知识产权与互联网/DNS劫持
DNS 劫持或DNS 重定向是指将域名系统 (DNS) 名称的解析重定向到其他 DNS 服务器的做法。这通常用于恶意目的,例如网络钓鱼;由互联网服务提供商 (ISP) 用于自私的目的,将用户的HTTP流量通过 ISP 自己的 Web 服务器,在其中提供广告、收集统计数据或其他 ISP 目的;以及由 DNS 服务提供商用于屏蔽对某些域名的访问,作为一种审查形式。
DNS 服务器的功能之一是将域名转换为应用程序需要连接到互联网资源(例如网站)的IP 地址。此功能在各种正式的互联网标准中定义,这些标准详细定义了协议。DNS 服务器隐式地受到面向互联网的计算机和用户的信任,以正确地将名称解析为互联网域名的所有者注册的实际地址。
恶意 DNS 服务器将所需网站(搜索引擎、银行、经纪人等)的域名转换为具有意外内容的网站的 IP 地址,甚至恶意网站。大多数用户依赖于其ISP自动分配的 DNS 服务器。僵尸计算机 使用更改 DNS 的木马 来隐形地将 ISP 的自动 DNS 服务器分配切换为来自恶意 DNS 服务器的手动 DNS 服务器分配。[需要引用] 当用户尝试访问网站时,他们会被发送到一个虚假网站。这种攻击被称为网络钓鱼。如果他们被重定向到的网站是恶意网站,伪装成合法网站,以便欺诈性地获取敏感信息,则被称为网络钓鱼。[1]
许多消费者 ISP,例如Cablevision 的Optimum Online,[2] Comcast,[3] 时代华纳,Cox Communications,RCN,[4] 罗杰斯,[5] Charter Communications,Verizon,维珍媒体,Frontier Communications,贝尔 Sympatico,[6] UPC,[7] T-Online,[8] Optus,[9] Mediacom,[10],ONO[11] 和Bigpond (Telstra)[12][13][14][15] 使用 DNS 劫持来达到自己的目的,例如显示广告[16] 或收集统计数据。这种做法违反了 DNS (NXDOMAIN) 响应的RFC 标准,[17] 并有可能使用户面临跨站点脚本攻击。[16]
重定向可能更温和,允许由OpenDNS 等服务提供的 DNS 服务器拦截和阻止已知是恶意的或包含用户想要阻止的内容的网站等。DNS 服务器提供商可能会为此服务收取费用,或者还会显示广告、收集统计数据等。
对 DNS 劫持的担忧在于这种对 NXDOMAIN 响应的劫持。互联网和内联网应用程序依赖于 NXDOMAIN 响应来描述 DNS 对指定主机没有条目时的状态。如果查询无效的域名 (fakeexample.com),应该得到 NXDOMAIN 响应 - 通知应用程序该名称无效并采取适当的措施(例如,显示错误或不尝试连接到服务器)。但是,如果在这些不符合标准的 ISP 中之一上查询域名,将始终收到属于 ISP 的伪造 IP 地址。在 Web 浏览器中,此行为可能令人讨厌或冒犯,因为连接到此 IP 地址会显示提供商的ISP 重定向页面,有时会包含广告,而不是适当的错误消息。但是,其他依赖于 NXDOMAIN 错误的应用程序将尝试启动到这个伪造 IP 地址的连接,这可能会泄露敏感信息。
ISP 劫持 DNS 时导致的功能故障示例
- 属于Windows 服务器域的漫游笔记本电脑将错误地认为它们已返回企业网络,因为域控制器、电子邮件服务器和其他基础设施似乎可用。因此,应用程序将尝试启动到这些企业服务器的连接,但会失败,导致性能下降、互联网连接上的不必要流量和超时。
- 许多小型办公室和大多数家庭网络没有自己的 DNS 服务器,而是依赖于广播名称解析。但是,由于 DNS 查询的优先级高于本地广播,因此所有名称将错误地解析为属于 ISP 的服务器,并且本地网络将无法正常工作。
- 像Firefox 这样的浏览器不再具有“按名称浏览”功能(在地址栏中输入关键字,会带你到最匹配的网站)。[18]
- 现代操作系统内置的本地 DNS 客户端会缓存 DNS 搜索结果,以提高性能。如果客户端在家庭网络和VPN之间切换,缓存中可能会保留错误的条目,从而导致 VPN 连接出现服务中断。
- DNSBL 反垃圾邮件解决方案依赖于 DNS;因此,错误的 DNS 结果会干扰其操作。
- 应用程序可能被 ISP 欺骗,使其相信它们要连接的服务器可用,从而泄露用户的机密数据。
- 用户在浏览器中输入错误的 URL 时,可以选择使用哪个搜索引擎,因为 ISP 会决定向用户显示哪些搜索结果;像Google 工具栏 这样的应用程序的功能无法正常工作。
- 配置为使用分割隧道 和 VPN 连接的计算机将停止工作,因为不应该在公网隧道外解析的内网名称将开始解析为虚假地址,而不是在接收到来自互联网的 NXDOMAIN 响应时通过 VPN 隧道在私有 DNS 服务器上正确解析。例如,尝试解析内部邮件服务器 DNS A 记录的邮件客户端可能会收到错误的 DNS 响应,将其重定向到付费结果网站,邮件将排队数天等待传送,而重新传输则徒劳无功。[19]
- 它通过使网页浏览器错误地认为 ISP 配置了代理服务器 来破坏Web 代理自动发现协议 (WPAD)。
在某些情况下,ISPs 提供设置来禁用对 NXDOMAIN 响应的劫持。正确实现后,此类设置会将 DNS 还原为标准行为。但是,一些 ISP 反而使用网页浏览器 Cookie 来存储偏好设置。在这种情况下,根本问题没有解决:DNS 查询继续被重定向,而 ISP 重定向页面被伪造的 DNS 错误页面替换(例如,Charter 这里。注意“管理选择加入设置”链接)。除网页浏览器以外的应用程序无法通过 Cookie 退出该方案,因为退出仅针对HTTP 协议,而该方案实际上是在协议无关的 DNS 系统中实现的。
回应
[edit | edit source]在英国,信息专员办公室承认,非自愿 DNS 劫持的做法违反了 PECR 和关于数据保护的 EC 指令 95/46,这两项指令要求对通信流量的处理获得明确同意。但是,他们拒绝干预,声称执行法律“不明智”,因为“它不会对个人造成明显的(或任何)损害”。[需要引证]
ICANN 是负责管理顶级域名名称的国际机构,已发布了一份备忘录,强调了其担忧,并确认:[19]
“ICANN 强烈反对在现有的 gTLD、ccTLD 和 DNS 树中任何级别的注册类域名中使用 DNS 重定向、通配符、合成响应以及任何其他形式的 NXDOMAIN 替换。”
另请参阅
[edit | edit source]参考资料
[edit | edit source]- ↑ "Rogue Domain Name System Servers". Trend Micro. Retrieved 2007-12-15.
- ↑ "Optimum Online DNS Assistance".
- ↑ "Comcast trials
Domain Helper serviceDNS hijacker". The Register. Retrieved 2009-10-07. - ↑ "Who Stole My Web Browser?".
- ↑ "Rogers Uses Deep Packet Inspection for DNS Redirection". dslreports.com. 2008-06-20. Retrieved 2010-06-15.
- ↑ "Bell Starts Hijacking NS Domain Queries".
- ↑ "UPC FAQ about the "navigation service"".
- ↑ T-Home-Team (2009-04-09). "Neues Leistungsmerkmal 'Navigationshilfe'" (德语). 检索于 2009-12-02.
如果启用了导航帮助,将分配支持此功能的 DNS 服务器;如果禁用了导航帮助,将分配传统 DNS 服务器。
{{cite web}}: 未知参数|trans_title=被忽略 (|trans-title=建议) (帮助) - ↑ Optus 的“关于搜索结果页面”
- ↑ "需要一个真实的例子来说明为什么我们需要网络中立性?我有!”.
- ↑ XSS 反射 dnssearch.Ono.es NXD 重定向 « iniqua
- ↑ BigPond 将拼写错误重定向到“不道德的”品牌搜索页面 - CRN 澳大利亚
- ↑ "Charter 正在破坏 DNS 协议,即劫持主机".
- ↑ "Road Runner 的 DNS 劫持导致网页速度缓慢".
- ↑ "Rogers 通过劫持失败的 DNS 查找违反网络中立性".
- ↑ a b "ISP 错误页面广告让黑客能够劫持整个网络,研究人员披露".
- ↑ "DNS 查询的负缓存".
- ↑ "使用 Firefox + NoRedirect 扩展来避免 DNS 劫持".
- ↑ a b "顶级域名和其他注册级域名中 NXDOMAIN 替换造成的损害" (PDF). ICANN. 2009-11-24. 检索于 2010-09-23.