本頁使用了標題或全文手工轉換

網域服務器緩衝記憶體污染

維基百科,自由的百科全書
跳到: 導覽搜尋

網域伺服器緩衝記憶體污染(DNS cache pollution),又稱網域服務器緩衝記憶體投毒(DNS cache poisoning),是指一些刻意製造或無意中製造出來的網域伺服器封包,把網域指往不正確的IP位址。一般來說,在互聯網上都有可信賴的網域伺服器,但為減低網絡上的流量壓力,一般的網域服務器都會把從上游的網域服務器獲得的解析記錄暫存起來,待下次有其他機器要求解析網域時,可以立即提供服務。一旦有關網域的區域網域服務器的緩衝記憶體受到污染,就會把網域內的電腦導引往錯誤的服務器或伺服器的網址。

網域服務器緩衝記憶體污染可能是因為網域伺服器軟件的設計錯誤而產生,但亦可能由別有用心者透過研究開放架構的網域伺服器系統來利用當中的漏洞。

透過變更Windows 2003的某些網域封包設定,可以摒除有可疑的封包。[1]

為防止區域的網域伺服器緩衝記憶體污染除了要定時更新伺服器的軟件以外,可能還需要人手變更某些設定,以控制伺服器對可疑的網域封包作出篩選。[1]

緩衝記憶體污染攻擊[編輯]

一般來說,一部連上了互聯網的電腦都會使用互聯網服務供應商提供的網域伺服器。這個服務器一般只會服務供應商的客戶,通常都會將部分客戶曾經請求過的網域暫存起來,這種伺服器被稱為非權威伺服器,其應答稱非權威應答。緩衝記憶體污染攻擊就是針對這一種伺服器,以影響服務器的使用者或下游服務。

中國防火長城[編輯]

在中國大陸,對所有經過防火長城的在UDP的53端口上的網域查詢進行IDS入侵檢測,一經發現與黑名單關鍵詞相匹配的網域查詢請求,會馬上偽裝成目標網域的解析服務器返回虛假的查詢結果。由於通常的網域查詢沒有任何認證機制,而且網域查詢通常基於無連接不可靠的UDP協議,查詢者只能接受最先到達的格式正確結果,並丟棄之後的結果。[2]

  • 對於不了解相關知識的網友來說,由於系統默認使用的ISP提供的網域查詢服務器查詢國外的權威服務器時即被防火長城污染,進而使其緩衝記憶體受到污染,因此默認情況下查詢ISP的服務器就會獲得虛假IP位址;而用戶直接查詢境外網域查詢伺服器(比如 Google Public DNS)時有可能會直接被防火長城污染,進而在沒有任何防範機制的情況下仍然不能獲得目標網站正確的IP位址。[2]
  • 因為TCP連接的機制可靠,防火長城理論上未對TCP協議下的網域查詢進行污染,故現在能透過強制使用TCP協議查詢真實的IP位址。而目前的情況是,防火長城對於真實的IP位址也可能會採取其它的手段進行封鎖,或者對查詢行為使用連接重置的方法進行攔截,故能否真正訪問可能還需要其它翻牆的手段。
  • 通常情況下無論使用設置在中國大陸的DNS服務還是使用設置在外國的DNS服務,因為解析結果都需要穿過GFW,所以都會被GFW污染。但是仍有一些設置在中國大陸的小型DNS使用技術手段迴避GFW的污染並提供不受污染的結果,通常使用這些小型DNS也能夠訪問其他被封鎖的網站,此類DNS服務包括:
  • 根據互聯網上長期收集到的污染目標的虛假IP位址列表,防火長城會將黑名單內的網域重新導向至不限於以下列表的IP位址:[3]

IPv4環境[編輯]

  • 4.36.66.178
  • 8.7.198.45
  • 23.89.5.60
  • 37.61.54.158
  • 46.82.174.68
  • 49.2.123.56
  • 54.76.135.1
  • 59.24.3.173
  • 64.33.88.161
  • 64.33.99.47
  • 64.66.163.251
  • 65.104.202.252
  • 65.160.219.113
  • 66.45.252.237
  • 72.14.205.99
  • 72.14.205.104
  • 77.4.7.92
  • 78.16.49.15
  • 93.46.8.89
  • 118.5.49.6
  • 128.121.126.139
  • 159.106.121.75
  • 169.132.13.103
  • 185.85.13.155
  • 188.5.4.96
  • 189.163.17.5
  • 192.67.198.6
  • 197.4.4.12
  • 202.106.1.2
  • 202.181.7.85
  • 203.98.7.65
  • 203.161.230.171
  • 207.12.88.98
  • 208.56.31.43
  • 209.36.73.33
  • 209.145.54.50
  • 209.220.30.174
  • 211.94.66.147
  • 213.169.251.35
  • 216.221.188.182
  • 216.234.179.13
  • 243.185.187.39
  • 249.129.46.48
  • 253.157.14.165

一個比較特別的例子是 Google+ 的網域 plus.google.com 被重新導向至Google自己的服務器以封鎖IP位址的形式進行封鎖:

  • 74.125.31.113
  • 74.125.39.102
  • 74.125.39.113
  • 74.125.127.102
  • 74.125.130.47
  • 74.125.155.102
  • 209.85.229.138
  • 210.242.125.20

一個比較特別的例子是 YouTube 影片服務器的網域 r*.googlevideo.com 還擁有一份特別的投毒污染地址列表:

  • 0.0.0.0
  • 2.1.1.2
  • 4.193.80.0
  • 8.105.84.0
  • 12.87.133.0
  • 16.63.155.0
  • 20.139.56.0
  • 24.51.184.0
  • 28.121.126.139
  • 28.13.216.0
  • 46.20.126.252
  • 46.38.24.209
  • 61.54.28.6
  • 66.206.11.194
  • 74.117.57.138
  • 89.31.55.106
  • 113.11.194.190
  • 118.5.49.6
  • 122.218.101.190
  • 123.50.49.171
  • 123.126.249.238
  • 125.230.148.48
  • 127.0.0.2
  • 173.201.216.6
  • 203.199.57.81
  • 208.109.138.55
  • 211.5.133.18
  • 211.8.69.27
  • 213.186.33.5
  • 216.139.213.144
  • 221.8.69.27
  • 243.185.187.3
  • 243.185.187.30

IPv6環境[編輯]

  • 1.1.1.1
  • 1.2.3.4
  • 10.10.10.10
  • 20.20.20.20
  • 255.255.255.255
  •  ::90xx:xxxx:0:0
  • 10::2222
  • 21:2::2
  • 101::1234
  • 2001::212
  • 2001:DA8:112::21AE
  • 2003:FF:1:2:3:4:5FFF:xxxx
  • 2123::3E12
  • 200:2:253d:369e::
  • 200:2:4e10:310f::
  • 200:2:2e52:ae44::
  • 200:2:807:c62d::
  • 200:2:cb62:741::
  • 200:2:f3b9:bb27::
  • 200:2:5d2e:859::
  • 200:2:9f6a:794b::
  • 200:2:3b18:3ad::

污染攻擊大事記[編輯]

  • 2010年3月,當美國和智利的用戶試圖訪問熱門社交網站如facebook.com和youtube.com還有twitter.com等網域,他們的網域查詢請求轉交給中國控制的DNS根鏡像服務器處理,由於這些網站在中國被封鎖,結果用戶收到了錯誤的DNS解析訊息,這意味着防火長城的DNS網域污染網域劫持已影響國際互聯網。
  • 2012年11月9日下午3點半開始,防火長城Google的泛網域 .google.com 進行了大規模的污染,所有以 .google.com 結尾的網域均遭到污染而解析錯誤不能正常訪問,其中甚至包括不存在的網域,而Google為各國定製的網域也遭到不同程度的污染(因為Google通過使用CNAME記錄來平衡訪問的流量,CNAME記錄大多亦為 .google.com 結尾),但Google擁有的其它網域如 .googleusercontent.com 等則不受影響。有網友推測這也許是自防火長城創建以來最大規模的污染事件,而Google被大規模阻礙連接則是因為中共正在召開的十八大
  • 2014年1月21日下午三點半,中國互聯網頂級網域解析不正常,出錯網站解析到的網址是65.49.2.178,這個IP位於美國加利福尼亞州費利蒙市Hurricane Electric公司,被Dynamic Internet Technology(即自由門的開發公司)租用於翻牆軟件連接節點[4]
  • 2015年1月2日起,污染方式升級,不再是解析到固定的無效IP,而是隨機地指向境外的有效IP。剛開始只是對YouTube影片網域(*.googlevideo.com)進行處理,之後逐漸擴大到大多數被污染的網域。[5]這導致了境外服務器遭受來自中國的DDoS攻擊,部分網站因此屏蔽中國IP。[6]
  • 2016年3月29日起,防火長城針對Google升級了污染方式。在一開始升級過後,所有包含google, gmail等關鍵詞的網域查詢均被污染,導致很多用戶一時間完全無法正常使用Gmail服務。之後,防火長城對規則進行了調整。其中,對於*.google.com網域污染主網域(google.com,不包括www)及部分服務網域(drive.google.com, plus.google.com等),而針對地區網域則選擇性地污染泛網域(*.google.com.hk, *.google.co.kr, *.google.ru等),其他地區的網域則不受影響(*.google.us等)。[7]
  • 目前污染方式已恢復為解析到固定的無效IP,並且 twitter youtube google 等網站均使用泛解析方式網域污染。

ISP網域劫持[編輯]

中國電信在當用戶輸入錯誤或無法解釋的網址時就會顯示旗下互聯星空114網站。此乃2007年劫持Bloglines時的畫面。

中國大陸的互聯網服務提供商經常劫持部分網域,轉到自己指定的網站,以提供自己的廣告,污染方式為劫持網域不存在時返回的NXDOMAIN記錄(Non-existent domain)返回自己服務器的ip,從而跳轉至自己的服務器上顯示廣告等內容。

參見[編輯]

參考資料[編輯]

外部連結[編輯]