Existe uma organização da Internet para registrar reclamações sobre o sequestro de DNS do ISP?

Conheço zero países no mundo que tenham um órgão regulador que a) se importe e b) tenha o poder de penalizar o jogo sujo de falsificação de IP.

Todas as organizações internacionais carecem de b), e em nível federal você provavelmente também não terá sucesso, por exemplo:

A FCC (EUA) é provavelmente a mais popular, que se importa até certo ponto e registrará com prazer suas reclamações formais de clientes e, em seguida, recomenda que você implante o DNSSEC para mitigar problemas de segurança e admita que eles têm poder zero sobre os ISPs.

A Bundesnetzagentur (Alemanha), que se enquadra no grupo "tem o poder" (eles processam falsificação de números de telefone, baixa velocidade de internet, ToC ilegal) recentemente (em um caso semelhante) me disse expressamente que não se importavam.

Então o que você pode fazer?

• Alguns ISPs são bem conhecidos por fazer isso e admitem mais ou menos abertamente em que circunstâncias eles o fazem. É provável que você possa alterar seu contrato para evitá-lo (por exemplo, a maioria dos ISPs tem contratos de usuário final e comercial separados, o último incluindo menos travessuras).
• A ex-monopolista alemã de DSL Telekom Deutschland , em abril de 2019, parou de fornecer respostas falsas, aparentemente logo após saber sobre processos de investigação criminal sobre manipulação de dados e reclamações formais por motivos de privacidade. Eles estavam redirecionando clientes para parceiros de publicidade fornecendo registros A falsos. Como as possíveis sanções por violações de privacidade são atualmente difíceis de estimar para as empresas, a ameaça de tais disposições no GDPR etc. pode ser suficiente.

Dito isto, você ainda não sabe ao certo o seu ISP está fazendo isso , seu teste é inadequado, a velocidade com que as consultas são atualizadas não é determinística, nem mesmo para googles 8.8.8.8 (que obviamente NÃO é uma única máquina, e não executa necessariamente a mesma configuração para todas as máquinas, consulte https://peering.google.com/ ). Alguns testes igualmente inadequados (porque apenas pegando alguns casos especiais) são:

• O Google usa SERVFAIL para dig version.bind chaos txt @8.8.8.8, mas os resolvedores de cache no meio geralmente respondem (geralmente algo grosseiro).
• Consulte um nome de domínio que não esteja codificado corretamente ou seja inválido em seu respectivo TLD ( dig ?.com. in TXT @8.8.8.8) - o Google dirá NXDOMAIN, outros resolvedores dirão SERVFAIL.
• Se o seu ISP estiver fazendo isso para todas e quaisquer consultas de DNS, não apenas as do google, você pode verificar configurando um resolvedor de DNS simples (algo como dnsmasq --no-resolv --server /example.com/127.0.0.8/ --bind-interfaces --listen-address 192.0.2.1 --log-queries) e, em seguida, ver quem está consultando quando você o acessa por meio de diferentes ISPs ( dig example.com @192.0.2.1). A pista mais óbvia seria que, enquanto você consultava seu servidor diretamente, você recebeu mais respostas do que as consultas exibidas no log do resolvedor (é assim que determino se estou sendo MitM'd por um resolvedor de cache).