研究证实中国移动大规模拦截 DNS 请求
绝大部分用户默认使用 ISP 分配的递归 DNS 服务器,有少部分用户会修改设置改用流行的公共 DNS 服务器。DNS 域名解析是基于信任链,但在今天这个时代信任很容易被打破。在 DNS 解析路径上拦截设备可以向用户返回虚假的 IP 地址。清华大学、得州大学和复旦大学的研究人员在本周举行的 USENIX 安全会议上发表研究报告《Who Is Answering My Queries: Understanding and Characterizing Interception of the DNS Resolution Path》(PDF),对 DNS 拦截进行了大规模的分析。 他们调查的 3047 个自治系统(AS)有 259 个拦截了 DNS 请求,其中中国最大的移动公司中移动对 DNS 请求的拦截比例远远超过其它 ISP,这基本印证了中国移动用户对其网络的体验。在涉及中国的 TCP/UDP DNS 拦截研究中,中国电信(AS4134)、中国联通(AS4837)和中移动的三个 AS(AS9808,AS56040 和 AS56041)处理了最多的 DNS 请求,中移动的三个 AS 拦截比例最少超过 20%,最多超过 45%,偏爱的方法是请求重定向。中国 ISP 用于拦截的路由器设备由思科、北京派网和神行者制造,ZDNS、Haomiao 和爱立信以及 Xinfeng DNS 重定向系统都支持 DNS 拦截(中国移动研究人员发表了一篇论文叫《基于旁路抢答机制的异网DNS管控实践》)。发送给 Google 公共 DNS 的基于 UDP 请求有 27.9% 被拦截,TCP 请求则只有 7.3%。研究人员认为,加密的 DNS over TLS 请求有助于减少 DNS 拦截。他们发布了一个在线检查工具来帮助用户检查 DNS 拦截。
原文: https://www.solidot.org/story?sid=57622
搜索更多相关主题的帖子:
DNS DNS劫持 DNS污染 DNS泄露 HTTP劫持 流量劫持