中美研究人員:DNS流量可被劫持并操縱
責編:gltian |2018-08-23 13:11:57就是,DNS流量竊聽是個廣泛存在的現實。美國和中國院校的研究人員將這一事實擺到了大眾眼前。
清華大學和得克薩斯州大學達拉斯分校的最新研究表明,使用TCP協議傳輸的比例雖小但很重要的一部分DNS查詢(約0.66%),可被黑客竊聽。該研究團隊由中國的劉保軍( 清華大學博士研究生 )、陸超逸(清華大學研究生)、段海新(藍蓮花戰隊創始人,清華大學網絡與信息安全實驗室主任)、劉瑩(清華大學網絡科學與網絡空間研究院博士生導師)、楊敏(復旦大學教授),以及美國的IEEE會員李周( Zhou Li )和得克薩斯大學達拉斯分校計算機科學系副教授郝爽( Shuang Hao )組成。研究成果發表在第27屆Usenix安全研討會會議論文上,論文名稱《誰在回復我的查詢:理解并描述DNS解析路徑攔截》。
研究人員設置了經過充分訓練的系統來評估DNS攔截,審查了全球范圍內約14.9萬個住宅IP和蜂窩IP地址。
軟件和瀏覽器要使用DNS查詢來解析IP地址和域名,但因為DNSSEC和DNS-over-HTTPS之類DNS流量保護標準的消極實現和憊懶采用,DNS查詢確實很不安全。
DNSSEC協議的目的是要防止黑客篡改其所攔截到的域名搜索,方法則是對查詢結果進行數字簽名。只要檢測到有任何偽造,DNSSEC便會通報給使用該協議的軟件。DNS-over-TLS 和 DNS-over-HTTPS 也執行相同的功能,但還添加了加密查詢的工作。加密查詢可以防止惡意入侵者識別出用戶訪問的站點。
然而,據報道,這些安全保護標準并沒有得到全面采納。DNS流量既沒有被加密,也沒有經驗證。這意味著,DNS流量很容易被窺探。而且,網絡罪犯能利用這明顯的漏洞將毫無疑心的用戶重定向到帶毒虛假網站。此類攔截或許不會造成致命后果,但肯定不利于保護用戶隱私。
問題在于,用戶自身并不了解DNS查詢的錯綜復雜,從而最終被網絡罪犯利用。必須點出的是,用戶是可以選擇自己的DNS解析服務器的。只需要手動將自己的應用程序和操作系統指向特定DNS就可以了。比如說,用戶可以很容易地設置自己的應用程序使用谷歌公共DNS(8.8.8.8)或Cloudflare的DNS(1.1.1.1)。但基本上,人們總是選擇接受互聯網服務提供商(ISP)給的任何DNS解析服務器。
該團隊使用注冊域名來研究為保護DNS查詢的動態變化。他們還在秘密攔截DNS流量的特定DNS解析服務器上搜索了被騙網絡用戶的IP地址。3,047個服務提供商中有259個被檢測出存在DNS查詢攔截動作。
在這方面,對谷歌公共DNS的UDP查詢數據包中約27.9%遭到了攔截,而TCP支持的數據傳輸則有7.9%被攔截。中國提供商是此類攔截的首要助力者。
我們發現,有82個自治系統(AS)在攔截超過90%的發往谷歌公共DNS的查詢。舉個例子,谷歌公共DNS發出的8個響應回復遭到AS9808(廣東移動)篡改,指向了推廣中國移動某App的門戶網站。
DNS為互聯網應用提供關鍵服務,幾乎每個互聯網連接都要用到DNS查詢。但該研究顯示,DNS查詢是可以被攔截并惡意使用的。因為安全保護標準沒有被恰當采用,比如DNSSEC和 DNS-over-HTTPS,用戶隱私暴露在巨大風險之中。每個通過瀏覽器訪問網頁的用戶都要用到DNS查詢,這是將域名翻譯成IP地址的過程。如果DNS查詢數據未加密,用戶的個人隱私就會處于巨大的風險之中。跟蹤用戶瀏覽習慣的網絡罪犯,將能夠獲取到用戶業余愛好、興趣和日常工作之類的私密信息。某些情況下,這些信息可被用于敲詐勒索,而更常見的用途,是被網絡罪犯用來開展目標偵察工作。因為能提供可被用于個性化攻擊的針對性信息,此類對魚叉式網絡釣魚攻擊特別有用。
所有系統在初始設計中都必須實現加密。正如研究人員的論文所揭示的,個人數據加密仍未成為大多數公司企業的首要工作。但加密問題是必須立即解決的一個問題。或許公司企業尚未將DNS查詢當做潛在的攻擊途徑。如果情況果真如此,那么,到底還有多少其他數據相關的過程是未受保護的呢?網絡中的任意節點,無論是云端、數據中心,還是終端,數據加密都應是必需的規定動作。
《誰在回復我的查詢:理解并描述DNS解析路徑攔截》論文原文:
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf