中国电信联合腾讯百度阿里114DNS加强DNS安全之技术详解

DNS是整个互联网的基础,无论是个人还是大小互联网公司,都可能因为DNS被恶意篡改而蒙受损失。恶意DNS的影响太大,除了对安全造成巨大隐患还会降低用户访问网络资源的速度,因而连一向忍耐力超强的电信运营商都无法容忍伸向DNS的黑手,第一次因此而大范围启用了BGP牵引。

BGP牵引的实质为电信运营商广播出长掩码高优先级路由,表现为直接夺取黑客的公网IP地址,无论黑客的设备躲在全球任何角落都奏效(对付固定IP做恶的能力,如果将安全厂商的软件比作常规武器,电信运营商的BGP牵引就如同核武),但BGP牵引这招的威力过大、搞不好容易产生后遗症,因而仅能在自身的网络范围内谨慎使用。

黑客利用大部分人不修改家用宽带路由器默认用户名密码这一疏忽,引诱人们去浏览其控制的WEB网页从而修改了几百万个家用宽带路由器的DNS,靠DHCP协议从家用宽带路由器自动获取DNS的PC及通过WiFi上网的手机,长期使用黑客的DNS,没有任何网络安全可言,如下图所示:

114DNS为电信运营商搭建了专门的BGP-DNS系统,该BGP-DNS系统可直接向电信骨干路由器注入32位掩码的高优先级BGP路由,电信运营商核心路由器接受该BGP路由并在自身的网络内进行受限广播。例如某恶意DNS的IP地址为某国IP_A,BGP-DNS广播出IP_A的32位掩码BGP路由之后,原本流向恶意DNS的流量被将会被BGP-DNS“吸过去”,在阿里、百度、腾讯等公司的授权下,BGP-DNS系统将访问量较大的网页主机名如www.taobao.com、www.tmall.com、www.baidu.com、user.qzone.qq.com 解析成特别的IP地址,阿里、百度、腾讯各自为此架设了专门的警示WEB服务器。

DNS被恶意篡改过的用户,例如DNS被篡改为IP_A的用户去访问www.taobao.com时,无法再看到淘宝的正常网页、却看到了淘宝的警示网页如下图,用户可按警示页面的引导修复其家用宽带路由器的DNS。目前,DNS被恶意篡改过的大部分中国电信用户,只有修复其路由器的DNS并重启PC之后,才能去淘宝购物,迫使用户提升网络安全,同时也改善用户访问网络资源的速度(因恶意DNS对CDN也很不友好)。

为避免DNS再次被黑客篡改,一定要修改家用宽带路由器的默认用户名和密码,否则就算现在修复了,DNS还是很可能再次被黑客篡改,修改用户名密码的方法请参见:http://www.114dns.com/alert.html 之 “操作演示”。

建议DNS还没有被篡改的人,抓紧时间去修改家用宽带路由器的默认用户名和密码。从目前电信运营商的BGP-DNS流量来看,晚高峰黑客曾承载高达每秒10万次的DNS请求,这个量太大了,希望大家谨慎。

114DNS公布此技术细节,主要目的有二,(1)满足技术人员的探索需求,同时消除部分人对腾讯百度阿里、特别是对电信运营商本次DNS整治工作积极行为的误解;(2)断绝黑客大规模篡改DNS的念想:电信运营商BGP-DNS上的几条命令就可将黑客苦心经营的DNS一锅端。

2013年10月16日,114DNS@南京