产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
绝大部分用户默认使用 isp 分配的递归 dns 服务器,有少部分用户会修改设置改用流行的公共 dns 服务器。dns 域名解析是基于信任链,但在今天这个时代信任很容易被打破。在 dns 解析路径上拦截设备可以向用户返回虚假的 ip 地址。清华大学、得州大学和复旦大学的研究人员在本周举行的 usenix 安全会议上发表研究报告《》(pdf),对 dns 拦截进行了大规模的分析。 他们调查的 3047 个自治系统(as)有 259 个拦截了 dns 请求,其中中国最大的移动公司中移动对 dns 请求的拦截比例远远超过其它 isp,这基本印证了中国移动用户对其网络的体验。在涉及中国的 tcp/udp dns 拦截研究中,中国电信(as4134)、中国联通(as4837)和中移动的三个 as(as9808,as56040 和 as56041)处理了最多的 dns 请求,中移动的三个 as 拦截比例最少超过 20%,最多超过 45%,偏爱的方法是请求重定向。中国 isp 用于拦截的路由器设备由思科、北京派网和神行者制造,、haomiao 和爱立信以及 xinfeng dns 重定向系统都支持 dns 拦截(中国移动研究人员发表了一篇论文叫《》)。发送给 google 公共 dns 的基于 udp 请求有 27.9% 被拦截,tcp 请求则只有 7.3%。研究人员认为,加密的 dns over tls 请求有助于减少 dns 拦截。他们发布了一个来帮助用户检查 dns 拦截。
试用申请
