分层域名系统,分为多个区域,每个区域由一个名称服务器提供服务。信用:公共域您家中的路由器可能会拦截您的一些互联网流量,并将其发送到不同的目的地。具体来说,路由器可以拦截域名系统流量,即用于将人类可读的域名(例如www.google.com)转换为互联网所依赖的数字互联网协议地址的通信。这是加州大学圣地亚哥分校的一组计算机科学家的发现,他们在2021年11月3日的互联网测量会议上介绍了这一发现。为什么这很重要?
加州大学圣地亚哥分校计算机科学博士、该课题论文的第一作者奥黛丽·兰德尔说:“首要关注的是隐私。“当您访问一个网站时,您首先必须对该网站进行DNS查找。因此,无论谁获得您的域名系统流量,都可以看到您正在访问的所有网站。原则上,您可以选择由谁来执行您的DNS查找,您可以选择一家您信任的公司不出售您的数据,或者选择一家使用强大的安全性来保护其日志的公司。但是,如果您的DNS流量被无声地拦截并路由到其他地方,那么其他人就会看到所有这些信息。”
兰德尔指出,很多DNS拦截案例并非恶意。互联网服务提供商经常使用拦截来保护用户免受恶意软件的侵害,恶意软件会联系特定的域名系统解析器,而域名系统解析器本质上就是互联网的电话簿。这些解析器将用户在浏览器中输入的网站网址转换为存储网站内容的服务器的IP地址。在这种情况下,拦截可能会有所帮助,因为它可以防止恶意软件损害用户的计算机。
研究人员甚至发现了一个既非恶意也非良性的拦截实例:这是一个简单的bug。加州大学圣地亚哥分校团队向两家互联网服务提供商透露了这一消息。两人都表示将努力解决问题。然而,域名系统查询也提供了关于用户行为的有价值的数据,可以卖给广告商,这可能会为一些公司拦截他们提供一个不那么利他的动机。
近年来,人们对域名系统拦截现象进行了研究,但迄今为止,人们对网络拦截发生在哪里知之甚少。事实证明,在数量惊人的情况下,用户自己的家庭路由器才是罪魁祸首。
这些路由器不会向用户指定的目标DNS解析器发送DNS查询。相反,软件会将它们重新路由到另一个解析器。然后修改查询响应,使其看起来像来自原始目标解析器。这种修改使得拦截对用户“透明”,因此很难被检测到。
很难确定透明拦截发生在哪里。但是研究人员能够通过设计一种创新和聪明的方法做到这一点。他们首先利用了作为调试工具而发明的特殊DNS查询,但是他们发现没有一个查询能够提供足够的信息来确定拦截器的位置。关键是比较两个特殊查询的响应:如果拦截器是家庭路由器,响应是相同的,但是如果拦截器在网络的其他地方,响应是不同的。
即使域名系统拦截经常被用来挫败恶意软件,事实仍然是用户不知道他们的流量被重定向,或者它被重定向到哪里。兰德尔说:“如果你足够关心谁看到了你的数据,谁把你的数据卖给了广告商,你就要确保处理这些数据的公司确实是他们所说的那个人。“当使用这种类型的透明拦截时,你认为你可以控制流量,但你没有。”
研究人员警告说,他们的研究有一些局限性。例如,他们用来进行研究的平台并不能代表所有的拦截案例,因为它过度代表了某些互联网服务提供商、国家或人口统计数据。
这项研究发表在第21届美国计算机学会互联网测量会议记录上。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
