Ciao Simone,

Non c’e’ molto da indagare - e’ una cosa nota che Vodafone implementi il transparent DNS Proxy — ovvero tutto il traffico verso porta 53 viene mandato ai suoi server DNS, indipendentemente dal IP del server contattato.
Basta una ricerca con google “Vodafone dns”.

Tornando a DoH - dal punto di vista tecnico e’ una porcata immensa. Per di piu’, in opzione “opt-out” e’ una di quelle cose che farà impazzire gli amministratori di rete. Lato consumer, già vedo i forum pieni di “ho messo 8.8.8.8 come server dns, ma ancora non mi funziona con firefox”. Lato business, tutte le precauzioni che si usano in ambito corporate che fanno leva sul DNS improvvisamente non funzioneranno più, con bella pace della sicurezza e policy. Non oso immaginare che cosa succederà quando i DNS di clodflare non funzioneranno a dovere. Con buona pace del troubleshooting. Senza neanche citare i problemi per la magistratura quando dovrà indagare, o richiedere il blocco di qualche sito (che piaccia o no).

Ultimo, dal punto di vista della privacy, mi chiedo perche’ google, cloudflare e altri siano così generosi da implementare ed offrire “gratis” un servizio DNS. Come sappiamo bene — se non paghi per un prodotto, il prodotto sei tu. Grazie al DNS, ora google sa anche quale shop online frequenti, quale sito porno preferisci, e se anche se usi duckduckgo come motore di ricerca. Per non parlare del potere che ha nel modificare a suo piacere quali server di quale CDN indirizzare il tuo traffico, e decidere se e quali servizi puoi accedere. 
Parliamo di censura — ma qui mi viene voglia di parlare di grandissimo fratello!
Internet e’ nata come una rete distribuita, e ora e’ diventata sempre piu’ il dominio di 3/4 grandi aziende. Gestiscono il traffico, controllano l’informazione, e ora, si impossessano anche del DNS. Senza che alcuno possa fare alcun controllo.

Un caro saluto
M

-- 
Marco Mellia - Associate Professor
SmartData@PoliTO coordinator - https://smartdata.polito.it 
Dipartimento di Elettronica e Telecomunicazioni
Politecnico di Torino
Corso Duca Degli Abruzzi 24
10129 - Torino - IT
Tel: +39-011-090-4173
Cel: +39-331-6714789
Skype: mgmellia

On 31 Aug 2018, at 17:16, nexa-request@server-nexa.polito.it wrote:

Se ho capito bene Vodafone risponde sempre a tutte le query DNS al posto
del server che hai indicato tu: questo lo dimostri indicando dei server
DNS inesistenti.
E' così?


Corretto!


Come dire: il tuo server DNS di preferenza viene ignorato, e risponde
sempre V?
Se fosse così forse questo viola qualcosa di più di una manciata di RFC...


Ha senso. La cosa che mi chiedevo e' se il pacchetto della richiesta arriva
davvero al server. Non trovandomi più nel posto con Vodafone dove mi
trovavo ieri (TM), ho avuto un po' di difficoltà nell'eseguire esperimenti.

Nei limiti consentiti dal rompere le scatole ad altre persone, ho potuto
constatare che apparentemente la richiesta non arriva al server.

Per investigare ho scritto un client DNS minimale (
https://github.com/bassosimone/verrocchio) che invia una richiesta DNS a un
server TopIX che usiamo per Neubot dove stavo eseguendo netcat su '
0.0.0.0:53/udp`. Eseguendo questo test dalla rete Wind in cui mi trovo, non
ho ricevuto ovviamente risposta e ho visto la query arrivare. Quando il mio
uomo con Vodafone (TM) ha eseguito questo test, non ho visto arrivare
richieste DNS sul server ma in compenso è arrivata una risposta corretta
lato client.

Questa potrebbe essere una cosa interessante da misurare più su larga scala
con OONI quando torno dalle vacanze.

Bye,

Simone