例如用Google DNS解析twitter.com的时候,Google本身是不会返回被污染的数据的,其实DNS缓存攻击已经失效,除了2010年那次缓存污染泄露影响到全球以外,基本上境外DNS是不受DNS缓存投毒影响的.
但GFW的做法似乎是抢先在Google返回的解析结果之前返回一条错的解析结果给你,我测试下来Dnsmasq开启DNSSEC之后对这种攻击毫无办法,从DNSSEC的描述来看,似乎也只是能解决DNS Cache Poison的问题.
有谁清楚GFW这种对境外DNS的干扰的原理吗?不知道是否有这方面的比较详尽的分析可以参考.
除了用iptables防火墙规则规律直接排除掉被插入的解析结果,或者通过VPN直接访问DNS服务器,还有别的方法对付这种攻击吗?
下面我的dnsmasq dnssec配置部分,是否还有漏掉什么呢?我确定DNSSEC是在工作的,因为如果我再加入dns-check-unsigned,114这类DNS就完全无法工作了.
=====================================
dnssec
trust-anchor=.,19306,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
但GFW的做法似乎是抢先在Google返回的解析结果之前返回一条错的解析结果给你,我测试下来Dnsmasq开启DNSSEC之后对这种攻击毫无办法,从DNSSEC的描述来看,似乎也只是能解决DNS Cache Poison的问题.
有谁清楚GFW这种对境外DNS的干扰的原理吗?不知道是否有这方面的比较详尽的分析可以参考.
除了用iptables防火墙规则规律直接排除掉被插入的解析结果,或者通过VPN直接访问DNS服务器,还有别的方法对付这种攻击吗?
下面我的dnsmasq dnssec配置部分,是否还有漏掉什么呢?我确定DNSSEC是在工作的,因为如果我再加入dns-check-unsigned,114这类DNS就完全无法工作了.
=====================================
dnssec
trust-anchor=.,19306,8,2,49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5
1
Select Language