DNSSEC 对于直接插入虚假数据的攻击是不是无效?

例如用Google DNS解析twitter.com的时候,Google本身是不会返回被污染的数据的,其实DNS缓存攻击已经失效,除了2010年那次缓存污染泄露影响到全球以外,基本上境外DNS是不受DNS缓存投毒影响的.
但GFW的做法似乎是抢先在Google返回的解析结果之前返回一条错的解析结果给你,我测试下来Dnsmasq开启DNSSEC之后对这种攻击毫无办法,从DNSSEC的描述来看,似乎也只是能解决DNS Cache Poison的问题.

有谁清楚GFW这种对境外DNS的干扰的原理吗?不知道是否有这方面的比较详尽的分析可以参考.
除了用iptables防火墙规则规律直接排除掉被插入的解析结果,或者通过VPN直接访问DNS服务器,还有别的方法对付这种攻击吗?

下面我的dnsmasq dnssec配置部分,是否还有漏掉什么呢?我确定DNSSEC是在工作的,因为如果我再加入dns-check-unsigned,114这类DNS就完全无法工作了.
=====================================
dnssec
trust-anchor=.,19306,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

deddey

2014-07-04 23:41:15 +08:00

我也简单测试了一下，没有开启dnssec是会返回错误地址，开启后能判断返回的地址是错的，蛋疼的dns服务器就说，那个什么错的哦，然后，就没有然后了

leavic

2014-07-04 23:53:23 +08:00

@deddey 嗯,我想我大概知道问题了:
我在OpenWRT中设置了Google DNS和OpenDNS,但OpenDNS似乎还没有支持DNSSEC,而OpenDNS的速度稍微快一点,OpenWRT也许就默认用了OpenDNS解析,没有服务器端的支持肯定是完蛋的.

删掉OpenDNS之后似乎可以正常过滤投毒IP了,不过,速度真tm慢啊,不通过VPN的话,8.8.8.8的Ping延时400多毫秒....

我觉得还是把DNSSEC作为VPN断线后的防御手段来用吧,毕竟这个比用iptables规则要更广谱一些.

leavic

2014-07-04 23:56:58 +08:00

@deddey 不过话说回来,用iptables过滤投毒IP,还只是丢弃了第一个错误结果,最终还能挺快的找到正确IP.

DNSSEC这直接就把被污染的解析数据彻底丢掉了,结果就像你说的:

然后,就没有然后了.....

leavic

2014-07-06 10:07:17 +08:00

@deddey 我测试的结果是OpenerDNS并不支持DNSSEC啊:

=============
root@OpenWrt:~# dig www.dnssec-validator.cz +dnssec +short @8.8.8.8
217.31.205.55
A 5 3 7200 20140719093534 20140705135505 60537 dnssec-validator.cz. fo8tMjwnYGCt86UllwrDLwG9PIEtAu/nhkchlpjuLqP69TTVEdvc1FQh Pzk2gXl4jaBXS2dK7jAtcI5rhJBKjCDA+7BFzLeLSkDqpo0h5CwI7dmb WZ+VhwwcFI0jrdcOG/BJwa/1NqmPfLjZVeCD//y1lDnrykNllQTxFrbI 3x4=

root@OpenWrt:~# dig www.dnssec-validator.cz +dnssec +short @42.120.21.30
217.31.205.55
root@OpenWrt:~#

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/121002

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.