全球域名解析DNS路徑劫持測量與分析_第1頁
全球域名解析DNS路徑劫持測量與分析_第2頁
全球域名解析DNS路徑劫持測量與分析_第3頁
全球域名解析DNS路徑劫持測量與分析_第4頁
全球域名解析DNS路徑劫持測量與分析_第5頁
已閱讀5頁,還剩45頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、全球域名解析DNS路徑劫持測量與分析誰劫持了我的DNSACM TechNews/archives.cfm?fo=2018-08-aug/aug-24-2018.htmlHackReadhttps:/hackers-can-intercept- and-manipulate-dns-queries-researchers-warn/The Registerhttps:/www.theregister.co.uk/2018/08/20/dns_interception/2媒體報道向Google DNS發(fā)送查詢請求通過查詢診斷域名,查看實際使用的解析服務(wù)器地址客戶端1:我的請求到哪去了?: AS15

2、169 Google LLC正常3向Google DNS發(fā)送查詢請求通過查詢診斷域名,查看實際使用的解析服務(wù)器地址客戶端2:: AS22781 Strong Technology, LLC不是Google的地址,異常我的請求到哪去了?4域名解析:互聯(lián)網(wǎng)活動的開始通常由解析服務(wù)器(resolver)完成5ClientRoot NS1. ?8. a.b.c.dRecursive ResolverTLD NSSLD NSrequest response45DNS解析公共DNS服務(wù)良好性能(e.g., 使用負載均衡)安全性(e.g., 支持DNSSEC)支持DNS擴展功能(e.g., EDNS Cli

3、ent Subnet)DNS解析6ClientGoogle DNS ?Alternative resolver Authoritative nameserverIm , is at a.b.c.d.劫持解析路徑, 并偽裝成指定的DNS應(yīng)答域名解析路徑劫持78網(wǎng)絡(luò)服務(wù)提供商/Members/babak_farrokhi/is-your-isp-hijacking-your-dns-traffichttps:/tutorials/find-out-isp-doing-transparent-dns-proxy/可能的劫持者外網(wǎng)DNS重定向城域網(wǎng)外網(wǎng)DNS外網(wǎng)UDP53鏡像省網(wǎng)DNS省網(wǎng)骨干核心出口

4、* /article/2016/1000-1247/1000-1247-1-1-00064.shtml可能的劫持者網(wǎng)絡(luò)服務(wù)提供商巫俊峰, 沈瀚. 基于旁路搶答機制的異網(wǎng)DNS管控實踐. 電信技術(shù)J, 20169Avast Real Site轉(zhuǎn)發(fā)用戶的DNS請求到Avast服務(wù)器默認啟用,并建議保持開啟惡意軟件反病毒軟件* /en-us/article/Antivirus-Real-Site-FAQ10可能的劫持者網(wǎng)絡(luò)服務(wù)提供商內(nèi)容審查防火墻惡意軟件反病毒軟件(E.g., Avast anti-virus)企業(yè)代理設(shè)備(E.g., Cisco Umbrella intelligent proxy

5、)11可能的劫持者問題一:解析路徑劫持現(xiàn)象,有多普遍?問題二:解析路徑劫持,都有什么特征?目錄研究背景威脅模型測量方法 結(jié)果分析Root NSTLD NSSLD NSPublic DNSClientAlternative resolver正常解析路徑 被劫持的路徑Middlebox11423On-path Device23456威脅模型ClientPublic DNS On-path DeviceAuthoritative nameserver威脅模型Alternative resolver 15請求路徑分類1 Normal resolution(正常解析)Request to 請求路徑分類2

6、 Request redirection(請求轉(zhuǎn)發(fā))Request to 威脅模型ClientPublic DNS On-path DeviceAuthoritative nameserverAlternative resolver 1617威脅模型請求路徑分類3 Request replication(請求復(fù)制)ClientPublic DNS Alternative resolver On-path DeviceAuthoritative nameserverRequest to 請求路徑分類4 Direct responding(直接應(yīng)答)18威脅模型ClientPublic DNS A

7、lternative resolver On-path DeviceAuthoritative nameserverRequest to 目錄研究背景威脅模型測量方法 結(jié)果分析方法概覽20ClientPublic DNS Alternative resolver On-path DeviceRequest to Authoritative nameserverSend DNS requests.Check where they are from.怎樣檢測路徑劫持?Phase I: Global AnalysisProxyRack: SOCKS5 residential proxy networ

8、ksLimitation: TCP traffic onlyPhase II: China-wide AnalysisA network debugger module of security softwareSimilar to NetalyzrKreibich, IMC 10Capability: TCP and UDP; Socket level21獲取觀測點RequirementsDiverse: triggering interception behaviorsControlled: allowing fine-grained analysis22Public DNSGoogle,

9、OpenDNS, Dynamic DNS, EDU DNSProtocolTCP, UDPQTYPEA, AAAA, CNAME, MX, NSQNAME (TLD)com, net, org, clubQNAMEUUID.Google.OurDomain. TLD發(fā)送DNS請求來自多個觀測點的DNS請求A wide range of requests collected23Phase# Request# IP# Country# ASProxyRack1.6 M36K1732,691Debugging tool4.6 M112K87356數(shù)據(jù)集目錄研究背景威脅模型測量方法 結(jié)果分析劫持規(guī)模有

10、多大?存在劫持流量的自治系統(tǒng)(AS)198 ASeshave intercepted traffic (of 2,691, 7.36%, TCP)2661 ASeshave intercepted traffic (of 356, 17.13%)劫持規(guī)模被劫持請求占比國內(nèi)測量結(jié)果,UDP & TCPEDU DNS(自建)27.9%7.3%16.1%2.3%12.6%0.9%9.8%1.1%去往流行公共DNS的流量,更容易被劫持劫持規(guī)模27怎樣劫持的?分路徑種類來看Normal resolutionRequest redirectionRequest replicationGoogleEDU D

11、NSOpenDNSDyn DNS72.1%87.4%83.9%22.3%9.7%7.8%6.3%直接應(yīng)答的數(shù)量很少2990.2%請求轉(zhuǎn)發(fā)的比例 請求復(fù)制的比例路徑劫持特征分AS來看(以下AS按照收集請求的總數(shù)排序,數(shù)值為占請求總數(shù)比例)30ASOrganizationRedirectionReplicationAlternative ResolverAS4134China Telecom5.19%0.2%116.9.94.* (AS4134)AS4837China Unicom4.59%0.51%202.99.96.* (AS4837)AS9808China Mobile32.49%8.85%

12、112.25.12.* (AS9808)AS56040China Mobile45.09%0.04%120.196.165.* (AS56040)AS內(nèi)部劫持特征較為復(fù)雜; 不同網(wǎng)絡(luò)之間有差異路徑劫持特征被劫持的請求更快嗎?查詢總用時(RTT)哪一種請求要快一些? better performanceRequest replication vs. Normal resolution:查詢更快Request redirection vs. Request to local resolver:非常相似32DNS查詢性能請求被復(fù)制后,產(chǎn)生兩個請求哪一個先到權(quán)威服務(wù)器?ClientPublic DNS

13、 Alternative resolver On-path DeviceRequest to Authoritative nameserverDNS查詢性能33請求被復(fù)制后,產(chǎn)生兩個請求哪一個先到權(quán)威服務(wù)器? Replicated is fasterIn AS4812, ALLreplicated requests arrive slower than their original counterparts. Replicated is slower34DNS查詢性能響應(yīng)被篡改了嗎?檢查返回的響應(yīng)是否正確大部分的響應(yīng)沒有被改動但也存在少量被篡改的響應(yīng):36Classification#Resp

14、onse ExampleClient ASGateway54AS4134, CN, China TelecomMonetization100AS9808, CN, GD MobileMisconfiguration26:1AS9808, CN, GD MobileOthers54fe80:1AS4837, CN, China Unicom對DNS響應(yīng)的篡改修改案例:流量變現(xiàn)China Mobile Group of Yunnan: advertisements of an APP.37對DNS響應(yīng)的篡改有什么安全威脅?“Not all the intercepted DNS queries w

15、ere modified or recorded, but they could be, which has huge implications for privacy and security online”(From: Nick Sullivans email to The Register)39* https:/www.theregister.co.uk/2018/08/20/dns_interception/安全威脅道德和隱私問題用戶可能并不知道自己的請求被劫持了解析服務(wù)器的安全性檢測了205個開放的解析服務(wù)器Only43% resolvers support DNSSEC40ALL

16、BINDversions should be deprecated before 2009安全威脅為什么要進行劫持?劫持服務(wù)提供者設(shè)備廠商 & 軟件平臺42“異網(wǎng)DNS收斂功能將異網(wǎng)DNS請求管控起來,將訪問調(diào)度至網(wǎng)內(nèi)資源,不僅提高 訪問體驗,同時也節(jié)約了出口流量。”“包裝響應(yīng)包使異網(wǎng)DNS請求的管控對用戶完全透明。”(某產(chǎn)品助力高校打造智能核心網(wǎng)絡(luò)服務(wù)解決方案)* /edu_net/edudown/2017luntan/zdns.pdf“優(yōu)化用戶體驗,降低安全風(fēng)險的同時,縮減網(wǎng)間流量結(jié)算成本?!保ㄎ卓》? 沈瀚. 基于旁路搶答機制的異網(wǎng)DNS管控實踐. 電信技術(shù)J, 2016)劫持目的劫持服

17、務(wù)提供者設(shè)備廠商 & 軟件平臺目的分析提高DNS查詢的安全性?優(yōu)化DNS查詢的性能?減少流量交換的成本43劫持目的有沒有解決辦法?DNSSEC* Pic from: https:/support/dnssec/解決方案45DNS加密DNS* Pic from: /blog/post/2017/12/dns-over-tls-vs-dnscrypt解決方案46DNS加密Resolver authentication (RFC8310)DNS-over-TLS (RFC7858)DNS-over-DTLS (RFC8094, experimental)DNS-over-HTTPS在線檢測工具你真正使用的解析服務(wù)器是誰?/47解決方案域名解析路徑劫持系統(tǒng)性的研究和測量,梳理不同的劫持方式和劫持者主要發(fā)現(xiàn)在全球259個AS中發(fā)現(xiàn)了被劫

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論