pgb píše:To jsem nějak přehlédl, že zákazník musí používat moje dns. Já mu samozřejmě nastavím svoje kontrolované, ale únos dns spojení nedělám.
Totálním řešením je třeba L7 filtr na dns provoz. Ale zase problém, pokud bude šifrován.
Spoofovat dns záznamy a podvrhávat v nich svoji IP také není korektní z důvodu lokální CA cache ve Windows. Nehledě na to, že nevygeneruješ podepsaný cert Facebooku například.
Ne jenom ve Windows, ale i v samotnem prohlizeci.