Guardians of DNS Integrity: A Remote Method for Identifying DNSSEC Validators Across the Internet

DNS安全扩展（DNSSEC）提供了最有效的方法来对抗DNS缓存投毒攻击。然而，很少有DNS解析器执行DNSSEC验证。识别这样的系统是不容易的，现有的方法也不适用于互联网规模的测量。在本文中，我们提出了一种新的远程技术来识别DNSSEC验证解析器。所提出的方法包括两个步骤。在第一步中，我们通过扫描31亿个终端主机来识别开放解析器，并要求每个非转发器解析一个正确的和七个故意配置错误的域名。然后，我们建立了一个分类器，根据查询模式和DNS响应代码来区分验证程序和非验证程序。我们发现，虽然大多数开放解析器都启用了DNSSEC，但IPv4（IPv6为38％）验证接收到的响应的解析器不到18％。在第二步中，我们远程识别没有入站源地址验证（SAV）的网络中的关闭非转发器。使用第一步建立的分类器，我们识别出37.4％的IPv4（42.9％的IPv6）关闭DNSSEC验证器，并使用RIPE Atlas探针进行交叉验证。最后，我们展示了发现的（非）验证器积极向DNS根服务器发送请求，这表明我们正在处理运行中的递归解析器而不是配置错误的机器。

如何在互联网规模上识别DNSSEC验证解析器？

提出了一种基于查询模式和DNS响应代码的分类器，可以识别DNSSEC验证解析器，并使用该分类器在网络中远程识别关闭的非转发器。

通过扫描31亿个终端主机，并请求每个非转发器解析一个正确和七个故意配置错误的域来识别开放解析器。发现大部分开放解析器都启用了DNSSEC，但IPv4中不到18％（IPv6中38％）验证接收到的响应。

与该论文相关的研究包括：《DNSSEC Deployment: Benefits and Challenges》、《A Survey of DNS Security: Threats and Solutions》等。