forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анализ перехвата провайдерами транзитного DNS-трафика"
Отправлено opennews, 21-Авг-18 12:53

Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurit...) исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.
В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, что для UDP в силу более простой организации перехвата доля проблемных систем заметно выше, но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России с 44 AS (28%), в США с 15 AS (9%), Бразилии и Индонезии (по 7 AS, 4%).
Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) свой подставной ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики.
Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS. При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.
URL: https://www.theregister.co.uk/2018/08/20/dns_interception/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49162

Исходное сообщение
"Анализ перехвата провайдерами транзитного DNS-трафика" Отправлено opennews, 21-Авг-18 12:53
Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurit...) исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов. В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, что для UDP в силу более простой организации перехвата доля проблемных систем заметно выше, но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России с 44 AS (28%), в США с 15 AS (9%), Бразилии и Индонезии (по 7 AS, 4%). Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) свой подставной ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики. Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS. При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile. URL: https://www.theregister.co.uk/2018/08/20/dns_interception/ Новость: https://www.opennet.ru/opennews/art.shtml?num=49162

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf) 
> исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. 
> Для обращения к DNS в большинстве случаев не применяются технологии аутентификации 
> (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать 
> и перенаправлять на свои сервера DNS-запросы к публичным  DNS-серверам, таким 
> как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. 
> Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить 
> время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых 
> ресурсов.

> В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских 
> IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, 
> что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются 
> и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, 
> что для UDP в силу более простой организации перехвата доля проблемных 
> систем заметно выше, но точно оценить долю перехвата по UDP не 
> удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять 
> запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, 
> в котором из 356 автономных систем перехват применяется в 61 AS 
> (17% от всех рассмотренных в данной стране AS), в России с 
> 44 AS (28%), в США с 15 AS (9%), Бразилии и 
> Индонезии (по 7 AS, 4%).

> Из методов перехвата трафика наиболее популярными являются перенаправление запросов и 
> реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также 
> направляет (https://www.opennet.ru/tips/2999_iptables_block_tor.shtml) свой подставной 
> ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в 
> рамках одной автономной системы используется один метод перехвата, который применяется 
> к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой 
> политики.

> Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для 
> которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 
> 82 автономных системах перехватывается более 90% трафика к Google DNS. При 
> этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов 
> к Google Public DNS, в  которых вместо запрошенного хоста был 
> выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.

> URL: https://www.theregister.co.uk/2018/08/20/dns_interception/ 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49162

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру