移动宽带三套 DNS 污染技术已经申请专利了,三套组合拳。

2018-08-23 10:11:08 +08:00
 taobibi
路由牵引方式
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式

简单防止抢答方式已经无效了。



文字正文

1 异网 DNS 现状分析




DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。


1.1 异网 DNS 来源和影响分析




异网 DNS 流量的主要来源如下。


● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。


● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。


● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。


● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。


● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。


以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。


1.2 异网 DNS 的流量占比




现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。


1.3 异网 DNS 管控目标




逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:


● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;


● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;


● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;


● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。


2 异网 DNS 管控技术探讨




2.1 路由牵引方式




路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。


优势:部署快,现网无需新增设备投资和调整网络。


劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。


2.2 旁路抢答方式(分光镜像+抢先应答)




通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。


如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。


优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。


缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。


2.3 PBR 策略路由方式




在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。


优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。


缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。


2.4 三种异网 DNS 管控技术比较




三种异网 DNS 管控技术比较见表 1。


综合以上方案,推荐采用旁路抢答方式作为首选部署方案。


3 旁路抢答 DNS 重定向系统的部署实施




2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。


3.1 DNS 重定向系统配置




DNS 重定向系统配置见表 2。


以上信风公司服务器配置可支持 50 万 QPS 处理能力。


3.2 DNS 重定向安全装置功能模块及处理流程




经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。


(1)接收解析模块


接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。


(2)判断模块


仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。


再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。


系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。


非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。


为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。




(3)查询模块


针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。


(4)DNS 缓存模块


可以存储热点域名的解析结果,进行微秒级响应。


(5)发送模块


从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。


相应的业务流程如图 3 所示。


4 DNS 重定向系统的应用效果




无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。



4.1 质量角度评估




基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。


www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www. youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。


使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。


据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。


4.2 成本角度评估




异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。


4.3 安全角度评估


重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。


5 结束语




基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。


本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。


原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml


http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
25610 次点击
所在节点    DNS
57 条回复
leafleave
2018-08-23 11:56:22 +08:00
@fantasylidong 唉,。iOS 没办法
robertgenius
2018-08-23 12:11:30 +08:00
dnscrypt
zealot0630
2018-08-23 12:14:25 +08:00
@raysonx dnssec 已经凉了,报文大小限制,根用的 512 位 RSA,分分钟破解掉
JohnChu
2018-08-23 12:18:26 +08:00
怎么反制
nodin
2018-08-23 12:18:44 +08:00
第二百八十六条  [破坏计算机信息系统罪] 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

  违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

不知道集体诉讼在中国是否有可行性。
pisser
2018-08-23 12:57:55 +08:00
哈哈,差不多达到突出成就这个级别了。
whileFalse
2018-08-23 13:10:10 +08:00
技术是好技术,既让无所谓的移动用户访问无所谓的网站更快,又促使有所谓的用户挑选合适的宽带提供商。
还促进了 DNS 这个本来就有安全缺陷的服务赶紧迭代。
ccc008
2018-08-23 13:16:00 +08:00
@nodin 这条法律难道不是针对屁民的。比如最不利的情况下,我们用了自有 dns,移动可以告我们破坏了他的 dns 计算机信息系统 233
iceheart
2018-08-23 13:18:46 +08:00
人不要脸,天下无敌
taobibi
2018-08-23 13:28:26 +08:00
@ryd994 图没转,我也留了原文链接。下次我会注意,不转全文
zhangpeter
2018-08-23 13:42:49 +08:00
@silencefent 我去修改一下 DNS,你就在此地不要走动
Liqianyu
2018-08-23 13:42:52 +08:00
1.有国情原因,移动劫持最严重。但主要是因为初期互联互通问题所导致,也不能说移动想这样做。
2.usenix 论坛说了,移动劫持是最多的,但是美国运营商一样有劫持,论文详见
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf
3.劫持肯定是不对的。但是用户 DNS 不是 ISP DNS,造成网速慢,然后投诉,然后你说运营商能怎么办? DNS 返回的结果不适合移动访问,这个时候用户又不用移动 DNS,咋办?很多地区的移动已经越来越好,初期发展的很多问题都吃了发展晚的亏。
leido
2018-08-23 13:44:56 +08:00
话说回来,谷歌和 114 的移动递归节点确实少,dnspod 和阿里好得多
jandan
2018-08-23 13:45:08 +08:00
还有单独的墙 头疼
Liqianyu
2018-08-23 13:48:12 +08:00
三套方法
1.路由牵引其实就是路由劫持。参考 Ping 8.8.8.8 只有个位数延迟的地区
2.这套方法就是纯抢答 53 端口的 UDP 返回,但是和 GFW 污染一样,很容易发现。但是是旁路方式,故障率低。
3.这套方法隐蔽程度更高,但是是串联方式。不知道什么地区采用了,根据文中的方法可能采用的很少吧。文中最推荐的还是 2

另外,目前北京移动都是正常 NAP 交换+公网 IP +没发现 DNS 抢答。
希望大家能在骂的基础上理性讨论。
winterbells
2018-08-23 13:53:10 +08:00
破坏计算机信息系统罪
之前越过防火墙算,现在越过 DNS 算不算呢
Love4Taylor
2018-08-23 13:59:37 +08:00
目前使用 EDNS, 完美避免污染.
passerbytiny
2018-08-23 14:17:10 +08:00
@Liqianyu 纯粹胡扯。
1.3 章:“逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标: 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控; 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;”

老子嫌通知并说服客户“用移动的 DNS 网速更快”太麻烦(然而实际上只需要在宽带合同上说明就够了),并且想要 100%控制 DNS (然而 DNS 是 ISP 的责任而不是权力),所以偷偷的把客户的 DNS 拦截了:这跟强盗有啥区别
lvxing
2018-08-23 14:19:11 +08:00
此专利违法,请参考去年颁布的《网络安全法》第二十二条。
Liqianyu
2018-08-23 14:33:43 +08:00
@passerbytiny
我没有说是对的,只是从移动的角度来思考。
看一件事要有辩证思维,要从对方的角度去思考。
1.文章里面已经说的很清楚,有些设备的 DNS 改不了。或者说一般人不会改。
2.通知客户变更,客户就一定会操作了?你以为个个都懂电脑?
3.如果说叫一线运维去改,人家能上网的情况下,会叫你进来给我改个 DNS ?你觉得客户个个都那么好说话?
4.很多一线运维也不会配置 DNS,一个一个培训...你觉得能有多大用。而且即使安装的时候改了。也有很多情况下用户自己又改了。

我不是说移动这样做是对的,但这是环境+客观因素所导致的。看一件事不能从片面的角度看。
移动真正要做的事互联互通,以及 EDNS 的普及。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482394

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX