Группа исследователей из нескольких университетов США и Китая провела (https://www.usenix.org/system/files/conference/usenixsecurit...) исследование степени вмешательства провайдеров в транзитный DNS-трафик пользователей. Для обращения к DNS в большинстве случаев не применяются технологии аутентификации (DNSSEC) и шифрования (DNS over TLS/HTTPS), что позволяет провайдерам легко перехватывать и перенаправлять на свои сервера DNS-запросы к публичным  DNS-серверам, таким как 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), OpenDNS, Dyn DNS и Edu DNS. Основными мотивами перенаправления обычно является желание сэкономить трафик, снизить время отклика, обеспечить дополнительную защиту или реализовать блокировку запрещённых ресурсов.

В ходе исследования была изучена целостность доставки DNS-запросов c 148 тысяч клиентских IP-адресов, охватывающих 3047 автономных систем различных провайдеров. В итоге было обнаружено, что 0.66% всех запросов по протоколу TCP к публичным DNS-серверам перехватываются и подобный перехват практикуется владельцами 259 (8.5%) автономных систем. Предполагается, что для UDP в силу более простой организации перехвата доля проблемных систем заметно выше, но точно оценить долю перехвата по UDP не удалось из-за применения для анализа вмешательства в трафик прокси-сети, позволяющей отправлять запросы только через TCP SOCKS. Наибольшая активность перехвата наблюдается в Китае, в котором из 356 автономных систем перехват применяется в 61 AS (17% от всех рассмотренных в данной стране AS), в России с 44 AS (28%), в США с 15 AS (9%), Бразилии и Индонезии (по 7 AS, 4%).

Из методов перехвата трафика наиболее популярными являются перенаправление запросов и реплицирование ответа (оригинальный запрос и ответ не блокируются, но провайдер также направляет (https://www.opennet.me/tips/2999_iptables_block_tor.shtml) свой подставной ответ, который воспринимается клиентом из-за меньшего значения TTL). Как правило, в рамках одной автономной системы используется один метод перехвата, который применяется к конкретным внешним DNS-серверам, что свидетельствует о применении провайдером единой политики.

Наиболее часто перехватываемым публичным DNS-сервером стал сервис Google (8.8.8.8), для которого перехватывается 27.9% запросов по UDP и 7.3% по TCP. В 82 автономных системах перехватывается более 90% трафика к Google DNS. При этом в AS9808 (Guangdong Mobile) зафиксирована подмена результата для 8 запросов к Google Public DNS, в  которых вместо запрошенного хоста был выдан ответ с IP рекламного сайта, продвигающего приложение China Mobile.

URL: https://www.theregister.co.uk/2018/08/20/dns_interception/
Новость: https://www.opennet.me/opennews/art.shtml?num=49162