沒想到吧！ISP竟然會共享你的DNS查詢數據

眾所周知，DNS是網路工作的基礎，Web上的所有內容都由DNS域名訪問。

最初，DNS是在視為不必要事項的時候構建的，所以這是一種舊協議（創建日期為1987年11月）。不要與DNSSEC（DNS安全擴展）相混淆，DNSSEC的目的是驗證DNS響應沒有被篡改。

因為查詢未在DNS中加密，所以它們對於用戶和解析器之間的網路設備是可見的，並且在通常情況下，人們都會在其內部網路中使用外部解析器（通常是未命中傳遞的DNS查詢緩存到ISP DNS解析器）或在外部網路使用外部解析器（請參閱8.8.8.8 / 9.9.9.9 / 1.1.1.1和其他的IP地址）。

很多「威脅情報」都是依賴DNS數據進行研究的，因此公司內部的安全團隊通常會記錄DNS查詢數據，以便他們可以在以後查找相關事件。

然而，為了使這些數據具有意義，研究人員需要野外真實的系統數據。這時他們則會求助於大型公司，通過那些大型解析器得到數據並記錄下來。

如圖所示，下遊客戶的數據會發送給第三方來源，他們通常會負責讓研究人員訪問數據。

那麼ISP是做什麼用的呢？我們怎麼能找到它？

您只需要訪問每個打開的DNS解析器就可以獲得與ISP本身綁定的查詢！畢竟，IPv4互聯網僅有350萬個可路由地址！

因此，在18個小時內，我的伺服器每秒向隨機互聯網主機發送50,000個DNS數據包。

為了使這個設置生效，我為這個實驗買了一個新的域名，並且每個ASN都為該ISP生成了一個特定的DNS查詢。在發送端，我放棄了任何響應，只聽取了返回到我的DNS域名伺服器的查詢：

我的想法是，我碰到的這些解析器實際上只是上游到它們本地ISP解析器的緩存。從入站查詢的結果中，我可以看到ISP使用什麼將查找發送到我的名稱伺服器。發送給家庭ISP的查詢，會導致從Google到達的域名伺服器查詢提示8.8.8.8，從cloudflare到達的查詢會提示1.1.1.1，或者來自ISP本身的查詢會表明它是ISP查詢的本地基礎架構。

另外，我們可以在開放平台上查看收穫的子域名：

這些ASN和他們的解析器之間似乎沒有直接聯繫。

另外一個有趣的現象，即使在掃描完成後，我還會收到查詢，就好像我還在向一些ISP發送數據包。我管這些叫「殭屍查詢」。

舉個例子：

我向比利時的Telenet發送了200萬次查詢，並且返回了416次查詢至我的域名伺服器。然而，經過掃描後，我收到了來自南非ISP的4個查詢：

這就特別奇怪了，因為最後3個查詢是針對不同的DNS類型的。因此，我必須處理髮送給比利時Telenet的查詢，並進一步翻查我的子域名。

但我覺得這並不意味著Telenet已經把數據賣給了第三方，然後在南非重新查詢，它有可能是一位配置了另一個上游DNS提供商的客戶。

如下表格是我整理的數據，您可以輸入ISP名稱或AS號碼：（點擊這裡可在原文中輸入）

您也可以在https://github.com/benjojo/dns-spies找到我為此編寫的相關工具。

如果您對我的文章感興趣，歡迎關注我的推特或者RSS。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！