关于这次DNS攻击，来自红客联盟的消息

bulaohu

tencent 发表于 2014-1-27 22:44
两位都不用争了，其实都很懂的，而且说的都差不多，只是表达措辞差异而已。

GWF的确是在应用层过滤客户端D ...

根据dlcat说的，8.8.8.8还能正常解析，通配符为啥对狗狗的DNS就不灵了？

bulaohu

YIFAN03 发表于 2014-1-27 23:31
你说的这个应该是bridge firewall+内容监控，其实真没有什么难度。Linux bridge firewall我10年前就在公 ...

如果你用 https://www.google.com.au/它就没法知道内容了

企业内部的话可以搞SSL MITM，公网么，你的OS trust CNNIC的root，而且你不用Chrome的话...

bulaohu

audreamer 发表于 2014-1-27 23:42
我们单位这个bridge firewall很变态，所有https://www.google.com.au/都被重定向到http://www.google.com ...

好简单粗暴，公司职员的小心灵都被伤到了

bulaohu

dlcat 发表于 2014-1-29 08:05
说了半天，自己都开始往同一网段说了，你自己开始换概念了？

我问的是你如何实现全国各地多网段同时做DNS ...

全世界多少人梦想做黑客，但是看看最近10年，除了做染毒文件传播，偶尔抓到一个肉鸡，或者扫裸奔没升级老IIS服务器，GUEST用户升级权限更换PAGE成功，别的有对于真正的服务器和网络设备成功的么，根本没空间成功，只能暴力造成堵塞。
先不说违反IOS协议的所谓ARP能跨网段攻击，高手要原谅我说出这么违反基本常识的话。

让我想想...你去问问RSA，专门搞加密的公司，看他们同不同意你？或者问问Verisign好了，专卖SSL证书的，问他们到底被黑了多少次？再不行去问问EFF，问他们从Internet上crawl的数据表明过去5年里有多少发证书的CA被黑了，但就是不告诉你？

黑客确实不再是小孩子玩的东西了，因为真正的大玩家进场了，就是那种政府级的，特别是超级大国政府级别的，无限的资金，无限的资源，无限的耐心。你真的这么闲的话，去看看去年30C3上Applebaum的演讲吧，比在这儿猜黑客们都在干啥强

YIFAN03

bulaohu 发表于 2014-1-29 10:37
根据dlcat说的，8.8.8.8还能正常解析，通配符为啥对狗狗的DNS就不灵了？

这个，我的理解是，狗狗的DNS在海外，下的毒药还没有扩散到那里，或者扩散不到海外。

这个还要看毒药从哪里下的，如果是从根服务器/顶级服务器那里下毒，狗狗的DNS也可能被毒到。
因为根服务器使用anycast技术，在A国查询根DNS，根据当时网络拥赛情形，也可能查询被引导到处于B国的根服务器。
这就是如果B国根服务器提供的服务遭下毒的话，受影响的不光是B国的用户，全球的用户都可能受到影响。
wiki上有谈到：
http://zh.wikipedia.org/wiki/%E5 ... 8%E6%B1%A1%E6%9F%93
但是这个中毒有个过程，就是当地用户最先中毒，全球其他地方逐渐中毒，距离（指网络路由的距离）越远，中毒越慢。


但是如果投毒发生在GFW的话，国外的DNS查询根本不会经过GFW（我的假设，因为GFW没有必要拦截来自国外的DNS查询吧。当然这假设不一定正确），那也就不会受到影响了。


不知道我的理解对不对，请探讨下。。。。

YIFAN03

bulaohu 发表于 2014-1-29 10:52
让我想想...你去问问RSA，专门搞加密的公司，看他们同不同意你？或者问问Verisign好了，专卖SSL证书的 ...

无限的资源，无限的耐心---cant agree more

现在的对关键系统的入侵，靠的是无限的耐心，去钓鱼，去策划，去设圈套让相关人员掉进去。纯粹靠技术漏洞很难而且机会有限。

YIFAN03

bulaohu 发表于 2014-1-29 10:41
企业内部的话可以搞SSL MITM，公网么，你的OS trust CNNIC的root，而且你不用Chrome的话... ...

我感觉你说的意思是，在OS里面安装假的root证书，是这个意思吗？

lingyang

YIFAN03 发表于 2014-1-29 10:10
我感觉你说的意思是，在OS里面安装假的root证书，是这个意思吗？

不是假证书，和你OS握手的gateway签发的证书而已，akamai, cisco ESA之类的都是这样的。

dlcat

bulaohu 发表于 2014-1-29 10:25
8.8.8.8还能用正好说明不是GFW出了问题，要知道从国内用8.8.8.8（4.4）解析DNS的话是一定要经过GFW的，GF ...

GFW出了DNS解析问题，直接传导到信任他国内各大运营商DNS上，各大运营商DNS同步更新错误的解析结果并缓存，一级级向下传导更新。

但GOOGLE并不信任他，GFW对8.8.8.8来说只有国内用户访问时候的过滤功能，没有信任并更新的功能，造成GWF修正错误后，8.8.8.8立刻正常。但国内信任GWF的DNS还要等自动更新缓存需要一段时间，GOOGLE没有缓存更新问题，只要GFW修正了脚本，8.8.8.8服务就正常了。

YIFAN03

lingyang 发表于 2014-1-29 12:33
不是假证书，和你OS握手的gateway签发的证书而已，akamai, cisco ESA之类的都是这样的。  ...

bulaohu 说的是中间人攻击，你说的好像不是这个意思吧？

dlcat

bulaohu 发表于 2014-1-29 10:52
让我想想...你去问问RSA，专门搞加密的公司，看他们同不同意你？或者问问Verisign好了，专卖SSL证书的 ...

这就是国家从2006年专门下文，党政军设备全部国产化的原因。现在在干网上，基本都是替换成了硬件国产的OS和国产的设备。涉密单位和军队是物理隔绝。

lingyang

YIFAN03 发表于 2014-1-29 11:49
bulaohu 说的是中间人攻击，你说的好像不是这个意思吧？

一个意思，每次谈到这个我都会说公司做这个就是"legitimate man-in-the-middle attack".

YIFAN03

dlcat 发表于 2014-1-29 12:50
这就是国家从2006年专门下文，党政军设备全部国产化的原因。现在在干网上，基本都是替换成了硬件国产的OS ...

YIFAN03

lingyang 发表于 2014-1-29 12:53
一个意思，每次谈到这个我都会说公司做这个就是"legitimate man-in-the-middle attack".

那我们说的差不多是一个意思了，既然我说的是mitm，当然就说假证书了不是么？

lingyang

YIFAN03 发表于 2014-1-29 12:02
那我们说的差不多是一个意思了，既然我说的是mitm，当然就说假证书了不是么？  ...

嗯， 否则那些加密的ddos怎么防啊， 呵呵很多企业应用是和那些anti-ddos provider交换密钥的。

lingyang

YIFAN03 发表于 2014-1-29 12:00

这些SP都不算啥了，部队应该不会用思科的东西的

YIFAN03

dlcat 发表于 2014-1-29 12:44
GFW出了DNS解析问题，直接传导到信任他国内各大运营商DNS上，各大运营商DNS同步更新错误的解析结果并缓存 ...

补充照相一下：

GFW出了DNS解析问题，直接传导到信任他国内各大运营商DNS上，各大运营商DNS同步更新错误的解析结果并缓存，一级级向下传导更新。

但GOOGLE并不信任他，GFW对8.8.8.8来说只有国内用户访问时候的过滤功能，没有信任并更新的功能，造成GWF修正错误后，8.8.8.8立刻正常。但国内信任GWF的DNS还要等自动更新缓存需要一段时间，GOOGLE没有缓存更新问题，只要GFW修正了脚本，8.8.8.8服务就正常了。

GFW是直接对cache dns server投毒，没有一级一级往下面传染的说法。

也没有各大运营商DNS的说法（除非指的就是运营商的cache dns server）

dns server就分：

根

顶级

权威

cache dns server

YIFAN03

lingyang 发表于 2014-1-29 13:07
这些SP都不算啥了，部队应该不会用思科的东西的

他说党政军，还有骨干网

我举例说明政府和骨干网都在用。

军队嘛，我感觉也有在用，但是物理上非常隔绝

鱼羊鲜

感谢技术分析

YIFAN03

lingyang 发表于 2014-1-29 13:05
嗯， 否则那些加密的ddos怎么防啊， 呵呵很多企业应用是和那些anti-ddos provider交换密钥的。 ...

不太明白你说的是什么意思，我猜测是企业应用从anti-ddos provider获取某种黑名单？

比如发送垃圾邮件的服务器的黑名单？

tencent

bulaohu 发表于 2014-1-29 10:37
根据dlcat说的，8.8.8.8还能正常解析，通配符为啥对狗狗的DNS就不灵了？

8.8.8.8一直就是正常的，只不过你在中国的话对有些被屏蔽网站的DNS解析根本就到不了8.8.8.8，当中GFW直接截取回复了，而GFW出通配符毛病的时候所有.com的DNS解析都被屏蔽了，就算你指定8.8.8.8是你的DNS服务器你也得不到8.8.8.8的回复。

i2i2

tks

i2i2

看下這個事件的分析好不？
http://gigaom.com/2014/01/22/no- ... l-house-in-wyoming/

tencent

bulaohu 发表于 2014-1-29 10:25
8.8.8.8还能用正好说明不是GFW出了问题，要知道从国内用8.8.8.8（4.4）解析DNS的话是一定要经过GFW的，GF ...

8.8.8.8能用是对境外用户而言，但不代表解析结果正确。如果你访问youku.com，这个解析是要通过youku国内的DNS服务器，所以必然要经过GFW，而目前GFW并不区分DNS请求是境外发起还是境内发起，GFW出毛病时你通过8.8.8.8获得的youku.com也是一个由GFW提供的假地址，这也就是为什么那两天这里一堆人抱怨联不上很多国内网站了。

YIFAN03

i2i2 发表于 2014-1-29 15:28
看下這個事件的分析好不？
http://gigaom.com/2014/01/22/no-the-chinese-internet-did-not-somehow-get-re ...

还是有这样的疑问的：


I don’t think it was mistake. The Chinese technologist were trying to overload Sophideas servers by routing a lot of traffic to them.

dlcat

i2i2 发表于 2014-1-29 15:15
黨政軍的幹網叫公務網，又叫涉密網，是嚴格和互聯網隔離的，好不
軍隊還有自己的軍線，好不 ...

我说错了什么吗？我最后一个IT岗位就是做这方面，我统称党政军的干网，细分多了去了。每个大城市公务网是一个大局域网，有个出口，工商、税务、公安涉密单位都是垂直向上物理隔绝连公务网也不连，上公网必须另一台机器，所以很多领导屋里两个电脑，一个办事，一个看电影，下边员工一个机器有个专门的硬件PCI卡，一台机器两个系统对着两个网，从理论上也认可是物理隔绝。军网是完全隔绝，连两个网络物理上有连通的接近距离都不可以。搞到后来一些军校干脆连对外宣传招生的网站都嫌麻烦停了。2006年是个分水岭，因为华为可以做全套设备了，所以中央发文了，骨干网络国产化，以后各省逐渐变成硬性指标红头文件。至于招标的时候，全线产品都有谁，就这么两三家，招标法知道么，必须三家以上，背靠背招标也得两家，兄弟公司入围陪绑，最后用国产化设备，就像前一阵那个新闻，买旅行箱招标入围就那一家，为了陪绑，招标员瞎写了LV。

我懒得讨论下去了，因为看的错误越来越多了，和我争论的这位真的是没有DNS的应用经验，上下如何信任，如何指向，如何工作的原理都一塌糊涂，有些也瞎分析，我知道这么绝对的说话有一些IT人是不服的，愿意用些想象的东西反驳，但是事实如何，有实际操作经验的一眼便知，那位自身的不服的兄弟有机会去chinaunix上把自己的DNS设想和实现的构思去发表一下，那里集中了全中国的一线管理员，大牛太多，看看人家如何说。

dlcat

YIFAN03 发表于 2014-1-29 13:00

注意看时间、是那个部门的网络、是不是陪绑的代理商找来凑数，最后到底中没中。

dlcat

tencent 发表于 2014-1-29 15:06
8.8.8.8一直就是正常的，只不过你在中国的话对有些被屏蔽网站的DNS解析根本就到不了8.8.8.8，当中GFW直接 ...

正解，不过GFW的8888和过了GFW的8888得到两个结果，关键看过不过GFW。修正错误的时间则是看是不是信任GFW的DNS server,长短看设定的同步时间，这个时间是累加的，比如是三级域名的DNS SERVER，就是自己的同步时间+上一级域名服务器的同步时间。

dlcat

bulaohu 发表于 2014-1-29 10:52
让我想想...你去问问RSA，专门搞加密的公司，看他们同不同意你？或者问问Verisign好了，专卖SSL证书的 ...

超级大国开后门是意料之中谁也防不了的，这就是各国一直让各家OS都开源的原因。
到后来思科和华为为了OS版权又打架。
再后来华为全套可用之后中国马上让干网换华为。

YIFAN03

dlcat 发表于 2014-1-29 16:14
我说错了什么吗？我最后一个IT岗位就是做这方面，我统称党政军的干网，细分多了去了。每个大城市公务网是 ...

反驳下197#我的观点吧