智慧財產權與網際網路/DNS劫持
DNS 劫持或DNS 重定向是指將域名系統 (DNS) 名稱的解析重定向到其他 DNS 伺服器的做法。這通常用於惡意目的,例如網路釣魚;由網際網路服務提供商 (ISP) 用於自私的目的,將使用者的HTTP流量透過 ISP 自己的 Web 伺服器,在其中提供廣告、收集統計資料或其他 ISP 目的;以及由 DNS 服務提供商用於遮蔽對某些域名的訪問,作為一種審查形式。
DNS 伺服器的功能之一是將域名轉換為應用程式需要連線到網際網路資源(例如網站)的IP 地址。此功能在各種正式的網際網路標準中定義,這些標準詳細定義了協議。DNS 伺服器隱式地受到面向網際網路的計算機和使用者的信任,以正確地將名稱解析為網際網路域名的所有者註冊的實際地址。
惡意 DNS 伺服器將所需網站(搜尋引擎、銀行、經紀人等)的域名轉換為具有意外內容的網站的 IP 地址,甚至惡意網站。大多數使用者依賴於其ISP自動分配的 DNS 伺服器。殭屍計算機 使用更改 DNS 的木馬 來隱形地將 ISP 的自動 DNS 伺服器分配切換為來自惡意 DNS 伺服器的手動 DNS 伺服器分配。[需要引用] 當用戶嘗試訪問網站時,他們會被髮送到一個虛假網站。這種攻擊被稱為網路釣魚。如果他們被重定向到的網站是惡意網站,偽裝成合法網站,以便欺詐性地獲取敏感資訊,則被稱為網路釣魚。[1]
許多消費者 ISP,例如Cablevision 的Optimum Online,[2] Comcast,[3] 時代華納,Cox Communications,RCN,[4] 羅傑斯,[5] Charter Communications,Verizon,維珍媒體,Frontier Communications,貝爾 Sympatico,[6] UPC,[7] T-Online,[8] Optus,[9] Mediacom,[10],ONO[11] 和Bigpond (Telstra)[12][13][14][15] 使用 DNS 劫持來達到自己的目的,例如顯示廣告[16] 或收集統計資料。這種做法違反了 DNS (NXDOMAIN) 響應的RFC 標準,[17] 並有可能使使用者面臨跨站點指令碼攻擊。[16]
重定向可能更溫和,允許由OpenDNS 等服務提供的 DNS 伺服器攔截和阻止已知是惡意的或包含使用者想要阻止的內容的網站等。DNS 伺服器提供商可能會為此服務收取費用,或者還會顯示廣告、收集統計資料等。
對 DNS 劫持的擔憂在於這種對 NXDOMAIN 響應的劫持。網際網路和內聯網應用程式依賴於 NXDOMAIN 響應來描述 DNS 對指定主機沒有條目時的狀態。如果查詢無效的域名 (fakeexample.com),應該得到 NXDOMAIN 響應 - 通知應用程式該名稱無效並採取適當的措施(例如,顯示錯誤或不嘗試連線到伺服器)。但是,如果在這些不符合標準的 ISP 中之一上查詢域名,將始終收到屬於 ISP 的偽造 IP 地址。在 Web 瀏覽器中,此行為可能令人討厭或冒犯,因為連線到此 IP 地址會顯示提供商的ISP 重定向頁面,有時會包含廣告,而不是適當的錯誤訊息。但是,其他依賴於 NXDOMAIN 錯誤的應用程式將嘗試啟動到這個偽造 IP 地址的連線,這可能會洩露敏感資訊。
ISP 劫持 DNS 時導致的功能故障示例
- 屬於Windows 伺服器域的漫遊筆記型電腦將錯誤地認為它們已返回企業網路,因為域控制器、電子郵件伺服器和其他基礎設施似乎可用。因此,應用程式將嘗試啟動到這些企業伺服器的連線,但會失敗,導致效能下降、網際網路連線上的不必要流量和超時。
- 許多小型辦公室和大多數家庭網路沒有自己的 DNS 伺服器,而是依賴於廣播名稱解析。但是,由於 DNS 查詢的優先順序高於本地廣播,因此所有名稱將錯誤地解析為屬於 ISP 的伺服器,並且本地網路將無法正常工作。
- 像Firefox 這樣的瀏覽器不再具有“按名稱瀏覽”功能(在位址列中輸入關鍵字,會帶你到最匹配的網站)。[18]
- 現代作業系統內建的本地 DNS 客戶端會快取 DNS 搜尋結果,以提高效能。如果客戶端在家庭網路和VPN之間切換,快取中可能會保留錯誤的條目,從而導致 VPN 連接出現服務中斷。
- DNSBL 反垃圾郵件解決方案依賴於 DNS;因此,錯誤的 DNS 結果會干擾其操作。
- 應用程式可能被 ISP 欺騙,使其相信它們要連線的伺服器可用,從而洩露使用者的機密資料。
- 使用者在瀏覽器中輸入錯誤的 URL 時,可以選擇使用哪個搜尋引擎,因為 ISP 會決定向使用者顯示哪些搜尋結果;像Google 工具欄 這樣的應用程式的功能無法正常工作。
- 配置為使用分割隧道 和 VPN 連線的計算機將停止工作,因為不應該在公網隧道外解析的內網名稱將開始解析為虛假地址,而不是在接收到來自網際網路的 NXDOMAIN 響應時透過 VPN 隧道在私有 DNS 伺服器上正確解析。例如,嘗試解析內部郵件伺服器 DNS A 記錄的郵件客戶端可能會收到錯誤的 DNS 響應,將其重定向到付費結果網站,郵件將排隊數天等待傳送,而重新傳輸則徒勞無功。[19]
- 它透過使網頁瀏覽器錯誤地認為 ISP 配置了代理伺服器 來破壞Web 代理自動發現協議 (WPAD)。
在某些情況下,ISPs 提供設定來停用對 NXDOMAIN 響應的劫持。正確實現後,此類設定會將 DNS 還原為標準行為。但是,一些 ISP 反而使用網頁瀏覽器 Cookie 來儲存偏好設定。在這種情況下,根本問題沒有解決:DNS 查詢繼續被重定向,而 ISP 重定向頁面被偽造的 DNS 錯誤頁面替換(例如,Charter 這裡。注意“管理選擇加入設定”連結)。除網頁瀏覽器以外的應用程式無法透過 Cookie 退出該方案,因為退出僅針對HTTP 協議,而該方案實際上是在協議無關的 DNS 系統中實現的。
回應
[edit | edit source]在英國,資訊專員辦公室承認,非自願 DNS 劫持的做法違反了 PECR 和關於資料保護的 EC 指令 95/46,這兩項指令要求對通訊流量的處理獲得明確同意。但是,他們拒絕干預,聲稱執行法律“不明智”,因為“它不會對個人造成明顯的(或任何)損害”。[需要引證]
ICANN 是負責管理頂級域名名稱的國際機構,已釋出了一份備忘錄,強調了其擔憂,並確認:[19]
“ICANN 強烈反對在現有的 gTLD、ccTLD 和 DNS 樹中任何級別的註冊類域名中使用 DNS 重定向、萬用字元、合成響應以及任何其他形式的 NXDOMAIN 替換。”
另請參閱
[edit | edit source]參考資料
[edit | edit source]- ↑ "Rogue Domain Name System Servers". Trend Micro. Retrieved 2007-12-15.
- ↑ "Optimum Online DNS Assistance".
- ↑ "Comcast trials
Domain Helper serviceDNS hijacker". The Register. Retrieved 2009-10-07. - ↑ "Who Stole My Web Browser?".
- ↑ "Rogers Uses Deep Packet Inspection for DNS Redirection". dslreports.com. 2008-06-20. Retrieved 2010-06-15.
- ↑ "Bell Starts Hijacking NS Domain Queries".
- ↑ "UPC FAQ about the "navigation service"".
- ↑ T-Home-Team (2009-04-09). "Neues Leistungsmerkmal 'Navigationshilfe'" (德語). 檢索於 2009-12-02.
如果啟用了導航幫助,將分配支援此功能的 DNS 伺服器;如果停用了導航幫助,將分配傳統 DNS 伺服器。
{{cite web}}: 未知引數|trans_title=被忽略 (|trans-title=建議) (幫助) - ↑ Optus 的“關於搜尋結果頁面”
- ↑ "需要一個真實的例子來說明為什麼我們需要網路中立性?我有!”.
- ↑ XSS 反射 dnssearch.Ono.es NXD 重定向 « iniqua
- ↑ BigPond 將拼寫錯誤重定向到“不道德的”品牌搜尋頁面 - CRN 澳大利亞
- ↑ "Charter 正在破壞 DNS 協議,即劫持主機".
- ↑ "Road Runner 的 DNS 劫持導致網頁速度緩慢".
- ↑ "Rogers 透過劫持失敗的 DNS 查詢違反網路中立性".
- ↑ a b "ISP 錯誤頁面廣告讓駭客能夠劫持整個網路,研究人員披露".
- ↑ "DNS 查詢的負快取".
- ↑ "使用 Firefox + NoRedirect 擴充套件來避免 DNS 劫持".
- ↑ a b "頂級域名和其他註冊級域名中 NXDOMAIN 替換造成的損害" (PDF). ICANN. 2009-11-24. 檢索於 2010-09-23.