Solidot | 中国的DNS污染是互联网的真正威胁

奇客资讯  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

中国的DNS污染是互联网的真正威胁

审查 互联网
blackhat (19032)发表于 2010年11月30日 11时18分 星期二 新浪微博分享 腾讯分享 豆瓣分享 人人分享 网易分享
来自重建互联网部门
今年3月和4月,中国的DNS污染两次影响了互联网:第一次是3月份,当美国和智利的用户试图访问流行社交网站如facebook.com、youtube.com和twitter.com等域名,他们的域名查询请求转交给中国控制的DNS根服务器处理,由于这些网站在中国被封锁,结果用户收到了错误的DNS信息;第二次是4月8日,最近广为报道的BGP(边界网关协议)劫持。 现在,安全专家发出警告,中国的审查正威胁到其边界之外的区域,影响到生活在中国之外的网民。中国拥有三台镜像DNS根服务器(F-、I-和J-),根据安全公司Renesys的数据,全球57%的DNS查询是通过位于中国的根服务器完成,中国周边地区如俄罗斯、东南亚最受影响。中国的DNS污染正成为互联网安全和自由的真正威胁。

评论已经自动封存,请勿再发言论
中国的DNS污染是互联网的真正威胁 | 18条评论
显示选项 阈值选择:    样式:
声明: 下面的评论属于其发表者所有,不代表本站的观点和立场,我们不负责他们说什么。

  • 股沟大神有保存全世界的dns数据么?(得分:1 )

    Magicloud(10093) Neutral 发表于2010年11月30日 03时38分 星期二
    股沟大神全知全能,发发发发赐我力量!
    [ ]

    • Re:股沟大神有保存全世界的dns数据么(得分:1 )

      hime(17976) Neutral 发表于2010年11月30日 10时23分 星期二
      google DNS更新很慢,上次moe.imouto换服务器我杯具了好多天,从此以后再也不用8.8.8.8了……
      [ ]

    • Re:股沟大神有保存全世界的dns数据么(得分:1 )

      wodaye(20095) Neutral 发表于2010年12月01日 09时45分 星期三
      教育网压力很大
      [ ]

  • hahahah(得分:1 )

    mr(19346) Neutral 发表于2010年11月30日 03时49分 星期二
    让老外也知道知道
    [ ]

  • 来之有关部门(得分:1 )

    superberd(17807) Neutral 发表于2010年11月30日 03时51分 星期二
    中华帝国,文成武德,则被苍生,千秋万载,一统世界
    [ ]

  • 希望这样可以促使互联网开放 匿名用户 (得分:0) 2010年11月30日 04时23分 星期二

  • 讲技术要严谨(得分:1 )

    wakey(11582) Neutral 发表于2010年11月30日 06时34分 星期二
    胡扯嘛,中国根本就没有DNS根服务器,只有3台根服务器的镜像。而且这3台镜像的控制权限都不在中国人手里,密码都只有外国人知道。作为镜像,上面提供的镜像结果和所对应的3个根应该是一模一样的,如果根服务器上没问题,镜像上也没有问题。除非有人牛B的hack进去了。但是没有一个镜像的管理单位声称过镜像被黑,说明在中国的根镜像提供的结果是没有问题的。问题应该出在墙上,以及为什么这些用户的请求会转到中国境内的DNS上,关根镜像屁事。
    另外,BGP是什么?是路由协议,再次关DNS屁事。
    [ ]

    • Re:讲技术要严谨 匿名用户 (得分:0) 2010年11月30日 08时08分 星期二

      • Re:讲技术要严谨(得分:1 )

        wakey(11582) Neutral 发表于2010年11月30日 10时35分 星期二
        不管怎么划词,第二个事件总和DNS没关系吧,BGP和DNS不是一个层次的东西,怎么算DNS污染?
        [ ]

    • Re:讲技术要严谨(得分:1 )

      lark(8198) Neutral 发表于2010年11月30日 09时53分 星期二
      我第一反应和你一样。不过推敲之后,也看过英文原文,是没问题的。

      首先我们得假设 GFW 的 DNS hijack 系统并不判断来源地址。国外 DNS 服务器有可能来查询中国的根服务器镜像,这个时候 GFW 会给错误的结果,这是一种污染;发生 BGP 路由污染时,国外 DNS 服务器查在国外的根服务器,其包也会绕中国,GFW 也会给错误的结果,这是另外一种污染。

      原文并没有强调中国的根服务器控制权的问题,强调的是 GFW。
      [ ]

      • Re:讲技术要严谨(得分:1 )

        wakey(11582) Neutral 发表于2010年11月30日 10时34分 星期二
        我理解你的意思,所以我也说了“问题应该出在墙上,以及为什么这些用户的请求会转到中国境内的DNS上”。前一个问题是一个长久以来的问题,后一个实际上并不仅仅在中国发生,巴基斯坦发生过,土耳其也发生过,虽然他们也不全是DNS系统,没记错的话有的是路由系统。但是全文说的好像中国可以在根服务器上玩审查一样。现在,在根上已经启用了DNSSEC,实际上墙已经不具备污染根的能力了。虽然我不清楚根镜像上是否启用了DNSSEC,但是现在再来说墙能污染根,不就和我朝娱乐界一样喜欢炒冷饭?
        [ ]

        • Re:讲技术要严谨(得分:1 )

          tangooricha(5245) Neutral 发表于2010年11月30日 11时00分 星期二
          其他国家的DNS请求会转到中国是因为其他国家的ISP自己的AS内没有镜像,不会发布相关的路由,而根据BGP选路,到国内镜像所处的AS为最优,所以这些请求就到国内来了,这自然就会在通过墙时被影响到。而之前的那个所谓BGP劫持不过是一次割接失败的结果,与巴基斯坦劫持youtube相比,根本不具备主观故意的问题,而且AS23724在发布错误路由的几分钟后就撤销了相关路由,真正来说全球路由表保守估计应当在10-20分钟内就全部收敛了,也没有留下什么后遗症。所以把这两个根本不是同一个类型的问题放在一起,有混淆视听的嫌疑。而现在又把AS23724的事情拿出来说,恐怕就有点所谓炒作中国威胁论的味道了。
          [ ]

          • Re:讲技术要严谨(得分:1 )

            wangchl(16210) Neutral 发表于2010年11月30日 13时45分 星期二
            外国人拉不出屎赖中国吧引力挪走了。
            [ ]

            • Re:讲技术要严谨(得分:1 )

              moses(5965) Neutral 发表于2010年12月01日 10时42分 星期三
              毫無基礎的胡亂類比只會顯示你的無知
              --
              "I may not agree with what u say but I'll defend to the death ur right to say it."
              [ ]

            • Re:讲技术要严谨(得分:1 )

              xiaomao101(9552) Neutral 发表于2010年12月02日 14时41分 星期四
              這種句式好像在哪裡見過
              ps:誰知道輸入法怎麼把繁體變簡體,日了,不知道按錯哪個鍵了。
              [ ]

        • Re:讲技术要严谨(得分:1 )

          lark(8198) Neutral 发表于2010年12月01日 01时29分 星期三
          DNSSEC 要完全发挥作用,还需要其它 DNS 服务器支持 DNSSEC。但大量部署的 DNS 服务器还是不支持 DNSSEC 的,我想这情况还会持续好多年。
          [ ]

    • Re:讲技术要严谨(得分:1 )

      sbilly(415) Neutral 发表于2010年12月01日 16时02分 星期三
      中国是有 DNS 根域镜像的,而且不止一个。这些镜像的作用就是让国内的用户访问根域时不用穿过海底光缆,而只需要在国内即可实现。理论上来说,如果中国大陆地区彻底与外界断开互联网,现在的 DNS 体系基本上不要做任何调整还是会继续运作的。
      [ ]

  • 天朝威武 GFW给力 匿名用户 (得分:0) 2010年12月01日 05时51分 星期三

随意打赏

提交建议
微信扫一扫,分享给好友吧。
关闭