07/09/2012

Сопутствующий ущерб, наносимый фильтрацией Интернета путем вмешательства в DNS

Группа специалистов, по соображениям безопасности пожелавших остаться неизвестными, провела независимое техническое исследование размеров, причин и последствий побочного ущерба, наносимого локальной фильтрацией интернет-трафика с применением средств DNS-вмешательства. Доклад был презентован в августе 2012 года на ежегодной конференции, проводимой Специальной группой по передаче данных международной Ассоциации вычислительной техники (Special Interest Group on Data Communication, SIGCOMM).

Авторы изучили практику фильтрации, осуществляемой рядом стран (например, Китаем), и выявили и проанализировали влияние такой фильтрации на глобальный обмен данными. В исследовании подробно описываются механизмы обработки DNS-запросов, основные способы вмешательства, предлагаются варианты борьбы с загрязнением DNS-трафика.

Отмечается, что основной ущерб наносится при транзитной обработке запросов серверами (большинство из которых принадлежит Китаю), использующими локальную фильтрацию, и может сказаться на работе 26% внешних по отношению к цензурируемой подсети DNS-серверов. Основным источником загрязнения трафика называется отрезок между первичным ресолвером и TLD-сервером.

Авторы предлагают три выхода из такой ситуации: 

  1. Более строгая дифференциация DNS-трафика фильтрующих интернет-провайдеров: на локальный и транзитный, с исключением применения фильтрующих инструментов к транзитному трафику. 
  2. Установление системы предпочтений для соседних провайдеров: при обнаружении загрязнения DNS-трафика конкретным сервером в дальнейшем выбирать альтернативные маршруты для запросов. 
  3. Самым важным и надежным способом является внедрение системы DNSSEC, содержащей встроенные инструменты предотвращения ущерба трафику и его загразнению, в особенности на уровне TLD.

Специалисты считают проблему загрязнения DNS-трафика крайне актуальной в условиях возрастающего количества стран, внедряющих или планирующих внедрение систем, фильтрующих интернет-трафик.

Оригинал исследования (.pdf, 250Кб)


АНАЛИТИКА
АНАЛИТИКА