文件: root - text - article - 2016 - 07 - dnssec-china.txt
标签: 大墙网, 安全, DNSSEC, GFW, | 中文 | 主页 | 类别: 计算机科学 | 1665 次阅读, 38607 次搜索 | 805 个汉字
| 浏览 | 博客存档
标签: 大墙网, 安全, DNSSEC, GFW, | 中文 | 主页 | 类别: 计算机科学 | 1665 次阅读, 38607 次搜索 | 805 个汉字
| 浏览 | 博客存档
为什么不能在中国增加第14个根域名服务器呢?
为了增加反应速度,网页访问的申请都是由一个数据包所完成的,而一个数据包的长度为256b,这就决定了一个数据包只能有13个块,这就从根本上限制了根域名服务器的数量,也就是说根域名服务器只能有13个。
如果中国要拥有自己的根域名服务器只有两个,一是从现在有根域名服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不现实。
所以,现在中国不会有自己的根域名服务器,除非哪天互联网的底层支持技术发生彻底革命。
假设如果中国有根服务器会怎样?
DNS污染是中国GFW墙技术的一个组件,过滤工具通过在ISP边界路由器上检测DNS查询,一旦发现敏感的域名,如Google, twitter, facebook, youtube等,则回应给用户虚假的DNS响应,从而阻止国内用户对”敏感“网站的访问。由于目前DNSSEC还没有大规模使用,此种DNS注入污染就有了可乘之机。用户的client会先一步接受到被污染后的解析结果,从而忽略了永远慢了一步的正确应答。论文中的数据: 中国范围内的800个DNS解析客户端,99.88%受其影响。
不幸的是,这种看似只是只有国人才有的“福利”,也影响了其他国家的互联网用户。最早由智利的管理员发现:从智利和加利福尼亚发往 I.RootServers.NET 的DNS查询有时会发生应答“污染”。在分析了这次事故后最终发现很多其他国家都在遭受同样的DNS 污染,而问题的源头就在于有三个DNS ROOT server (F, I, 与 J) 的anycast instance 位于中国 。一旦DNS请求途径了中国,污染便无法避免的发生了,即便域名属于其他国家,而解析请求也不在中国,同样难逃污染。
那么是不是互联网的管理者们从中国 CNNIC手中撤回root server的权利,问题就解决了呢?答案是 不完全是。
论文统计了世界范围内的影响,在测试173个国家和地区中的43,842次DNS 递归查询中。由于G{过}F{滤}W的功劳,其中的109个国家受到了不同程度的递归查询DNS污染,伊朗受的影响最重,为88.20%。平均 为26.41% 。
这种DNS附属破坏主要发生在客户端与TLD授权服务器进行会话的过程中,尤其是.de和.kr的TLD.
当然解决DNS污染最根本的办法就是启用DNSSEC,在DNSSEC启用的情况下,被“污染”的DNS应答将会被client自动忽略掉,从而等待真正的应答到来。目前墙的技术应该无力破坏DNSSEC的防御,当然,道高一尺,魔高一丈,也许倒是墙也有了更先进的手段,谁知道呢。
标签: 大墙网, 安全, DNSSEC, GFW, | 中文 | 主页 | 类别: 计算机科学 | 1665 次阅读, 38607 次搜索 | 805 个汉字 为了增加反应速度,网页访问的申请都是由一个数据包所完成的,而一个数据包的长度为256b,这就决定了一个数据包只能有13个块,这就从根本上限制了根域名服务器的数量,也就是说根域名服务器只能有13个。
如果中国要拥有自己的根域名服务器只有两个,一是从现在有根域名服务器的国家移植,二是改变网页访问的申请由一个数据包完成的现状。移植不可能,因为美国不会给,别的国家也不富裕。改变一个数据包的技术模式更不可能,因为牵扯范围和技术变动太大,不现实。
所以,现在中国不会有自己的根域名服务器,除非哪天互联网的底层支持技术发生彻底革命。
假设如果中国有根服务器会怎样?
DNS污染是中国GFW墙技术的一个组件,过滤工具通过在ISP边界路由器上检测DNS查询,一旦发现敏感的域名,如Google, twitter, facebook, youtube等,则回应给用户虚假的DNS响应,从而阻止国内用户对”敏感“网站的访问。由于目前DNSSEC还没有大规模使用,此种DNS注入污染就有了可乘之机。用户的client会先一步接受到被污染后的解析结果,从而忽略了永远慢了一步的正确应答。论文中的数据: 中国范围内的800个DNS解析客户端,99.88%受其影响。
不幸的是,这种看似只是只有国人才有的“福利”,也影响了其他国家的互联网用户。最早由智利的管理员发现:从智利和加利福尼亚发往 I.RootServers.NET 的DNS查询有时会发生应答“污染”。在分析了这次事故后最终发现很多其他国家都在遭受同样的DNS 污染,而问题的源头就在于有三个DNS ROOT server (F, I, 与 J) 的anycast instance 位于中国 。一旦DNS请求途径了中国,污染便无法避免的发生了,即便域名属于其他国家,而解析请求也不在中国,同样难逃污染。
那么是不是互联网的管理者们从中国 CNNIC手中撤回root server的权利,问题就解决了呢?答案是 不完全是。
论文统计了世界范围内的影响,在测试173个国家和地区中的43,842次DNS 递归查询中。由于G{过}F{滤}W的功劳,其中的109个国家受到了不同程度的递归查询DNS污染,伊朗受的影响最重,为88.20%。平均 为26.41% 。
这种DNS附属破坏主要发生在客户端与TLD授权服务器进行会话的过程中,尤其是.de和.kr的TLD.
当然解决DNS污染最根本的办法就是启用DNSSEC,在DNSSEC启用的情况下,被“污染”的DNS应答将会被client自动忽略掉,从而等待真正的应答到来。目前墙的技术应该无力破坏DNSSEC的防御,当然,道高一尺,魔高一丈,也许倒是墙也有了更先进的手段,谁知道呢。
猜您喜欢...
©2006~2024 牛排过熟 - 0.00775 秒 - 2692.605 KB/s - 33 在线 内存: 493.46 KB
18:54:01 up 13 days, 18:33, 2 users, load average: 0.98, 0.86, 0.73 - 服务器 PHP 版本号: 7.4.33
牛排怎么做才好吃? | <meta name="机器人" content="不索引, 跟踪" />
18:54:01 up 13 days, 18:33, 2 users, load average: 0.98, 0.86, 0.73 - 服务器 PHP 版本号: 7.4.33
评论 (0)
读写完全 - 一般 - 最小 - 表格 - 所有评论 - 统计
当前页暂时没有评论。