54、拦截与注入：现实中的 DNS 响应操纵

拦截与注入：现实中的 DNS 响应操纵

1. 背景与前期事件

截至 2022 年 10 月，有 1575 个任播实例，可在全球范围或有限网络范围内访问。本地网络运营商通常使用 NO EXPORT 或 NOPEER BGP 社区属性来限制 BGP 路由的传播，DNS 查询会根据路由表被路由到最近的任播位置，但 BGP 对延迟不敏感，可能会将客户端映射到较远的实例。

为了辅助故障排查，根服务器支持识别单个任播实例的 DNS 查询，可通过 CHAOS 类 TXT 查询（如 id.server、hostname.bind）或 NSID 选项实现。

前期曾发生过两次根流量操纵事件：
- 2010 年，美国和智利的客户端对 twitter.com、facebook.com 和 youtube.com 的查询收到了虚假 IP 地址响应，原始查询被发往北京的 i - root 实例。
- 2011 年，欧洲和美国的客户端被导向北京的 f - root 实例，但当时未报告响应注入情况。

2021 年 11 月，墨西哥的一些客户端无法访问 whatsapp.net 和 facebook.com。Meta 工程师重现事件过程：墨西哥的 RIPE Atlas 探针直接联系 k - root 服务器解析 d.ns.facebook.com 的 IP 地址，收到的注入响应（属于 Twitter 的 IP 地址）表明 DNS 请求被拦截。通过发送 id.server CHAOS TXT 查询，发现查询被路由到中国广州的 k - root 实例。进一步分析发现，在 2021 年 11 月 6 日泄漏被报告之前，已有来自 15 个国家 32 个自治系统的 57 个探针至少一