向井里下毒:探索防火长城的DNS中毒

关于 GFW DNS 投毒的研究




来源:http://www.solidot.org/story?sid=50230
会议地址:http://wpes2016.di.unimi.it/program
论文地址:http://delivery.acm.org/10.1145/3000000/2994636/p95-farnan.pdf?ip=118.73.57.119&id=2994636&acc=OPEN&key=4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E6D218144511F3437&CFID=861449686&CFTOKEN=67761179&__acm__=1478268038_fe3a436a8d850e48656b84c16cf8844b


在上周维也纳举行的电子社会隐私研讨会上,牛津大学的三名研究人员发表了对防火长城DNS中毒的研究报告《Poisoning the Well—Exploring the Great Firewall’s Poisoned DNS Responses》(PDF)。

当防火长城观察到特定域名的DNS查询,它会返回中毒的DNS响应。防火长城的中间人位置使得它能抢在DNS服务器返回合法的DNS响应前就将其中毒的DNS响应发送到客户端。这是一个众所周知的事实。研究人员提出了一个其他人可能没怎么研究的问题:中国的DNS服务器是否本身就被中毒了?他们监视了1871个在中国注册和运行的公共DNS服务器,观察其对特定域名如Google、YouTube、Twitter和Facebook返回的查询结果,发现DNS服务器返回的IP地址与防火长城发送的相同,这意味着DNS服务器本身就遭到了中毒。研究人员进一步推断:防火长城的DNS中毒主要目标不是直接针对用户,而是DNS服务器。研究人员还发现了防火长城返回的9个无效IP地址:
  • 37.61.54.158
  • 93.46.8.89
  • 59.24.3.173
  • 78.16.49.15
  • 203.98.7.65
  • 243.185.187.39 
  • 159.106.121.75
  • 46.82.174.68
  • 8.7.198.45
其中37.61.54.158使用频率最高。这一观察可以与gfwrev的研究相互对照。
发表评论