全球域名解析DNS路径劫持测量与分析

1、全球域名解析DNS路径劫持测量与分析谁劫持了我的DNSACM TechNews/archives.cfm?fo=2018-08-aug/aug-24-2018.htmlHackReadhttps:/hackers-can-intercept- and-manipulate-dns-queries-researchers-warn/The Registerhttps:/www.theregister.co.uk/2018/08/20/dns_interception/2媒体报道向Google DNS发送查询请求通过查询诊断域名，查看实际使用的解析服务器地址客户端1：我的请求到哪去了？: AS15

2、169 Google LLC正常3向Google DNS发送查询请求通过查询诊断域名，查看实际使用的解析服务器地址客户端2：: AS22781 Strong Technology, LLC不是Google的地址，异常我的请求到哪去了？4域名解析：互联网活动的开始通常由解析服务器（resolver）完成5ClientRoot NS1. ?8. a.b.c.dRecursive ResolverTLD NSSLD NSrequest response45DNS解析公共DNS服务良好性能（e.g., 使用负载均衡）安全性（e.g., 支持DNSSEC）支持DNS扩展功能（e.g., EDNS Cli

3、ent Subnet）DNS解析6ClientGoogle DNS ?Alternative resolver Authoritative nameserverIm , is at a.b.c.d.劫持解析路径， 并伪装成指定的DNS应答域名解析路径劫持78网络服务提供商/Members/babak_farrokhi/is-your-isp-hijacking-your-dns-traffichttps:/tutorials/find-out-isp-doing-transparent-dns-proxy/可能的劫持者外网DNS重定向城域网外网DNS外网UDP53镜像省网DNS省网骨干核心出口

4、* /article/2016/1000-1247/1000-1247-1-1-00064.shtml可能的劫持者网络服务提供商巫俊峰, 沈瀚. 基于旁路抢答机制的异网DNS管控实践. 电信技术J, 20169Avast Real Site转发用户的DNS请求到Avast服务器默认启用，并建议保持开启恶意软件反病毒软件* /en-us/article/Antivirus-Real-Site-FAQ10可能的劫持者网络服务提供商内容审查防火墙恶意软件反病毒软件(E.g., Avast anti-virus)企业代理设备(E.g., Cisco Umbrella intelligent proxy

5、)11可能的劫持者问题一：解析路径劫持现象，有多普遍？问题二：解析路径劫持，都有什么特征？目录研究背景威胁模型测量方法 结果分析Root NSTLD NSSLD NSPublic DNSClientAlternative resolver正常解析路径 被劫持的路径Middlebox11423On-path Device23456威胁模型ClientPublic DNS On-path DeviceAuthoritative nameserver威胁模型Alternative resolver 15请求路径分类1 Normal resolution（正常解析）Request to 请求路径分类2

6、 Request redirection（请求转发）Request to 威胁模型ClientPublic DNS On-path DeviceAuthoritative nameserverAlternative resolver 1617威胁模型请求路径分类3 Request replication（请求复制）ClientPublic DNS Alternative resolver On-path DeviceAuthoritative nameserverRequest to 请求路径分类4 Direct responding（直接应答）18威胁模型ClientPublic DNS A

7、lternative resolver On-path DeviceAuthoritative nameserverRequest to 目录研究背景威胁模型测量方法 结果分析方法概览20ClientPublic DNS Alternative resolver On-path DeviceRequest to Authoritative nameserverSend DNS requests.Check where they are from.怎样检测路径劫持？Phase I: Global AnalysisProxyRack: SOCKS5 residential proxy networ

8、ksLimitation: TCP traffic onlyPhase II: China-wide AnalysisA network debugger module of security softwareSimilar to NetalyzrKreibich, IMC 10Capability: TCP and UDP; Socket level21获取观测点RequirementsDiverse: triggering interception behaviorsControlled: allowing fine-grained analysis22Public DNSGoogle,

9、OpenDNS, Dynamic DNS, EDU DNSProtocolTCP, UDPQTYPEA, AAAA, CNAME, MX, NSQNAME (TLD)com, net, org, clubQNAMEUUID.Google.OurDomain. TLD发送DNS请求来自多个观测点的DNS请求A wide range of requests collected23Phase# Request# IP# Country# ASProxyRack1.6 M36K1732,691Debugging tool4.6 M112K87356数据集目录研究背景威胁模型测量方法 结果分析劫持规模有

10、多大？存在劫持流量的自治系统（AS）198 ASeshave intercepted traffic (of 2,691, 7.36%, TCP)2661 ASeshave intercepted traffic (of 356, 17.13%)劫持规模被劫持请求占比国内测量结果，UDP & TCPEDU DNS（自建）27.9%7.3%16.1%2.3%12.6%0.9%9.8%1.1%去往流行公共DNS的流量，更容易被劫持劫持规模27怎样劫持的？分路径种类来看Normal resolutionRequest redirectionRequest replicationGoogleEDU D

11、NSOpenDNSDyn DNS72.1%87.4%83.9%22.3%9.7%7.8%6.3%直接应答的数量很少2990.2%请求转发的比例 请求复制的比例路径劫持特征分AS来看（以下AS按照收集请求的总数排序，数值为占请求总数比例）30ASOrganizationRedirectionReplicationAlternative ResolverAS4134China Telecom5.19%0.2%116.9.94.* (AS4134)AS4837China Unicom4.59%0.51%202.99.96.* (AS4837)AS9808China Mobile32.49%8.85%

12、112.25.12.* (AS9808)AS56040China Mobile45.09%0.04%120.196.165.* (AS56040)AS内部劫持特征较为复杂； 不同网络之间有差异路径劫持特征被劫持的请求更快吗？查询总用时（RTT）哪一种请求要快一些？ better performanceRequest replication vs. Normal resolution:查询更快Request redirection vs. Request to local resolver:非常相似32DNS查询性能请求被复制后，产生两个请求哪一个先到权威服务器？ClientPublic DNS

13、 Alternative resolver On-path DeviceRequest to Authoritative nameserverDNS查询性能33请求被复制后，产生两个请求哪一个先到权威服务器？ Replicated is fasterIn AS4812, ALLreplicated requests arrive slower than their original counterparts. Replicated is slower34DNS查询性能响应被篡改了吗？检查返回的响应是否正确大部分的响应没有被改动但也存在少量被篡改的响应：36Classification#Resp

14、onse ExampleClient ASGateway54AS4134, CN, China TelecomMonetization100AS9808, CN, GD MobileMisconfiguration26:1AS9808, CN, GD MobileOthers54fe80:1AS4837, CN, China Unicom对DNS响应的篡改修改案例：流量变现China Mobile Group of Yunnan: advertisements of an APP.37对DNS响应的篡改有什么安全威胁？“Not all the intercepted DNS queries w

15、ere modified or recorded, but they could be, which has huge implications for privacy and security online”(From: Nick Sullivans email to The Register)39* https:/www.theregister.co.uk/2018/08/20/dns_interception/安全威胁道德和隐私问题用户可能并不知道自己的请求被劫持了解析服务器的安全性检测了205个开放的解析服务器Only43% resolvers support DNSSEC40ALL

16、BINDversions should be deprecated before 2009安全威胁为什么要进行劫持？劫持服务提供者设备厂商 & 软件平台42“异网DNS收敛功能将异网DNS请求管控起来，将访问调度至网内资源，不仅提高 访问体验，同时也节约了出口流量。”“包装响应包使异网DNS请求的管控对用户完全透明。”（某产品助力高校打造智能核心网络服务解决方案）* /edu_net/edudown/2017luntan/zdns.pdf“优化用户体验，降低安全风险的同时，缩减网间流量结算成本。”（巫俊峰, 沈瀚. 基于旁路抢答机制的异网DNS管控实践. 电信技术J, 2016）劫持目的劫持服

17、务提供者设备厂商 & 软件平台目的分析提高DNS查询的安全性？优化DNS查询的性能？减少流量交换的成本43劫持目的有没有解决办法？DNSSEC* Pic from: https:/support/dnssec/解决方案45DNS加密DNS* Pic from: /blog/post/2017/12/dns-over-tls-vs-dnscrypt解决方案46DNS加密Resolver authentication (RFC8310)DNS-over-TLS (RFC7858)DNS-over-DTLS (RFC8094, experimental)DNS-over-HTTPS在线检测工具你真正使用的解析服务器是谁？/47解决方案域名解析路径劫持系统性的研究和测量，梳理不同的劫持方式和劫持者主要发现在全球259个AS中发现了被劫