这是一个创建于 2266 天前的主题,其中的信息可能已经有所发展或是发生改变。
路由牵引方式
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式
简单防止抢答方式已经无效了。
文字正文
1 异网 DNS 现状分析
DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。
1.1 异网 DNS 来源和影响分析
异网 DNS 流量的主要来源如下。
● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。
● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。
● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。
● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。
● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。
以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。
1.2 异网 DNS 的流量占比
现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。
1.3 异网 DNS 管控目标
逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:
● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;
● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;
● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;
● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。
2 异网 DNS 管控技术探讨
2.1 路由牵引方式
路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。
优势:部署快,现网无需新增设备投资和调整网络。
劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。
2.2 旁路抢答方式(分光镜像+抢先应答)
通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。
如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。
优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。
缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。
2.3 PBR 策略路由方式
在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。
优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。
缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。
2.4 三种异网 DNS 管控技术比较
三种异网 DNS 管控技术比较见表 1。
综合以上方案,推荐采用旁路抢答方式作为首选部署方案。
3 旁路抢答 DNS 重定向系统的部署实施
2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。
3.1 DNS 重定向系统配置
DNS 重定向系统配置见表 2。
以上信风公司服务器配置可支持 50 万 QPS 处理能力。
3.2 DNS 重定向安全装置功能模块及处理流程
经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。
(1)接收解析模块
接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。
(2)判断模块
仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。
再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。
系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。
非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。
为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。
(3)查询模块
针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。
(4)DNS 缓存模块
可以存储热点域名的解析结果,进行微秒级响应。
(5)发送模块
从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。
相应的业务流程如图 3 所示。
4 DNS 重定向系统的应用效果
无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。
4.1 质量角度评估
基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。
www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www. youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。
使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。
据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。
4.2 成本角度评估
异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。
4.3 安全角度评估
重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。
5 结束语
基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。
本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。
原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式
简单防止抢答方式已经无效了。
文字正文
1 异网 DNS 现状分析
DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。
1.1 异网 DNS 来源和影响分析
异网 DNS 流量的主要来源如下。
● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。
● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。
● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。
● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。
● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。
以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。
1.2 异网 DNS 的流量占比
现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。
1.3 异网 DNS 管控目标
逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:
● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;
● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;
● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;
● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。
2 异网 DNS 管控技术探讨
2.1 路由牵引方式
路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。
优势:部署快,现网无需新增设备投资和调整网络。
劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。
2.2 旁路抢答方式(分光镜像+抢先应答)
通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。
如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。
优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。
缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。
2.3 PBR 策略路由方式
在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。
优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。
缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。
2.4 三种异网 DNS 管控技术比较
三种异网 DNS 管控技术比较见表 1。
综合以上方案,推荐采用旁路抢答方式作为首选部署方案。
3 旁路抢答 DNS 重定向系统的部署实施
2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。
3.1 DNS 重定向系统配置
DNS 重定向系统配置见表 2。
以上信风公司服务器配置可支持 50 万 QPS 处理能力。
3.2 DNS 重定向安全装置功能模块及处理流程
经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。
(1)接收解析模块
接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。
(2)判断模块
仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。
再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。
系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。
非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。
为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。
(3)查询模块
针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。
(4)DNS 缓存模块
可以存储热点域名的解析结果,进行微秒级响应。
(5)发送模块
从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。
相应的业务流程如图 3 所示。
4 DNS 重定向系统的应用效果
无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。
4.1 质量角度评估
基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。
www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www. youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。
使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。
据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。
4.2 成本角度评估
异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。
4.3 安全角度评估
重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。
5 结束语
基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。
本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。
原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
 |
1
brick713 2018-08-23 11:03:26 +08:00
北京电信的 DNS 污染已经极其严重了
|
 |
2
passerbytiny 2018-08-23 11:12:49 +08:00
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。
用户自主修改的,它不通知用户然后给拦截了,这种要吃官司的话,他也敢写进去。 |
 |
3
R18 2018-08-23 11:16:03 +08:00  8
像这种公开技术的公司不多了,这种行为值得鼓励
|
 |
4
raysonx 2018-08-23 11:18:19 +08:00 via Android
DNS 污染说得这么高大上。什么时候 DNSsec 能普及啊。
|
 |
5
LuvF 2018-08-23 11:18:25 +08:00 via Android
走 tcp 可解吗
|
 |
6
orangeade 2018-08-23 11:18:30 +08:00
|
 |
8
Marmot 2018-08-23 11:21:12 +08:00 3
为什么要用别的 dns,他们心里真的一点逼数都没有么?
|
 |
9
xxxxxxdp 2018-08-23 11:24:03 +08:00
isp 的递归服务器再引入 dnssec 机制,对权威做数据源认证就更加完美了。
|
 |
11
ranoff 2018-08-23 11:36:37 +08:00
这骚操作,一点碧莲都不要了
|
 |
14
meteor 2018-08-23 11:40:42 +08:00
移动宽带不敢用了。解析到自己的 IP 地址,然后速度可能还很慢。
|
 |
15
taobibi OP @passerbytiny 路由牵引和 PBR 策略路由 比抢答厉害
|
 |
16
leafleave 2018-08-23 11:41:55 +08:00 via iPhone
目前这种环境,只能在家里面放一个树莓派做 dns 服务器了。不过手机数据流量还是没有办法。
|
 |
17
fantasylidong 2018-08-23 11:50:42 +08:00 via Android
@leafleave 好像安卓 9.0 支持了私人 dns
|
 |
18
mrw77 2018-08-23 11:53:51 +08:00
太好了,越来越喜欢移动了
|
 |
19
ryd994 2018-08-23 11:53:51 +08:00 via Android
非原作者请勿全文转载
|
 |
20
silencefent 2018-08-23 11:54:12 +08:00 2
关于如何抢劫你的三种方法已经申请专利了,你就好好躺好不要乱动,乱动违法
|
|
21
leafleave 2018-08-23 11:56:22 +08:00 via iPhone
@fantasylidong 唉,。iOS 没办法
|
 |
23
zealot0630 2018-08-23 12:14:25 +08:00
@raysonx dnssec 已经凉了,报文大小限制,根用的 512 位 RSA,分分钟破解掉
|
 |
24
JohnChu 2018-08-23 12:18:26 +08:00 via Android
怎么反制
|
 |
25
nodin 2018-08-23 12:18:44 +08:00 via Android
第二百八十六条 [破坏计算机信息系统罪] 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 不知道集体诉讼在中国是否有可行性。 |
 |
26
pisser 2018-08-23 12:57:55 +08:00
哈哈,差不多达到突出成就这个级别了。
|
 |
27
whileFalse 2018-08-23 13:10:10 +08:00
技术是好技术,既让无所谓的移动用户访问无所谓的网站更快,又促使有所谓的用户挑选合适的宽带提供商。
还促进了 DNS 这个本来就有安全缺陷的服务赶紧迭代。 |
 |
28
ccc008 2018-08-23 13:16:00 +08:00 6
@nodin 这条法律难道不是针对屁民的。比如最不利的情况下,我们用了自有 dns,移动可以告我们破坏了他的 dns 计算机信息系统 233
|
 |
29
iceheart 2018-08-23 13:18:46 +08:00 via Android
人不要脸,天下无敌
|
 |
31
zhangpeter 2018-08-23 13:42:49 +08:00
@silencefent 我去修改一下 DNS,你就在此地不要走动
|
 |
32
Liqianyu 2018-08-23 13:42:52 +08:00 3
1.有国情原因,移动劫持最严重。但主要是因为初期互联互通问题所导致,也不能说移动想这样做。
2.usenix 论坛说了,移动劫持是最多的,但是美国运营商一样有劫持,论文详见 https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf 3.劫持肯定是不对的。但是用户 DNS 不是 ISP DNS,造成网速慢,然后投诉,然后你说运营商能怎么办? DNS 返回的结果不适合移动访问,这个时候用户又不用移动 DNS,咋办?很多地区的移动已经越来越好,初期发展的很多问题都吃了发展晚的亏。 |
 |
33
leido 2018-08-23 13:44:56 +08:00 via Android
话说回来,谷歌和 114 的移动递归节点确实少,dnspod 和阿里好得多
|
 |
34
jandan 2018-08-23 13:45:08 +08:00
还有单独的墙 头疼
|
|
35
Liqianyu 2018-08-23 13:48:12 +08:00 1
三套方法
1.路由牵引其实就是路由劫持。参考 Ping 8.8.8.8 只有个位数延迟的地区 2.这套方法就是纯抢答 53 端口的 UDP 返回,但是和 GFW 污染一样,很容易发现。但是是旁路方式,故障率低。 3.这套方法隐蔽程度更高,但是是串联方式。不知道什么地区采用了,根据文中的方法可能采用的很少吧。文中最推荐的还是 2 另外,目前北京移动都是正常 NAP 交换+公网 IP +没发现 DNS 抢答。 希望大家能在骂的基础上理性讨论。 |
 |
36
winterbells 2018-08-23 13:53:10 +08:00 via Android
破坏计算机信息系统罪
之前越过防火墙算,现在越过 DNS 算不算呢 |
 |
37
Love4Taylor 2018-08-23 13:59:37 +08:00 via Android
目前使用 EDNS, 完美避免污染.
|
|
38
passerbytiny 2018-08-23 14:17:10 +08:00
@Liqianyu 纯粹胡扯。
1.3 章:“逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标: 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控; 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;” 老子嫌通知并说服客户“用移动的 DNS 网速更快”太麻烦(然而实际上只需要在宽带合同上说明就够了),并且想要 100%控制 DNS (然而 DNS 是 ISP 的责任而不是权力),所以偷偷的把客户的 DNS 拦截了:这跟强盗有啥区别 |
 |
39
lvxing 2018-08-23 14:19:11 +08:00
此专利违法,请参考去年颁布的《网络安全法》第二十二条。
|
|
40
Liqianyu 2018-08-23 14:33:43 +08:00
@passerbytiny
我没有说是对的,只是从移动的角度来思考。 看一件事要有辩证思维,要从对方的角度去思考。 1.文章里面已经说的很清楚,有些设备的 DNS 改不了。或者说一般人不会改。 2.通知客户变更,客户就一定会操作了?你以为个个都懂电脑? 3.如果说叫一线运维去改,人家能上网的情况下,会叫你进来给我改个 DNS ?你觉得客户个个都那么好说话? 4.很多一线运维也不会配置 DNS,一个一个培训...你觉得能有多大用。而且即使安装的时候改了。也有很多情况下用户自己又改了。 我不是说移动这样做是对的,但这是环境+客观因素所导致的。看一件事不能从片面的角度看。 移动真正要做的事互联互通,以及 EDNS 的普及。 |
 |
41
redsonic 2018-08-23 14:36:13 +08:00
一看就是设备商或施工方写的稿子,交给利益相关方换糖吃的,你看原文里面就有提到信封。 其实谷沟学术可搜到很多由专利代理公司专业写手给运营商的稿子,可以发现不少有趣的东西。
@raysonx 外国同行已在讨论让 DNS over TLS 取代 dnssec。不管技术怎样,好像没有大型商业公司牵头的方案最后都要歇菜。不过 DOT 出发点是给解析器提供保密性和完整性的,而 DNSSEC 是给迭代器递归链提供了完整性,说让谁取代谁好像也不合适。 |
 |
42
terrytw 2018-08-23 14:51:56 +08:00
大家有没有注意到有意思的一点?
2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。 大家知道不,114DNS 就是南京信风公司出的,哈哈哈 “部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS ” 所以我们和 114DNS 厂家合作,对用户进行强奸 |
|
43
brick713 2018-08-23 14:54:25 +08:00
@taobibi #12 嗯技术上可能不同,结果是相同的,我在电脑上配置手动的 dns 不论是什么,都会被污染,明显是阶级防火墙联合运营商搞了一套组合拳
|
 |
45
xz410236056 2018-08-23 15:05:32 +08:00
申请专利??你猜是什么人污染的??
|
 |
47
janus77 2018-08-23 15:47:02 +08:00
@ccc008 #27 我倒是觉得可行,注意条文写的是「造成系统不能正常运行」。如果移动强制修改了我的 dns,导致我访问某些网站不能正常访问或者速度慢,那就是移动的问题;但是我修改自己电脑的 dns,并没有影响到移动服务其他用户。
|
|
48
janus77 2018-08-23 15:52:25 +08:00 1
@Liqianyu #31 当然是根据具体原因来:如果我是主动修改的 dns,那出现任何问题就跟他没关系。知道主动修改的后果的用户,不会去不讲理的投诉;小部分不讲理的用户投诉,也错不在 ISP,应该不怕告才对。
反过来再想,如果我主动且知情的修改了 dns,他的强制修改又导致我访问变慢,这我该不该投诉他? |
 |
49
chenshaoju 2018-08-23 17:26:05 +08:00 1
实际上还是带宽惹得祸,移动不光有 DNS 劫持,还有 HTTP 劫持。
在不考虑广告劫持的大部分情况下,其实是移动到电信和联通的接口带宽比较紧张,网间结算费用也高,而电信联通又不愿意出售更多带宽给移动。 结果就是移动不得不靠 DNS/HTTP 劫持导向到自己搭建的 Cache 上,这些乱七八糟的研究就是这么来的。 https://twitter.com/chenshaoju/status/699499245015953408 |
 |
50
Shura 2018-08-23 17:32:52 +08:00
实测下来,合肥移动目前对 114 和谷歌 dns 的查询请求确实进行了挟持,但是用腾讯的 119dns 和其他小众 dns 没事,而且暂时也没发现过 HTTP 挟持,就是不知道能维持多久了。
|
 |
51
shiina 2018-08-23 18:08:15 +08:00
山东移动常年被劫持,前天 dns 好了一天(没劫持国内几个公共 dns ),然后果然是错觉,现在又劫持上了,一解析全是 127.0.0.1
|
 |
52
shiny 2018-08-23 18:09:50 +08:00
屁股决定脑袋
|
 |
53
lslqtz 2018-08-24 02:51:17 +08:00
@zealot0630 难道不能用 ECC。。
|
 |
54
biglee0304 2018-08-29 19:27:52 +08:00
我 tm 震惊了,dns 劫持这个词现在运营商自己也能坦然地拿出来吹嘘了?下面这段写的真好笑:
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。 ● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。 |
 |
55
techon 2018-09-01 04:16:54 +08:00
|
 |
56
yy77 2018-09-04 10:56:37 +08:00
主要还是 DNS 这个协议实在太老了,而且太过简单,漏洞太多。等 DNS over TLS/http 应用广泛了,这些就会失效了。总不能连一般的 http 流量也都劫持掉吧。
|
Select Language