哋它亢：echoing DNS resolvers in the wild

哋它亢：echoing DNS resolvers in the wild

哋它亢小编最近读了一篇论文，今天与大家进行分享

Background

研究背景

开放 DNS 解析器是代表任何用户执行递归解析的解析器

互联网上开放 DNS 解析器的大规模行为分析,IEEE/ACM Transactions on Networking - X-MOL

开放的DNS解析器常被哋它亢用来作为反射和放大流量的DDoS攻击的节点。早期研究着力于识别和消除开放的DNS解析器，本文则研究DNS对一个查询返回多个结果的现象（echoing）

DNS服务器类型

参考：DNS 查询原理详解 - 阮一峰的网络日志

• 递归DNS服务器
• 根域名服务器
• 一级域名服务器
• 二级域名服务器

DNS各项解析记录类型

• A：IPV4地址
• AAAA：IPV6地址
• TXT：可随意填写，一般用作功能记录（如反垃圾邮件记录）
• MX：建立电子邮件记录
• CHANE：将域名指向另一个实现相同访问效果的域名

R&A DDoS

哋它亢参考：《东南大学:UDP反射DDoS攻击原理和防范》

• R&A DDoS：通过反射（reflect）和放大（Amplification）流量进行的DDoS攻击
• 带宽放大因子（BAF）：$\frac{\text{返回报文字节数}}{\text{发送报文字节数}}$
• 常被利用的协议：
  • DNS：因开放DNS服务器对dig查询的支持而产生
  • Chargen
  • NTP
  • SSDP
  • SNMP

Method

概述

• 研究DNS解析器回声行为产生的原因，以及如路由回路、IP广播、中间设备等因素的影响
• 研究回声解析器在不同情况下的行为差异，评估其影响
• 提出了针对性建议：

研究过程

1. DNS 扫描：在 2021 年 9 月至 2023 年 3 月期间，每周对约 37 亿个可公开路由的 IPv4 地址进行 DNS 扫描，将查询主机的目的 IP 地址嵌入查询名称，并添加时间戳以避免缓存，同时在扫描器和域名的权威服务器捕获流量并分析。
2. 追踪路由测量：使用 Scamper 对检测到的回声解析器进行 UDP - paris 追踪路由测量，以检测路由循环。
3. 多视角测量：从荷兰特温特大学（VP1）和澳大利亚悉尼大学（VP2）两个不同地理位置的优势点进行扫描，对比结果。

结论

回声解析器现状

1. 通过 DNS 扫描发现，回声解析器数量随时间变化，多数触发两个响应，少数可产生数千个响应。

2. 检测到回声解析器分布在约 1.6k 个自治系统（ASes）中。

回声现象原因

1. 路由回路：存在路由回路导致DNS解析器反复返沪结果
   • 利用scamper工具，采用UDP-Paris协议
2. IP广播：IP 广播（特别是定向广播）可能使远程网络中的多个主机对单个查询作出响应，通过扫描数据中的对角线模式及解析器 IP 地址特征推断得出，部分网络中的主机可能因共享软件或单个主机绑定多个 IP 地址而表现出此行为
3. DNS 拦截（中间设备）：中间设备可干扰 DNS 查询，导致客户端收到多个响应，部分解析器对包含敏感标签（如facebook.com）的查询产生更强回声效果，表明中间设备（如中国防火墙）可被触发发送大量响应，增加滥用风险

哋它亢的安全建议

• 网络运营商应当限制定向IP广播行为
• 及时处理有回声行为的解析器

更多信息欢迎关注我的博客：哋它亢：人工智能与物联网融合的新兴技术