1. Для просмотра полной версии форума нужно Войти или зарегистрироваться
    Скрыть объявление
  2. В период военного положения в Украине рекомендуем сохранять трезвость, это жизненно важно как вам так и вашим близким, возможно вам придётся их защищать и для этого лучше оставаться трезвыми! Нужно пережить это не лёгкое время, помогайте друг другу чем можете, мы с вами! Гуманитарная помощь жителям Украины
    Скрыть объявление

Анализ перехвата провайдерами транзитного DNS-трафика

Тема в разделе "Безопасности уголок", создана пользователем безимя, 14/8/20.

  1. TS
    безимя

    безимя Местный житель

    Регистрация:
    3/10/15
    Сообщения:
    3.268
    Карма:
    304
    Репутация:
    374
    Оценки:
    +2.861/37/-26
    Группа исследователей из нескольких университетов США и Китая провела исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей.
    Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS.
    Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.
    В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров.
    В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем.
    Предполагается, что для UDP, в силу более простой организации перехвата, доля проблемных систем заметно выше (в выборочной проверке в 3-4 раза), но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства на системах 36 тысяч пользователей прокси-сети ProxyRack, позволяющей отправлять запросы только через TCP SOCKS (для остальных пользователей применялось отладочное мобильное приложение, которое позволило выявить подмену и по UDP).
    Метод определения перехвата был основан на отправке запроса на резолвинг уникального хоста (UUID.OurDomain.TLD ) с последующей проверкой c какого DNS-резолвера поступил запрос на обслуживающий данный хост авторитативный DNS-сервер (например, о перехвате свидетельствует активность, когда клиентом был отправлен запрос резолвинга на 8.8.8.8, а к авторитативному серверу пришёл запрос от стороннего IP провайдера, а не от DNS-сервера Google).
    Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России - 44 AS (28%), в США - 15 AS (9%), Бразилии и Индонезии по 7 AS (4%).
    Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет свой подставной ответ, который обычно приходит раньше и воспринимается клиентом).
    Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики.
    Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого в Китае перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS.
    При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.
    Из заслуживающих внимание выводов также можно упомянуть то, что на 97 DNS-серверах провайдеров, которые использовались для перехвата DNS-трафика, выявлены устаревшие версии DNS-сервера BIND, поддержка которых была прекращена ещё в 2009 году и которые подвержен DoS-уязвимостям. 57% из DNS-серверов, применяемых для перенаправления, не поддерживают DNSSEC.
    Попытка оправдать некоторыми провайдерами перехват трафика желанием уменьшить время отклика поставлена под сомнение, так как ускорение незначительно, а для 15.37% UDP-запросов внешние публичные серверы отработали даже быстрее.
     
    • Информативно Информативно x 2
Загрузка...
Похожие темы - Анализ перехвата провайдерами
  1. Бот:
    Ответов:
    0
    Просмотров:
    47
  2. G-Lab
    Ответов:
    22
    Просмотров:
    189
  3. Бот:
    Ответов:
    0
    Просмотров:
    58
  4. Бот:
    Ответов:
    0
    Просмотров:
    45
  5. безимя
    Ответов:
    0
    Просмотров:
    456