移动宽带三套 DNS 污染技术已经申请专利了,三套组合拳。

2018-08-23 10:11:08 +08:00
 taobibi
路由牵引方式
旁路抢答方式(分光镜像+抢先应答)
PBR 策略路由方式

简单防止抢答方式已经无效了。



文字正文

1 异网 DNS 现状分析




DNS 是互联网的入口,DNS 请求发生在用户访问互联网的第一环节,ICP 内容资源、CDN 等都依赖于 DNS 的正确调度才能将用户流量引导到最合适的资源节点。正常情况下用户终端应该使用 ISP 分配的官方 DNS,然而用户终端设置的 DNS 由用户自身决定,不处于 ISP 可控范围。现网流量监测系统发现 ISP 网络存在着一定比例的异网 DNS 流量,配置不合适的异网 DNS 不仅会降低用户上网体验,带来安全风险,对中小 ISP 而言还提高了流量结算成本。如何选择一种最优的技术方案,对异网 DNS 流量进行有效管控,实现资源调度的优化,是文中重点论述的问题。


1.1 异网 DNS 来源和影响分析




异网 DNS 流量的主要来源如下。


● 策反转网的用户未修改 DNS 配置:专线用户情况尤为突出,用户由于缺乏专业网管技术人员,转网时只调通网络,而不重视配置调优,转网后仍使用原运营商的 DNS,常常在报障网速慢后才发现 DNS 配置错误。


● 用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。


● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。


● 用户 DNS 被黑客劫持:黑客利用路由器存在弱口令、安全漏洞、恶意代码等将用户路由器或终端电脑上的 DNS 篡改为黑客所控制的非法 DNS。当不知情的用户使用非法 DNS 访问网上银行或购物网站等敏感网站时,可能被指向假冒的欺诈网页,造成信息泄露和重大损失。


● 某些互联网产品在出厂时内置了 DNS:如各类电视盒子、免费 Wi-Fi 等设备可能内置了公共 DNS。


以上原因导致了异网 DNS 的存在,而使用不合理的异网 DNS 进行域名解析,会造成解析时间长、解析成功率降低、调度准确性降低等诸多问题,甚至带来安全风险。


1.2 异网 DNS 的流量占比




现网监测数据表明城域网中有 10%~ 15%的 DNS 递归请求去往异网 DNS,而异网 DNS 流量中谷歌 DNS 又占据着较大份额。


1.3 异网 DNS 管控目标




逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标:


● 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控;


● 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;


● 可实现调度策略的灵活配置,能针对具体用户 IP 和 DNS 进行定向调度;


● 优化用户体验,降低安全风险的同时,缩减网间流量结算成本。


2 异网 DNS 管控技术探讨




2.1 路由牵引方式




路由牵引方式首先需要获知异网 DNS 的 IP 地址,再通过路由发布的方式将这些 IP 指定 ISP 官方 DNS,用户访问这些特定 IP 的 DNS 请求将被牵引至运营商 DNS, 从而实现对异网 DNS 流量的拦截。


优势:部署快,现网无需新增设备投资和调整网络。


劣势:仅能覆盖已知的异网 DNS,未知 DNS 不能覆盖,存在路由广播合法性风险。


2.2 旁路抢答方式(分光镜像+抢先应答)




通过分光镜像方式采集 53 端口的 DNS 请求给重定向系统,针对流向异网 DNS 的递归请求,由 DNS 重定向系统伪装异网 DNS,以抢先应答方式返回本地 DNS 的网内解析结果。


如图 1 所示,在 ISP 出口通过镜像或分光方式采集 DNS 请求,送给“ DNS 重定向安全装置”,由“ DNS 重定向安全装置”从 DNS 报文中提取 DNS 服务器地址,针对用户终端发出的 DNS 请求报文,根据事先定义的 DNS 服务器白名单进行逻辑决策,如果 DNS 服务器地址不是白名单之内的异网 DNS,去往该异网 DNS 的所有域名请求通过 Forward 机制重新引导回 ISP 官方 DNS,“ DNS 重定向安全装置”获得解析结果后,立刻构造一个新的 DNS 响应报文,改用用户请求的异网 DNS 服务器地址作为源 IP,以抢先应答方式回复用户;而去往白名单的本网及可信 DNS 请求不做任何处理,直接放行。“ DNS 重定向安全装置”有类似缓存的功能,可以存储本网 DNS 的解析结果。所以在系统稳定运行后可以进行微秒级响应,在用户配置的异网 DNS 之前优先返回给用户解析结果,用户会自动抛弃后收到的 DNS 响应。


优势:可以覆盖所有异网 DNS 流量,无单点故障隐患。


缺点:需要新增设备投资,隐蔽性稍差,用户收到两份 DNS 应答。


2.3 PBR 策略路由方式




在 ISP 出口设备配置策略路由,将 53 端口流量策略路由至网内,指向专门部署的 DNS 重定向系统,DNS 重定向系统向 ISP 官方 DNS 发起解析请求并获取到解析结果,最后由 DNS 重定向系统把结果返回给用户。DNS 重定向系统在返回给用户的应答报文中,使用用户请求报文的目的地址作为源地址,实现异网 DNS 无感知优化,处理流程如图 2 所示。


优势:可以覆盖所有异网 DNS 流量,隐蔽性强,DNS 调度优化成功率高。


缺点:省网网络设备要配置策略路由,策略复杂,需要新增设备投资,DNS 重定向系统串接在网络中,存在单点故障。


2.4 三种异网 DNS 管控技术比较




三种异网 DNS 管控技术比较见表 1。


综合以上方案,推荐采用旁路抢答方式作为首选部署方案。


3 旁路抢答 DNS 重定向系统的部署实施




2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。


3.1 DNS 重定向系统配置




DNS 重定向系统配置见表 2。


以上信风公司服务器配置可支持 50 万 QPS 处理能力。


3.2 DNS 重定向安全装置功能模块及处理流程




经过不断测试改良,完善的“ DNS 重定向安全装置”应包括如下功能模块。


(1)接收解析模块


接收通过镜像或分光方式复制过来的 DNS 流量,从 DNS 报文中解析出 DNS 服务器地址、用户请求源 IP、用户请求域名、是用户终端发出的递归请求还是 DNS 服务器发出的迭代请求。


(2)判断模块


仅处理用户终端发出的递归请求,不处理 DNS 服务器发出的迭代请求。


再根据内置的规则先判断 DNS 服务器地址是否是可信地址,再判读用户请求源 IP 是否属于直接放行地址。


系统将 DNS 服务器分为可信 DNS (或称合法 DNS )和非可信 DNS 两类。DNS 服务器白名单中的都是可信 DNS,包括 ISP 自建的本地 DNS、ISP 认可组织内部 DNS 等,白名单的描述形式可以是多个 IP 地址段的集合。发往 DNS 白名单的解析请求直接放行。


非可信 DNS 是不在 DNS 白名单中的所有其他 DNS,默认为异网所有的 DNS。发往非可信 DNS 的解析请求原则上都将被转发处理模块处理,除非源 IP 属于请求源 IP 白名单。


为满足用户实际需要,还应设定 DNS 请求源 IP 白名单,这些源 IP 发起的请求不管 DNS 服务器地址可信或非可信,都将采取直接放行策略。




(3)查询模块


针对没有命中 DNS 白名单或没有命中 DNS 请求源 IP 白名单的解析请求,将通过自身迭代查询以获取域名数据对应的 IP 地址(也可以通过 Forward 机制转发给 ISP 自建的可信本地 DNS 以加快查询速度)。


(4)DNS 缓存模块


可以存储热点域名的解析结果,进行微秒级响应。


(5)发送模块


从 ISP 自建的本地 DNS 获得解析结果后,立刻构造一个新的 DNS 响应报文,改用非可信 DNS 服务器地址作为源 IP,以抢先应答方式回复用户。


相应的业务流程如图 3 所示。


4 DNS 重定向系统的应用效果




无锡移动部署异网 DNS 重定向系统后,成功地将流向异网 DNS 的请求重定向回本省官方 DNS。监控数据显示,城域网中原有 13%到异网 DNS 的请求,全部被 DNS 重定向系统 Forward 给省内官方 DNS,DNS 流量得到百分之百管控。



4.1 质量角度评估




基于 DNS 旁路抢答的 DNS 重定向系统提升了现有流量调度系统的有效性,不管用户使用什么 DNS,都能将解析结果自动修正指向到网内资源,并且 DNS 解析响应时间大大降低,试点地市再未接到集团用户因配置异网 DNS 而引发的网络慢类投诉。


www.youku.com 资源已经引入移动网内,没有使用 DNS 重定向系统前,如图 4 所示,谷歌 DNS 8.8.8.8 将 www. youku.com 错误调度至网外的青岛联通 IP 119.167.145.19 ,DNS 解析时延高达 40ms。


使用 DNS 重定向系统后,如图 5 所示,谷歌 DNS 8.8.8.8 的解析结果被纠正为无锡移动网内地址 221.181.195.121 ,DNS 解析时延由 40ms 下降到 1ms。


据拨测系统统计,DNS 重定向优化后,热点网页打开时间比优化前缩短了 39%。


4.2 成本角度评估




异网流量下降明显,监控数据显示,对原来那些设置为异网 D N S 的用户而言,其流量本网率从 92.81%上升到 98.83%,其异网流量下降约 6 个百分点,达到了正确引导用户访问本网资源的预期效果。


4.3 安全角度评估


重定向系统屏蔽了黑客 DNS,用户信息安全风险降低。


5 结束语




基于 DNS 旁路抢答的异网 DNS 重定向系统,可让 ISP 合理管控域域网宽带用户终端发出的 DNS 请求流量,使用合法 DNS 以抢先应答的方式代替非可信 DNS 来回复用户解析请求,规避黑客 DNS 给用户带来的安全风险,有效提升了流量调度系统的准确性,降低了运营商的流量结算成本。


本技术方案能覆盖所有终端用户,不局限操作系统和设备类型,也不需要用户手工干涉,在用户无感知的情况下保护了域名数据安全,已经被申请为专利,对宽带电信运营商具有普遍适用性和推广价值。


原文地址
http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml


http://www.ttm.com.cn/article/2016/1000-1247/1000-1247-1-1-00064.shtml
25725 次点击
所在节点    DNS
57 条回复
redsonic
2018-08-23 14:36:13 +08:00
一看就是设备商或施工方写的稿子,交给利益相关方换糖吃的,你看原文里面就有提到信封。 其实谷沟学术可搜到很多由专利代理公司专业写手给运营商的稿子,可以发现不少有趣的东西。

@raysonx 外国同行已在讨论让 DNS over TLS 取代 dnssec。不管技术怎样,好像没有大型商业公司牵头的方案最后都要歇菜。不过 DOT 出发点是给解析器提供保密性和完整性的,而 DNSSEC 是给迭代器递归链提供了完整性,说让谁取代谁好像也不合适。
terrytw
2018-08-23 14:51:56 +08:00
大家有没有注意到有意思的一点?

2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。

大家知道不,114DNS 就是南京信风公司出的,哈哈哈
“部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS ”
所以我们和 114DNS 厂家合作,对用户进行强奸
brick713
2018-08-23 14:54:25 +08:00
@taobibi #12 嗯技术上可能不同,结果是相同的,我在电脑上配置手动的 dns 不论是什么,都会被污染,明显是阶级防火墙联合运营商搞了一套组合拳
redsonic
2018-08-23 15:05:12 +08:00
@brick713 他们并不会联合,因为搞 wall 的那些人没有客服。
xz410236056
2018-08-23 15:05:32 +08:00
申请专利??你猜是什么人污染的??
Sniffing
2018-08-23 15:09:55 +08:00
@nodin 醒醒
janus77
2018-08-23 15:47:02 +08:00
@ccc008 #27 我倒是觉得可行,注意条文写的是「造成系统不能正常运行」。如果移动强制修改了我的 dns,导致我访问某些网站不能正常访问或者速度慢,那就是移动的问题;但是我修改自己电脑的 dns,并没有影响到移动服务其他用户。
janus77
2018-08-23 15:52:25 +08:00
@Liqianyu #31 当然是根据具体原因来:如果我是主动修改的 dns,那出现任何问题就跟他没关系。知道主动修改的后果的用户,不会去不讲理的投诉;小部分不讲理的用户投诉,也错不在 ISP,应该不怕告才对。
反过来再想,如果我主动且知情的修改了 dns,他的强制修改又导致我访问变慢,这我该不该投诉他?
chenshaoju
2018-08-23 17:26:05 +08:00
实际上还是带宽惹得祸,移动不光有 DNS 劫持,还有 HTTP 劫持。

在不考虑广告劫持的大部分情况下,其实是移动到电信和联通的接口带宽比较紧张,网间结算费用也高,而电信联通又不愿意出售更多带宽给移动。

结果就是移动不得不靠 DNS/HTTP 劫持导向到自己搭建的 Cache 上,这些乱七八糟的研究就是这么来的。

https://twitter.com/chenshaoju/status/699499245015953408
Shura
2018-08-23 17:32:52 +08:00
实测下来,合肥移动目前对 114 和谷歌 dns 的查询请求确实进行了挟持,但是用腾讯的 119dns 和其他小众 dns 没事,而且暂时也没发现过 HTTP 挟持,就是不知道能维持多久了。
shiina
2018-08-23 18:08:15 +08:00
山东移动常年被劫持,前天 dns 好了一天(没劫持国内几个公共 dns ),然后果然是错觉,现在又劫持上了,一解析全是 127.0.0.1
shiny
2018-08-23 18:09:50 +08:00
屁股决定脑袋
lslqtz
2018-08-24 02:51:17 +08:00
@zealot0630 难道不能用 ECC。。
biglee0304
2018-08-29 19:27:52 +08:00
我 tm 震惊了,dns 劫持这个词现在运营商自己也能坦然地拿出来吹嘘了?下面这段写的真好笑:
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。

● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。
techon
2018-09-01 04:16:54 +08:00
墙的 DNS 劫持模块。。。。
长城大局域网,至少用了 2 种。
dig @a.b.c.d google.com
a.b.c.d 随便写,能返回结果。。。
yy77
2018-09-04 10:56:37 +08:00
主要还是 DNS 这个协议实在太老了,而且太过简单,漏洞太多。等 DNS over TLS/http 应用广泛了,这些就会失效了。总不能连一般的 http 流量也都劫持掉吧。
nitro123
2020-03-12 22:55:07 +08:00
@nodin 小伙计,你是第一天来这里吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/482394

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX