我的 ISP BGP/DNS 是否被劫持?

信息安全 dns 路由 监视
2021-08-17 23:46:55

我注意到来自我的 ISP 的一些非常可疑的活动。

有时我会注意到,当我 ping google.com 时,它会解析为我的 ISP 拥有的 IP。我目前没有示例,因为它目前正在正常解决。然而,这里有一件奇怪的事情。我的 ISP 的 DNS 服务器 (41.128.225.225)、8.8.8.8、8.8.4.4 和 4.2.2.2 都在 12 毫秒左右 ping。这是所有这些 IP 的跟踪路由,表明流量从未离开 ISP 网络。

互联网服务供应商 DNS:

Tracing route to 41.128.225.225 over a maximum of 30 hops

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    11 ms    11 ms  172.18.1.85
  4    11 ms    11 ms    11 ms  41.128.225.225

谷歌 DNS:

Tracing route to google-public-dns-a.google.com [8.8.8.8] over a maximum of 30 hops:

  1     4 ms     4 ms     3 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    12 ms    11 ms  172.18.1.97
  4     *        *        *     Request timed out.
  5    12 ms    12 ms    12 ms  172.20.2.14
  6    48 ms    15 ms    13 ms  172.17.1.10
  7    13 ms    13 ms    12 ms  google-public-dns-a.google.com [8.8.8.8]

3 级 DNS:

Tracing route to b.resolvers.Level3.net [4.2.2.2]
over a maximum of 30 hops:

  1     6 ms     3 ms     2 ms  192.168.1.1
  2     *        *        *     Request timed out.
  3    11 ms    13 ms    11 ms  172.18.1.81
  4    14 ms    35 ms    16 ms  b.resolvers.Level3.net [4.2.2.2]

所有的 172.16.0.0/12 都在 ISP 的专用网络中,这意味着这些流量都不会进入外部世界。有人可以确认这是否是我的 ISP 的真正可疑活动,我能做些什么吗?

1个回答

是的,您的 ISP 显然不仅劫持了 google 的 DNS,而且还劫持了您尝试发送到外部 DNS 服务器的 DNS 请求。

您的分析是正确的,即流向 Google 的流量没有离开您的 ISP 网络。您的跟踪路由还显示,您对 Google 公共 DNS 以及第 3 级开放解析器的 DNS 查询不会离开您的 ISP 网络。

此外,无论您查询哪个 DNS 提供商,返回的 DNS A 记录都指向您的 ISP 网络内的 IP。即,提供的 A 记录被劫持,因为这不是 Google 自己提供的 A 记录,而是您的 ISP 提供的代替它的记录。

您的 ISP 似乎在劫持实际的 DNS 查询,以防止您绕过其对 DNS 记录的劫持。

他们不需要 BGP 篡改来执行此操作。他们需要做的所有事情(可能他们正在做的事情)就是将所有发往 UDP 53 的数据包路由到他们自己的名称服务器。在自己的路由器中进行简单的设置。

其它你可能感兴趣的问题
上一篇帮助调查潜在的网站攻击(URL 重写和 ROT-13 混淆) 下一篇服务器攻击尝试,他们试图达到什么目的?