จากกรณี ตุรกีบล็อค Google DNS ฝั่งกูเกิลออกมาให้ข้อมูลแล้วว่า Google DNS ถูกดักทราฟฟิกโดย ISP ของตุรกีหลายราย ซึ่ง ISP เหล่านี้ใช้วิธีตั้งเซิร์ฟเวอร์ปลอมตัวเป็น Google DNS (8.8.8.8 และ 8.8.4.4) อีกทีหนึ่ง และแน่นอนว่าเซิร์ฟเวอร์ปลอมเหล่านี้บล็อคการเข้าถึง Twitter และ YouTube

กรณีนี้น่าสนใจเพราะทางการตุรกีสามารถตรวจสอบหมายเลขไอพีของผู้ใช้เน็ตในประเทศได้ว่า ผู้ใช้รายใดพยายามต่อเชื่อมไปยังเซิร์ฟเวอร์ DNS ของต่างประเทศ

นอกจากนี้ บริษัทวิเคราะห์ทราฟฟิกอินเทอร์เน็ต Renesys ยังตรวจสอบข้อมูลพบว่า ISP ตุรกีใช้วิธีเดียวกันกับ DNS ของบริษัท Level3 (4.2.2.1) ด้วย

Renesys ได้ทดลองสั่ง traceroute เปรียบเทียบการวิ่งของทราฟฟิกระหว่าง Google DNS ของจริงกับของปลอม จะเห็นว่า ping time ของปลอมนั้นสั้นกว่าของจริงมาก (น้อยกว่า 1ms) และจากการตรวจสอบของ Renessys พบว่ากูเกิลไม่มีแคชอยู่ในตุรกี ดังนั้นการที่สามารถตอบสนองคำสั่งของผู้ใช้ในเวลารวดเร็วขนาดนั้นจึงเป็นไปไม่ได้ในทางปฏิบัติ

ของจริง

ของปลอม

ที่มา - Google Online Security Blog, Renesys, Ars Technica