Understanding and Characterizing Interception of the DNS Resolut...

论文PPT 谁在响应我的查询：理解和描绘DNS解析路径拦截 本文收录在第27届USENIX安全研讨会上 来自终端用户的DNS查询由递归DNS服务器处理，以实现可伸缩性。为了方便起见，当客户端选择默认的网络设置时，Internet服务提供商（ISPs）自动的为其客户分配递归服务器。但是用户也应该有使用他们喜欢的递归服务器的灵活性，比如使用公共DNS服务器。然而，这种信任可能被 隐藏的DNS解析路径的拦截（我们称之为DNS拦截）所破坏。具体来说，沿路的设备可能冒充用户指定的DNS服务器的IP地址，并暗中拦截DNS查询，从而带来隐私和安全问题。 在本文中，我们进行了大规模的沿途DNS拦截分析，并阐明了其范围和特点。我们设计了新颖的方法去检测DNS拦截，并利用全球148 478个住宅和蜂窝IP地址进行分析。结果是，我们发现在我们调查的3047个自治系统中有259个表现出DNS拦截行为，包括像中国移动这样的大型提供商。此外，我们发现拦截请求的自治系统DNS服务器可能使用过时的易受攻击的软件（2009年以前已经弃用）并且缺乏安全相关的功能，如处理DNSSEC请求。我们的工作突出关于路径上DNS拦截的问题并且为解决这些问题提出了新的见解。 ### 理解与描绘隐藏的DNS解析路径拦截 #### 概述 互联网服务提供商（ISPs）通常为他们的用户提供递归DNS服务器作为默认配置的一部分，以帮助客户端更有效地完成域名解析过程。然而，这种机制也可能引入安全隐患。当用户的递归DNS服务器请求被途中设备非法截获时，即发生了所谓的DNS拦截。此类拦截行为可能会导致隐私泄露和安全风险增加。本研究旨在深入探讨DNS拦截现象，通过一系列实验和数据分析，揭示DNS拦截的特点、范围及其对用户安全的影响。 #### DNS解析流程 DNS解析是一个涉及多个步骤的过程，包括但不限于： 1. **客户端发起请求**：用户尝试访问某个网站时，浏览器会向递归DNS服务器发送DNS查询请求。 2. **递归DNS服务器查询**：收到请求后，递归DNS服务器将通过一系列递归查询来获取目标域名对应的IP地址。这些查询可能涉及到根DNS服务器、顶级域（TLD）DNS服务器以及特定域（SLD）DNS服务器等。 3. **返回结果**：一旦找到对应的IP地址，递归DNS服务器会将结果返回给客户端。 #### DNS拦截类型 本研究基于实验结果，定义了四种主要类型的DNS拦截： 1. **正常解析**：客户端的DNS查询正常地通过递归DNS服务器到达权威名称服务器并获得响应。 2. **请求重定向**：客户端的DNS查询被中间设备拦截并重定向到另一个DNS服务器，而不是客户端所指定的服务器。 3. **请求复制**：客户端的DNS查询同时被发往客户端所指定的递归DNS服务器和其他DNS服务器，这可能导致多个响应到达客户端。 4. **直接响应**：中间设备直接伪造权威名称服务器的响应，而无需将查询转发给任何真实的DNS服务器。 #### 实验方法与数据分析 为了全面了解DNS拦截的特性及分布情况，研究人员设计了一种新颖的方法来检测DNS拦截行为，并利用来自全球148,478个住宅和蜂窝IP地址的数据进行大规模分析。研究发现，在调查的3047个自治系统（AS）中，有259个AS表现出了DNS拦截行为，其中不乏中国移动这样的大型提供商。 #### 安全隐患 进一步的研究表明，执行DNS拦截的自治系统DNS服务器可能存在以下问题： - 使用过时且易受攻击的软件版本（如2009年前的版本），这增加了被恶意利用的风险。 - 缺乏关键的安全功能支持，例如无法处理DNS安全扩展（DNSSEC）请求，这降低了整个DNS解析过程的安全性。 #### 结论与建议 通过对全球范围内DNS拦截行为的深入分析，本研究表明DNS拦截是一个不容忽视的安全问题。鉴于此，研究人员提出以下几点建议： - 提高公众对于DNS拦截现象的认识，教育用户如何保护自己的隐私和安全。 - 推动行业标准和技术的发展，加强DNS系统的安全性，例如推广DNSSEC的使用。 - 建立更加有效的监测和应对机制，及时发现并处理DNS拦截事件。 DNS拦截现象不仅影响用户体验，还可能严重威胁网络安全和个人隐私。因此，加强对DNS拦截的研究与防范措施是非常必要的。