向井里下毒:探索防火长城的DNS中毒
在上周维也纳举行的电子社会隐私研讨会上,牛津大学的三名研究人员发表了对防火长城DNS中毒的研究报告《Poisoning the Well—Exploring the Great Firewall’s Poisoned DNS Responses》(PDF)。
当防火长城观察到特定域名的DNS查询,它会返回中毒的DNS响应。防火长城的中间人位置使得它能抢在DNS服务器返回合法的DNS响应前就将其中毒的DNS响应发送到客户端。这是一个众所周知的事实。研究人员提出了一个其他人可能没怎么研究的问题:中国的DNS服务器是否本身就被中毒了?他们监视了1871个在中国注册和运行的公共DNS服务器,观察其对特定域名如Google、YouTube、Twitter和Facebook返回的查询结果,发现DNS服务器返回的IP地址与防火长城发送的相同,这意味着DNS服务器本身就遭到了中毒。研究人员进一步推断:防火长城的DNS中毒主要目标不是直接针对用户,而是DNS服务器。研究人员还发现了防火长城返回的9个无效IP地址:37.61.54.158 ,93.46.8.89 ,59.24.3.173 ,78.16.49.15 ,203.98.7.65 ,243.185.187.39, 159.106.121.75 ,46.82.174.68 和8.7.198.45,其中37.61.54.158使用频率最高。这一观察可以与gfwrev的研究相互对照。
当防火长城观察到特定域名的DNS查询,它会返回中毒的DNS响应。防火长城的中间人位置使得它能抢在DNS服务器返回合法的DNS响应前就将其中毒的DNS响应发送到客户端。这是一个众所周知的事实。研究人员提出了一个其他人可能没怎么研究的问题:中国的DNS服务器是否本身就被中毒了?他们监视了1871个在中国注册和运行的公共DNS服务器,观察其对特定域名如Google、YouTube、Twitter和Facebook返回的查询结果,发现DNS服务器返回的IP地址与防火长城发送的相同,这意味着DNS服务器本身就遭到了中毒。研究人员进一步推断:防火长城的DNS中毒主要目标不是直接针对用户,而是DNS服务器。研究人员还发现了防火长城返回的9个无效IP地址:37.61.54.158 ,93.46.8.89 ,59.24.3.173 ,78.16.49.15 ,203.98.7.65 ,243.185.187.39, 159.106.121.75 ,46.82.174.68 和8.7.198.45,其中37.61.54.158使用频率最高。这一观察可以与gfwrev的研究相互对照。