详解DNS 污染

显示全部楼层 · 发表于 2012-5-5 10:46:55

本帖最后由 ly859774502 于 2012-5-5 17:22 编辑

详解DNS 污染
什么是 DNS 污染

广义上的 DNS（Domain Name System）污染是一种让一般用户由于得到虚假目标主机 IP 而不能与其通信的方法，是 G{过}F{滤}W 的主要手段之一。其手段又可以分为 DNS 劫持与狭义 DNS 污染两种：

DNS 劫持指的是通过行政手段控制墙内的 DNS 服务器，使其对敏感查询直接返回伪造的错误结果。
狭义 DNS 污染则是指监控经过 G{过}F{滤}W 的 DNS 查询请求，发现敏感查询时抢先向查询客户端返回伪造的错误结果。

体现在最终用户上，出现的现象就是：使用墙内 DNS 服务器必然会遭遇 DNS 劫持，而使用墙外 DNS 服务器又会遭遇 DNS 污染。前者是以行政手段实现的，无法以技术手段规避；而后者则是可以通过技术手段予以规避的。
DNS 污染的原理及应对
原理

注意到如下事实：现行标准中 DNS 查询通常使用 UDP 协议并且没有任何验证机制，并且根据惯例查询者会接受第一个返回的结果而抛弃之后的。

因此 G{过}F{滤}W 只需监控 53 端口（DNS 标准端口）的 UDP 查询数据报并分析，一旦发现敏感查询，则抢先向查询者返回一个伪造的错误结果，从而实现 DNS 污染。
应对

针对上述原理，可以提出很多针对的应对方法：

给 DNS 查询协议增加验证机制：DNSSEC。这是最根本的解决方法，但是目前支持 DNSSEC 的服务器及客户端都还没有普及，希望在不久的将来能够用上。
尝试在返回的查询结果辨认出伪造结果并予以抛弃：最简单的方法是抛弃第一个接收到返回结果而使用第二个，稍复杂一点的方法可以接收多个返回结果然后观察统计结果，等等。
根据 RFC 1035，DNS 查询除了 UDP 协议之外，也可能通过 TCP 方式进行，而 TCP 协议是无法被伪造返回结果的，因此可以通过 TCP 方式的 DNS 查询来规避 DNS 污染

显示全部楼层 · 发表于 2012-5-5 10:58:13

看不懂怎么破。。。。

显示全部楼层 · 发表于 2012-5-5 11:14:59

这个玩意好使吗。。

显示全部楼层 · 发表于 2012-5-5 11:19:31

下来试试

显示全部楼层 · 发表于 2012-5-5 15:19:32

看不懂

显示全部楼层 · 发表于 2012-5-5 17:56:53

对于个人机子，可将DNS设置为固定地址！——偶已将那个DNS解析服务，直接关闭！

显示全部楼层 · 发表于 2012-5-5 19:50:44

老机子发表于 2012-5-5 17:56
对于个人机子，可将DNS设置为固定地址！——偶已将那个DNS解析服务，直接关闭！

你这个和楼主主题有何关系？

显示全部楼层 · 发表于 2012-5-5 20:08:57

老机子发表于 2012-5-5 17:56
对于个人机子，可将DNS设置为固定地址！——偶已将那个DNS解析服务，直接关闭！

你指的是hosts吧

显示全部楼层 · 发表于 2012-5-5 22:57:38

据说只有tcp方式的dns不会被污染？

显示全部楼层 · 发表于 2012-5-5 23:46:51

老机子发表于 2012-5-5 17:56
对于个人机子，可将DNS设置为固定地址！——偶已将那个DNS解析服务，直接关闭！

那你就会中第二种问题.DNS污染

[分享] 详解DNS 污染

评分