DNS 請求常被窺視
不請自來的中間人可能篡改消息。
大多數人的DNS查詢在互聯網上流經時仍然未受到保護(相當於裸跑),瀏覽器及其他軟體通過DNS查詢將域名解析成IP地址。
可能讓人大跌眼鏡的是,這是由於用來保護DNS流量的提議中的標準(比如DNSSEC和DNS-over-HTTPS)還沒有完全成熟,還沒有被廣泛採用。
舉例說,DNSSEC旨在通過對回復進行數字簽名,使任何偽造活動都暴露在軟體面前,從而防止不法分子篡改攔截的域名查詢。DNS-over-TLS和DNS-over-HTTPS也旨在實現此目的,並且加密查詢,那樣網路上的竊聽者就無法偷窺你在訪問的網站。
如果這些保護措施沒有得到廣泛採用,DNS流量仍然是未經過加密、未經身份驗證的,這意味著它們有可能被窺視和被篡改,將人們重定向到冒充是合法網站的惡意網站。
來自中美兩國大學的研究人員最近決定核實這種情況是不是屬實,結果發現:流量攔截對於取自全球樣本的住宅和蜂窩IP地址上的一小部分但重要的DNS查詢(通過TCP的DNS請求中的0.66%)來說是不爭的事實。
這群研究人員包括:來自清華大學的劉寶軍(音譯,下同)、劉朝義、段海欣和劉穎,來自得克薩斯大學達拉斯分校的周莉和昊爽,以及來自復旦大學的楊敏,他們在本周於USENIX安全研討會上發表的一篇論文(見文末)中描述了調查結果。
這篇論文題為《誰在回復我的查詢:解讀和敘述DNS解析路徑的攔截》,描述了研究人員如何建立了一個系統,以測量全球148478個住宅和蜂窩IP地址上的DNS攔截情況。
互聯網用戶可以通過手動將其應用程序和操作系統指向谷歌公共DNS(8.8.8.8)或Cloudflare(1.1.1.1)等網路服務商來選擇自己的DNS解析器。然而,人們通常接受該網路或其ISP自動提供的任何DNS解析器。
如果中間人攔截了DNS請求,這不一定是惡意的,但有可能導致不良後果。至少,它剝奪了那些互聯網用戶的選擇和隱私。
研究人員尋找欺騙用戶的指定DNS解析器的IP地址,從而偷偷攔截DNS流量的提供商。他們在研究時專註於已註冊域名並忽視敏感關鍵詞,以避免內容審查機制帶來的影響。
他們在測試的3047個服務提供商AS集合中的259個中發現了DNS查詢攔截,即佔8.5%。(研究報告使用「ASes」,這個網路術語代表自治系統,用於分配給ISP及其他組織的IP地址塊集合。)
報告聲稱,就發送到谷歌公共DNS的數據包而言,基於UDP的數據包中27.9%被攔截,相比之下,通過TCP發送的數據中約7.3%被攔截。(研究人員解釋,大多數DNS請求都是通過UDP發送的,從技術角度來看攔截UDP流量來得更容易。)
對於服務提供商們來說,谷歌DNS似乎是特別具有吸引力的攔截對象。研究人員在論文中指出:「我們還發現82個AS攔截了發送到谷歌公共DNS的DNS流量中的90%以上。」
報告提到,美國的康卡斯特有線通信公司是AS7922的控制方;研究人員發現它攔截了谷歌公共DNS流量的一小部分。
論文聲稱:「在我們從這個AS發送到谷歌DNS的13466個DNS請求中,72個(0.53%)被重定向,谷歌之外的替代解析器實際上在聯繫我們的權威域名伺服器。」
研究人員推測,處理攔截的路徑上設備只部署在了針對該AS的數量有限的子網中,讓康卡斯特客戶而不是該公司本身得以部署這些設備。
報告提到,中國的提供商攔截了最多的流量。比如說,報告特意指出中國移動涉嫌參與DNS篡改以達到牟利的目的。
報告聲稱:「舉例說,來自谷歌公共DNS的8個回復在AS9808(廣東移動)中被篡改,指向一個推廣中國移動APP的門戶網站。」
Cloudflare的密碼負責人尼克?沙利文(Nick Sullivan)在發給IT外媒The Register的電子郵件中表示,DNS缺乏加密和身份驗證被廣泛認為是互聯網上最嚴重的未打補丁的漏洞之一。
他說:「由於種種原因,這個漏洞已知被眾多網路所利用,但網路攔截DNS查詢的程度並不廣為人知。這篇論文之所以很重要,是由於它是針對DNS攔截在互聯網上的普遍性這個話題開展的最廣泛的測量研究之一。」
沙利文表示,在一些情況下,攔截率到底有多高著實令人驚訝。
他說:「研究人員發現,定向到流行的公共DNS解析器的DNS查詢的攔截率總體上很高,在一些網路中攔截率更是高達100%。並非所有攔截的DNS查詢都被篡改或被記錄,但它們有這種可能,這給在線隱私和安全帶來了巨大影響。這些發現結果表明需要更快地給這個漏洞打上補丁,為此DNS需要從一種未經加密的協議轉變成一種受強加密和身份驗證技術保護的協議。」
如果互聯網用戶有興趣想看看自己的DNS解析器是否應指向正確的目的地,研究人員還開發了一個在線測試工具,放在whatismydnsresolver.com上。
TAG:雲頭條 |