DNS-trick Netflix

Der er flere metoder og flere udbydere. En af metoderne er Smart DNS, Dynamic DNS eller GeoDNS. Du kan læse rigtig meget med en søgning:

https://www.google.dk/search?q=Smart+DNS&oq=Smart+DNS&aqs=chrome..69i57…

En udbyder er: https://www.smartdnsproxy.com/news/smart-dns-proxy/complete-guide-on-wh…

En anden: https://www.blockless.com/

Geolocation med DNS er temmelig godt beskrevet: https://www.google.dk/webhp?sourceid=chrome-instant&ion=1&espv=2&es_th=…

IP ranges er distribueret af IANA, ikke af de enkelte lande. IANA behandler også root zonen for DNS, men det er som bekendt helt adskilt fra IP tildelingen man får fra sit land. Man har så fundet på Dynamic DNS (DDNS) man kan tildele routeren. Det er nyttigt hvis ISP bruger DHCP til kundens IP tildeling. Sådan en kan være: https://billing.smartydns.com/clientarea.php

F.eks. Netflix har valgt at benytte Smart DNS til geolocation, og det er fordi det nedsætter traffik og behandling af forespørgsler, der igen gør deres service mere lukrativ. VPN er langt mere omstændig. En GeoDNS tjeneste vil først se din placering og derefter returnere DNS IP-adressen på den node som er tættest på den f.eks Netflix adresse du har valgt.

Du kan finde netværks diagrammer der skematisk viser hvordan Smart DNS serverne virker:

https://www.google.dk/search?q=how+does+dns+geolocation+work&espv=2&sou…

#1: Der er nogle firmaer, der har lavet en gang seriæst søgemaskine-optimering, for jeg synes næsten kun, der dukker overfladisk salgs-snak op i de Google-søgninger på eksempelvis "Smart Dns".

Men lige for at opridse, det som jeg udleder af dit svar og søgninger...

SMART DNS: DNS-server, der guider udvalgte opslag til en "forkert" lokation med vilje. Den forkerte lokation er så typisk en proxy, der sender trafik videre til fx. Netflix. På den måde ser Netflix kun proxyens adresse, og brugeren får de rettigheder, der følger med den adresse/placering.

Dynamisk DNS: Jeg må indrømme, at jeg ikke kan se relevansen ift. spørgsmålet.

GeoDNS: Samme metode som den teori, jeg kom med i #0. Nemlig at DNS-serveren sender videre til "nærmeste" node. Så fx. opslag på netflix.com sendes til den danske node af Netflix, når man spørger en dansk DNS-server. Her kan man så med lidt snilde pege på en DNS-server i det land, man ønsker at arve rettigheder fra.

Som jeg forstår dig, kræver det SmartDNS at "snyde" Netflix. Antageligt fordi de ikke nøjes med at bruge forskellige nodes, men også tjekker lokationen af brugerens IP-adresse (som så kan snydes ved at bruge proxy).

Korrekt opfattet?

Det må sgu være dyrt at betale Internet-forbindelsen på sådan en proxy, hvis der er ret mange tusinde brugere, der benytter sig af det? Min opfattelse er at man sagtens kan være gratist. Jeg har i hvert fald adgang til amerikansk Netflix uden at betale en rød reje, og blot ændre DNS til 146.185.187.189 (ændrer sig givetvis med tiden, men opdaterede adresser kan findes vha Google). Men måske de kan nøjes med at lave tricket på udvalgte *.netflix.com adresser, således at den data-tunge streaming kører direkte til brugeren (ingen proxy)?

Jeg har stadig ikke luret hvordan http://mylocation.org/ finder ud af hvilken DNS-server jeg benytter - nogen bud? ***update: mon det bare er client-side javascript?***

#2: Korrekt opfattet?

Ja som jeg forstår det, men jeg ville ikke kalde det at snyde. Det er en ganske fornuftig metode.

#2: Men måske de kan nøjes med at lave tricket på udvalgte *.netflix.com adresser, således at den data-tunge streaming kører direkte til brugeren (ingen proxy)?

Og derfor bliver trafikken reduceret til forskel fra VPN inklusiv VPN kryptering og belastning. Jeg tror ikke Netflix, med flere, er interesseret i andet end så mange kunder som muligt, og derfor heller ikke i hverken politiske beslutninger, ligesom jeg ikke kan se metoden øger omkostningerne til trafik. Jeg formoder medie udbyderne betaler uden trafik begrænsning.

Dynamic DNS giver mulighed for at ændre DNS-server oplysninger i realtid. Det har formentlig ikke noget med mylocation.org at gøre, men teknikken indgår muligvis hos medieudbyderne. Jeg ved ikke hvad de har besluttet, eller om de alle bruger samme metoder.

#2: Jeg har stadig ikke luret hvordan http://mylocation.org/ finder ud af hvilken DNS-server jeg benytter - nogen bud?

Formentlig vha Reverse DNS. Det skal du nok spørge mylocation.org om for et teknisk præcist svar.

mylocation.org er iøvrigt ikke i stand til at se min DNS. Den viser 80.251.195.68, men de starter med 95.209.xxx.xxx selvom en dig commando kommer tættere på 80.251.192.xxx som er en af min ISP'ers navneservere.

#3: Jeg tror ikke Netflix, med flere, er interesseret i andet end så mange kunder som muligt..

Næppe, men det er jo et spørgsmål om, hvor almindeligt det bliver. Der er jo nogle andre interessenter, der med rette kan irriteres over at jeg gennem Netlfix kan se noget indhold, som Netlfix ikke har rettigheder til i mit land. Så Netflix balancerer jo på en knivsæg mellem at maksimere antallet af kunder og holde sig på god fod med rettighedshaverne.

Formentlig vha Reverse DNS. Det skal du nok spørge mylocation.org om for et teknisk præcist svar.

Jeg kan ikke se, hvordan reverse DNS skal kunne klare det. Det er et generelt spørgsmål (mylocation.org er bare et eksempel) om hvordan en server på det store internet kan se hvilken DNS-server, jeg bruger. Som antydet i min rettelse ovenfor vil jeg tro at det er Javascript, men jeg har ikke kigget deres JS-kode igennem endnu...

#4: Som antydet i min rettelse ovenfor vil jeg tro at det er Javascript, men jeg har ikke kigget deres JS-kode igennem endnu...

Det er særdeles interessant. Hvis du finder noget, så vær så venlig at publicere det.

#4: Der er jo nogle andre interessenter, der med rette kan irriteres over at jeg gennem Netlfix kan se noget indhold, som Netlfix ikke har rettigheder til i mit land. Så Netflix balancerer jo på en knivsæg mellem at maksimere antallet af kunder og holde sig på god fod med rettighedshaverne.

Alt det der er jeg modstander af. Rettighedsindhaverne bør være interesseret i at tilpasse sig den teknologiske virkelighed hvis de ønsker at overleve, men det behøver vi ikke diskutere.

Prøv at enter http://www.kloth.net/services/nslookup.php

Skriv ns1.dotserv.net i Domain feltet (DNS server for linuxin.dk)

Skriv 208.67.222.222 (IP på OpenDNS)
Tryk på Look it up

Ifølge whois http://www.whois.com/whois/linuxin.dk er linuxin.dk handled af ns1.dotserv.net hvis IP adresse er 213.173.242.131

Hovsa. skrev forkert, rettet nu.

#6: Det er helt sikkert en af grundene til de ikke vil lade os komme ind på Netflix.com.

Jeg ved det. Det er politisk, og jeg næsten hader politikere (næsten).

#7:
Prøv at enter http://www.kloth.net/services/nslookup.php
Skriv NS35.DOMAINCONTROL.COM i Domain feltet (DNS server for linuxin.dk)
Skriv 208.67.222.222 (IP på OpenDNS)
Tryk på Look it up
Ifølge whois http://www.whois.com/whois/linuxin.com er linuxin.dk handled af NS35.DOMAINCONTROL.COM hvis IP adresse er 216.69.185.18


Har intet med sagen at gøre - du gætter i blinde ( og laver iøvrigt opslag på linuxin.com som ikke er identisk med linuxin.dk).

Whois-referencen til DNS er jo bare den DNS-tabel, som webhotellet har indtastet domænenavnet i. Det er noget helt andet at afgøre, hvilken DNS-server, som en klient (fx. en vilkårlig Netflix-bruger) rent faktisk benytter til at lave opslaget...

#9: Har intet med sagen at gøre - du gætter i blinde ( og laver iøvrigt opslag på linuxin.com som ikke er identisk med linuxin.dk).

Ja det er rettet som du ser. Ja jeg gætter i blinde. Hvordan (fanden) skulle jeg, eller andre end dem selv, vide hvad mylocation.org laver? Prøv selv at tjekke efter med tilfældige IP. fx din egen.

Forresten, hvad blev der din snak IHT til min påstand om reverse IP på telefoner? Du ville connecte med en mystisk IP du antagede var en LAN IP, og du snakkede om at evaluere, men jeg har ikke set et ord siden. Der er efterhånden gået et år.

#10: Hvordan (fanden) skulle jeg, eller andre end dem selv, vide hvad mylocation.org laver?

Lidt konstruktivt til dig: du behøver ikke forsøge at svare på alt. Hvis du ikke ved noget om et emne, kunne det være fedt, hvis du undlod at side-tracke emnet med alle mulige komplet irrelevante teorier, der ikke har andet end navnet tilfældes med emnet.

Jeg vil hellere vente på at der evt. kommer en forbi, der ved lidt om tingene end at skulle tage stilling til alverdens skøre indfald, der potentielt side-tracker diskussionen, så en evt. vidende person aldrig kommer i tale.

mylocation.org er et eksempel, som nævnt. Det generelle spørgsmål er: hvordan kan en vilkårlig server ude i verden finde ud af hvilken DNS-server, jeg har sat min PC til at bruge. Hvis du nu vidste lidt om, hvordan IP-protokoller og DNS-opslag er strikket sammen og om der er nogen bagveje, så kunne du evt. bekræfte at det ikke kan lade sig gøre server-side, men nødvendigvis må være client-side. Men hvis du ikke ved noget om det, så lad gerne være med at poste alt hvad Google nævner om DNS-opslag.

Til orientering: mylocation.org viser min primære DNS-server - også sekundet efter jeg har ændret den. Jeg selv gætter på client-side Javascript, men hører gerne fra andre, der rent faktisk ved noget om emner - dvs. andre end Frogmaster.

#10: Forresten, hvad blev der din snak IHT til min påstand om reverse IP på telefoner? Du ville connecte med en mystisk IP du antagede var en LAN IP, og du snakkede om at evaluere, men jeg har ikke set et ord siden. Der er efterhånden gået et år.

Den bør tages i rette tråd. Det var noget med at Marlar også brugte '3', og fik en IP, der mindede om den, jeg (på daværende tidspunkt også '3') selv fik tildelt. Vi havde til hensigt om vi kunne snakke sammen direkte (dvs udenom NAT-tabeller og firewalls) Men det løb ud i sandet - erindrer ikke årsagen. Beklager:)

#12: Den bør tages i rette tråd. Det var noget med at Marlar også brugte '3', og fik en IP, der mindede om den, jeg (på daværende tidspunkt også '3') selv fik tildelt. Men det løb ud i sandet - erindrer ikke årsagen. Beklager:)

Helt i orden. Jeg husker det udmærket. En "svaghed" jeg har. Jeg ved det er en reverse IP, men jeg tager naturligvis til efterretning hvis andet kan bevises ;)

#13: Jeg ved det er en reverse IP, men jeg tager naturligvis til efterretning hvis andet kan bevises ;)

* jeg kan ikke finde den gamle tråd, så nu får du helt ekstraordinært svar her *

"Klippefaste beviser" er svære at finde. Her er nogen, som man må formode ved lidt om tingene: http://www.hotmobile.org/2014/papers/hotmobile_final/hotmobile2014-fina… :
--
Cellular data ISPs typically use network address translation to share a limited number of public IP addresses among a large number of subscribers. This means that most cellular devices are provided with private IP addresses and thus unable to receive direct incoming connections from the Internet, which consequently provides some form of security against IP-based network attack.
--

Jeg tror outcome fra sidst var, at der fandtes eksempler på selskaber, der ikke brugte NAT (fx. Marlars 3G modem), men at mange selskaber brugte NAT for at begrænse brugen af IPv4 adresser.

#14: * jeg kan ikke finde den gamle tråd, så nu får du helt ekstraordinært svar her *

Tak for svaret. Det kan jeg til gengæld. Surprise?

http://www.linuxin.dk/node/21135

#12: jeg husker godt tråden nu hvor den bliver nævnt, men må indrømme at jeg havde glemt alt om den. Det tog længere tid for mig end ventet at få min 4G forbindelse hos 3, og på det tidspunkt var tråden gledet ud i tågerne. Men vi kan evt genoplive den anden tråd.

Med hensyn til Netflix, så fungerer det nogenlunde på denne måde: De enkelte netflixregioner får streamet indhold fra streamingservere på forskellige IP-adresser. Metainfo, altså selve webindholdet, kommer fra nogle andre servere. Afh. af IP-adressen tildeles man så en streamingserver når filmen startes.

Med omtalte DNS-services bliver man via en DNS-ændring omstillet til en proxy der sidder mellem brugeren og Netflix. Når man er inde på Netflix' hjemmeside, er man altså i virkeligheden på DNS-udbyderens server, som blot videresender indholdet fra Netflix. Man da proxien jo befinder sig i USA (eller hvilken region man nu har valgt), vil Netflix give dig IP-adressen på denne regions server.

Pointen er at proxien kun behøves på websiden. Streamingserveren tjekker ikke brugerens IP, og derfor er den DNS-baserede løsning langt hurtigere end en VPN som sender hele indholdet gennem tunnellen.

Jeg har selv benyttet unblock-us.com hvor man kan vælge ikke bare USA, men også fx UK, Cananda, Mexico, Danmark og de øvrige nordiske lande. Dvs man kan altså være på ferie i Spanien og alligevel se danske film på Netflix. Eller man kan vælge UK som har et anderledes reportoire end USA osv.

DNS-udbyderen viderstiller kun de services de supporter, og det er typisk streamingindhold. Men i virkeligheden kunne de spoofe alle mulige websites uden man ville ane uråd. For der ville stå det rigtige i adresselinjen. Man må blot håbe de ikke gør det! Men hvis de gjorde, røg de ud af branchen øjeblikketligt, så det holder de sig nok fra. Men er man nervøs, kan man installere en proxy som Polipo og så kun benytte DNS-udbyderen på bestemte domæner. Jeg har engang skrevet en smule om det her: http://www.linuxin.dk/node/19245#comment-69033

Netflix kunne så let som ingenting hindre brugen af disse DNS-services. De kunne blot IP-tjekke på selve streamingserveren. Så var den potte ude. Men siden de ikke gør det, må man gå ud fra at de er fuldstændig ligeglade. Kunder er kunder, så længe de betaler. Men over for tredjepart (filmselskaberne) skal de opfylde visse rimelige foranstaltninger for at overholde regionsbegrænsningerne. Og det kan de vel med rette hævde at de gør, idet det formodentligt blot er en lille bille del af brugerne der benytter den slags cowboytricks.

I øvrigt er jeg enig med Frogmaster i at regionsbegrænsning er håbløst gammeldags og har været uden relevans i årevis siden internettet globaliserede verden. Ligegyldigt hvordan jeg vender og drejer det, kan rettighedshaverne kun vinde ved at gøre indholdet tilængeligt for alle der vil betale. Det er flere kunder i butikken, ganske enkelt. Men nok om det, det er et sidespring.

Til sidst: vær nu søde ved hinanden :-)

#16: Til sidst: vær nu søde ved hinanden :-)

Det ville være fordelagtigt. Desværre ikke altid muligt. Hænger formentlig sammen med nørders ego. Kan undertiden have lidt problemer med socialisering, men er absolut en nødvendighed. Tak for din tålmodighed ;)

#16: Men i virkeligheden kunne de spoofe alle mulige websites uden man ville ane uråd. For der ville stå det rigtige i adresselinjen. Man må blot håbe de ikke gør det! Men hvis de gjorde, røg de ud af branchen øjeblikketligt, så det holder de sig nok fra.

Dette er nok en noget større risiko hvis man benytter en af de gratis services som 146.185.187.189 og andre som kan findes på fx netflixfixer.com. Dem ville jeg afgjort være betænkelig ved.

#18: Dette er nok en noget større risiko hvis man benytter en af de gratis services som 146.185.187.189 og andre som kan findes på fx netflixfixer.com. Dem ville jeg afgjort være betænkelig ved.

Enig - og tak for dit bidrag. Jeg brugte dem også kun i en "sandbox" beregnet til Netflix. Men trods alt, så vil https trafik være sikker, men problemet er så lige at overskue hvor meget af ens trafik, der er ukrypteret/usigneret.

BTW, jeg undersøgte hvilke proxies, der blev brugt med tcpdump, så nu har jeg indtastet flg. i min hosts fil, og kan ellers bruge min ISPs DNS-server og alligevel se Amerikansk Netflix. Jeg ved ikke hvor længe omtalte proxies er åbne, men dette burde være en helt safe løsning, så længe det virker:

/etc/hosts:
185.51.193.51 www.netflix.com
23.66.250.140 secure.netflix.com
176.34.179.252 presentationtracking.netflix.com
54.209.7.195 support.netflix.com
54.228.216.130 customerevents.netflix.com
185.51.193.53 cbp-us.nccp.netflix.com

Er på vej ud af døren, men vender tilbage senere :)

#19: Men trods alt, så vil https trafik være sikker

Vil det? Kunne de ikke lave et man-in-the-middle angreb? Det sker ret tit at man støder på certifikatfejl selv på "retskafne" websites fordi de ikke har husket at forny cerfitikatet mv, og tit vælger man jo at trykke accepter for at komme ind alligevel.

#19: BTW, jeg undersøgte hvilke proxies, der blev brugt med tcpdump

Tak for info. Hvordan så tcpdump kommandoen ud?

#20: Det sker ret tit at man støder på certifikatfejl selv på "retskafne" websites fordi de ikke har husket at forny cerfitikatet mv, og tit vælger man jo at trykke accepter for at komme ind alligevel

Så du mener at de certifikater, hvor man i forvejen har accepteret en exception, der er man sårbar? Det ved jeg faktisk ikke.

Men det er klart at man ikke skal bruge en fremmed (gratis) DNS, som permanent løsning. Som nævnt gjorde jeg det i et lukket miljø og kun de par timer, hvor behovet varede - derefter bør man ændre tilbage til troværdig DNS. Og mens det står på skal man selvfølgelig ikke acceptere certifikatfejl. Det har på intet tidspunkt været hensigten at bruge den fremmede DNS i længere tid af gangen, men ved at tilføje proxierne i hosts-filen istedet slipper jeg jo heldigvis helt for bekymringer.

#20: Tak for info. Hvordan så tcpdump kommandoen ud?

Jeg kiggede bare efter DNS-queries (port 53):
tcpdump -vvv -s 0 -l -i any -n port 53

Der var mange - også mange, der sluttede på netflix.com - jeg prøvede at tilføje nogle af opslagene indtil det virkede. Min liste er ikke nødvendigvis minimal.

Nu må vi se om dette her bliver til noget. Det er selvfølgelig filmskaberne og deres syge advokater der tilsyneladende er på spil igen igen:

http://ekstrabladet.dk/nyheder/samfund/nu-blokerer-netflix-din-amerikan…

Æv.

Historien er afkræftet af Netflix selv iflg. recordere.dk: http://www.recordere.dk/indhold/templates/design.aspx?articleid=12071&z…

#24: Historien er afkræftet af Netflix selv iflg. recordere.d

Godt nyt ;)