2018年谁劫持了我的DNS-全球域名解析路径劫持测量与分析.pdf

1、谁劫持了我的DNS：全球域名解析路径劫持测量与分析ACM TechNewshttps:/technews.acm.org/archives.cfm?fo=2018-08-aug/aug-24-2018.htmlHackReadhttps:/ Registerhttps:/www.theregister.co.uk/2018/08/20/dns_interception/2媒体报道向Google DNS发送查询请求通过查询诊断域名，查看实际使用的解析服务器地址客户端1：我的请求到哪去了？3173.194.171.5:AS15169 Google LLC正常向Google DNS发送查询请求通过查

2、询诊断域名，查看实际使用的解析服务器地址客户端2：4216.169.129.2:AS22781 Strong Technology,LLC不是Google的地址，异常我的请求到哪去了？域名解析：互联网活动的开始通常由解析服务器（resolver）完成5ClientRoot NS?8.a.b.c.dRecursiveResolverTLD NSSLD NSrequestresponse45DNS解析公共DNS服务良好性能（e.g.,使用负载均衡）安全性（e.g.,支持DNSSEC）支持DNS扩展功能（e.g.,EDNS Client Subnet）6DNS解析7ClientGoogle DNS?

3、Alternative resolver1.2.3.4AuthoritativenameserverIm 8.8.8.8, is at a.b.c.d.劫持解析路径，并伪装成指定的DNS应答域名解析路径劫持8网络服务提供商*https:/ Real Site转发用户的DNS请求到Avast服务器默认启用，并建议保持开启10恶意软件反病毒软件*https:/ anti-virus)企业代理设备(E.g.,Cisco Umbrella intelligent proxy)可能的劫持者问题一：解析路径劫持现象，有多普遍？问题二：解析路径劫持，都有什么特征？目录威胁模型研究背景测量方法结果分析14Ro

4、ot NSTLD NSSLD NSPublic DNSClientOn-pathDeviceAlternative resolver正常解析路径被劫持的路径Middlebox12323456威胁模型15ClientPublic DNS8.8.8.8Alternative resolver1.2.3.4On-pathDeviceAuthoritativenameserver威胁模型请求路径分类1 Normal resolution（正常解析）Request to 8.8.8.8请求路径分类2 Request redirection（请求转发）16Request to 8.8.8.8威胁模型Cli

5、entPublic DNS8.8.8.8Alternative resolver1.2.3.4On-pathDeviceAuthoritativenameserver17威胁模型请求路径分类3 Request replication（请求复制）ClientPublic DNS8.8.8.8Alternative resolver1.2.3.4On-pathDeviceAuthoritativenameserverRequest to 8.8.8.8请求路径分类4 Direct responding（直接应答）18威胁模型ClientPublic DNS8.8.8.8Alternative re

6、solver1.2.3.4On-pathDeviceAuthoritativenameserverRequest to 8.8.8.8目录威胁模型研究背景测量方法结果分析方法概览20ClientPublic DNS8.8.8.8Alternative resolver1.2.3.4On-pathDeviceRequest to 8.8.8.8AuthoritativenameserverSend DNS requests.Check where they are from.怎样检测路径劫持？Phase I:Global AnalysisProxyRack:SOCKS5 residential