroute desde conexion telefonica

    to trebejos.phpnet.us (209.51.196.243), 30 hops max, 40 byte packets
    1 192.168.1.1 (192.168.1.1) 0.683 ms 0.935 ms 1.670 ms
    2 192.168.153.1 (192.168.153.1) 34.925 ms 38.701 ms 42.568 ms
    3 130.Red-81-46-41.staticIP.rima-tde.net (81.46.41.130) 47.052 ms 50.160 ms 54.812 ms
    4 * * *
    5 * * *
    6 * * *
    7 * * *
    … y ahi se muere hasta el
    30 * * *

  1. 27 marzo 2007
    Enlace desde:El Rincón del Tio Nuke » Telefonica censura internet