File: root - text - article - 2016 - 07 - dnssec-china.txt
Tags: 大墙网, 安全, DNSSEC, GFW, | 中文 | Home Page | Category: Computing | 1342 Views, 34259 Search Bots | 805 Characters
| Browse | Archive
Tags: 大墙网, 安全, DNSSEC, GFW, | 中文 | Home Page | Category: Computing | 1342 Views, 34259 Search Bots | 805 Characters
| Browse | Archive为什么不能在中国增加第14个根域名服务器呢?
为了增加反应速度,网页访问的申请都是由一个数据包所完成的,而一个数据包的长度为256b,这就决定了一个数据包只能有13个块,这就从根本上限制了根域名服务器的数量,也就是说根域名服务器只能有13个。
如果中国要拥有自己的根域名服务器只有两个,一是从现在有根域名服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不现实。
所以,现在中国不会有自己的根域名服务器,除非哪天互联网的底层支持技术发生彻底革命。
假设如果中国有根服务器会怎样?
DNS污染是中国GFW墙技术的一个组件,过滤工具通过在ISP边界路由器上检测DNS查询,一旦发现敏感的域名,如Google, twitter, facebook, youtube等,则回应给用户虚假的DNS响应,从而阻止国内用户对”敏感“网站的访问。由于目前DNSSEC还没有大规模使用,此种DNS注入污染就有了可乘之机。用户的client会先一步接受到被污染后的解析结果,从而忽略了永远慢了一步的正确应答。论文中的数据: 中国范围内的800个DNS解析客户端,99.88%受其影响。
不幸的是,这种看似只是只有国人才有的“福利”,也影响了其他国家的互联网用户。最早由智利的管理员发现:从智利和加利福尼亚发往 I.RootServers.NET 的DNS查询有时会发生应答“污染”。在分析了这次事故后最终发现很多其他国家都在遭受同样的DNS 污染,而问题的源头就在于有三个DNS ROOT server (F, I, 与 J) 的anycast instance 位于中国 。一旦DNS请求途径了中国,污染便无法避免的发生了,即便域名属于其他国家,而解析请求也不在中国,同样难逃污染。
那么是不是互联网的管理者们从中国 CNNIC手中撤回root server的权利,问题就解决了呢?答案是 不完全是。
论文统计了世界范围内的影响,在测试173个国家和地区中的43,842次DNS 递归查询中。由于G{过}F{滤}W的功劳,其中的109个国家受到了不同程度的递归查询DNS污染,伊朗受的影响最重,为88.20%。平均 为26.41% 。
这种DNS附属破坏主要发生在客户端与TLD授权服务器进行会话的过程中,尤其是.de和.kr的TLD.
当然解决DNS污染最根本的办法就是启用DNSSEC,在DNSSEC启用的情况下,被“污染”的DNS应答将会被client自动忽略掉,从而等待真正的应答到来。目前墙的技术应该无力破坏DNSSEC的防御,当然,道高一尺,魔高一丈,也许倒是墙也有了更先进的手段,谁知道呢。
Tags: 大墙网, 安全, DNSSEC, GFW, | 中文 | Home Page | Cateogry: Computing | 1342 Views, 34259 Search Bots | 805 Characters 为了增加反应速度,网页访问的申请都是由一个数据包所完成的,而一个数据包的长度为256b,这就决定了一个数据包只能有13个块,这就从根本上限制了根域名服务器的数量,也就是说根域名服务器只能有13个。
如果中国要拥有自己的根域名服务器只有两个,一是从现在有根域名服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不现实。
所以,现在中国不会有自己的根域名服务器,除非哪天互联网的底层支持技术发生彻底革命。
假设如果中国有根服务器会怎样?
DNS污染是中国GFW墙技术的一个组件,过滤工具通过在ISP边界路由器上检测DNS查询,一旦发现敏感的域名,如Google, twitter, facebook, youtube等,则回应给用户虚假的DNS响应,从而阻止国内用户对”敏感“网站的访问。由于目前DNSSEC还没有大规模使用,此种DNS注入污染就有了可乘之机。用户的client会先一步接受到被污染后的解析结果,从而忽略了永远慢了一步的正确应答。论文中的数据: 中国范围内的800个DNS解析客户端,99.88%受其影响。
不幸的是,这种看似只是只有国人才有的“福利”,也影响了其他国家的互联网用户。最早由智利的管理员发现:从智利和加利福尼亚发往 I.RootServers.NET 的DNS查询有时会发生应答“污染”。在分析了这次事故后最终发现很多其他国家都在遭受同样的DNS 污染,而问题的源头就在于有三个DNS ROOT server (F, I, 与 J) 的anycast instance 位于中国 。一旦DNS请求途径了中国,污染便无法避免的发生了,即便域名属于其他国家,而解析请求也不在中国,同样难逃污染。
那么是不是互联网的管理者们从中国 CNNIC手中撤回root server的权利,问题就解决了呢?答案是 不完全是。
论文统计了世界范围内的影响,在测试173个国家和地区中的43,842次DNS 递归查询中。由于G{过}F{滤}W的功劳,其中的109个国家受到了不同程度的递归查询DNS污染,伊朗受的影响最重,为88.20%。平均 为26.41% 。
这种DNS附属破坏主要发生在客户端与TLD授权服务器进行会话的过程中,尤其是.de和.kr的TLD.
当然解决DNS污染最根本的办法就是启用DNSSEC,在DNSSEC启用的情况下,被“污染”的DNS应答将会被client自动忽略掉,从而等待真正的应答到来。目前墙的技术应该无力破坏DNSSEC的防御,当然,道高一尺,魔高一丈,也许倒是墙也有了更先进的手段,谁知道呢。
Related Articles
Page Edited: May 11 2024 14:36:49 |
©2006~2024 SteakOverCooked - 0.02639 Seconds(s) - 737.585 KB/s - 69 Online 
Memory: 494.09 KB
18:54:01 up 13 days, 18:33, 2 users, load average: 0.98, 0.86, 0.73 - Server PHP Version: 7.4.33
How to Cook a Perfect Steak? | <meta name="robots" content="noindex, follow" />
Memory: 494.09 KB18:54:01 up 13 days, 18:33, 2 users, load average: 0.98, 0.86, 0.73 - Server PHP Version: 7.4.33
Read & Write - Normal - Mini - Post - All Comments - Statistics
Be the first one to comment this page !