APNIC文摘—DoH和DoT不影響網頁載入時間

本APNIC文摘原標題為Page load times not affected by DoH and DoT,由普林斯頓大學資訊科學博士生Austin Hounsel撰文。多數DNS查詢和回應是以明文(Do53)傳輸的,因此容易遭到竊聽和訊務分析,另外,DNS查詢會洩露敏感資訊,例如瀏覽紀錄或智慧居家中的用戶活動。為了減輕隱私風險,DNS-over-TLS(DoT)和DNS-over-HTTPS(DoH)兩種協定被提出,這些協定不是以明文發送查詢和回應,而是在客戶端和resolver之間建立加密隧道,這種根本性的改變對DNS的性能和內容傳遞都有影響。 閱讀全文 “APNIC文摘—DoH和DoT不影響網頁載入時間”

APNIC文摘—RIPE NCC提供RPKI測試網頁

本APNIC文摘原標題為Test if your network drops invalid RPKI BGP announcements,是由RIPE NCC(歐洲網路資訊中心)的IPv6計畫經理Nathalie Trenaman撰文,介紹RIPE NCC建立的測試RPKI(Resource Public Key Infrastructure,資源公鑰基礎建設)BGP(Border Gateway Protocol,邊界閘道協定)的網頁。只要開啟網路瀏覽器,造訪RPKI測試網頁,便可很快地知道所使用的網路是否會拋棄無效的RPKI BGP路由驗證。

由於目前網路的設定會刪除無效的RPKI BGP通知,因此,RIPE NCC研究團隊建立了一個實驗性網頁,可以檢查所使用的網路是否執行RPKI Origin Validation(來源驗證)。

這個技術以前也曾用於IPv6的測試,為了將其調整為適用於RPKI,研究團隊使用兩個測試前綴(由NTT Communications提供):

  • 其中一個測試有效的路由來源授權(Route Origin Authorization, ROA)
  • 另一個測試無效的ROA(團隊意設計的)

兩者都有一個提供內容的網路伺服器,因此,如果您不能從無效ROA中獲取內容,但可以從有效ROA中獲取內容,那麼您所在的網路很可能會拋棄無效的RPKI BGP路由驗證。

這個測試網頁目前僅適用於IPv4,研究團隊也將盡快提供可用於IPv6的版本。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Test if your network drops invalid RPKI BGP announcements

圖片來源:APNIC部落格

APNIC文摘—偵測IPv6網路掃描活動(下)

上篇所述,研究團隊使用DNS backscatter來偵測IPv6網路掃描活動,該方法有幾項好處:

  1. 易於布署,可在DNS權威伺服器上作觀察;
  2. 由快取queriers自動觸發,因此可顧及隱私考量;
  3. 具有強健的功能,可對抗難以避開的惡意來源。

閱讀全文 “APNIC文摘—偵測IPv6網路掃描活動(下)”

APNIC文摘—偵測IPv6網路掃描活動(上)

本APNIC文摘原標題為Detecting IPv6 network scans,由日本國家資訊學研究所(National Institute of Informatics)副教授Kensuke Fukuda撰文。由於網路掃描工具隨處可得且方便使用,不到一小時便可用普通的電腦掃描全部的IPv4位址,偵測大範圍IPv4網路掃描活動對網路安全營運十分重要,因為得知這種惡意活動的存在可能有助於預測大規模攻擊。 閱讀全文 “APNIC文摘—偵測IPv6網路掃描活動(上)”

APNIC文摘—東加女性在ICT產業持續成長

本APNIC文摘原標題為Tongan Women in ICT continues to grow,由東加氣象、能源、資訊、災害管理、環境、氣候變遷與通訊部(Ministry of Meteorology, Energy, Information, Disaster Management, Environment, Climate Change and Communications, MEIDECC)資深系統分析員Seluvaia Kauvaka撰文。東加女性資通訊(Women in ICT)團體自去(2018)年6月展開首次會議,從不到10人的小組,至今已發展為約30人的組織,成員領域包括工程、教育、安全和媒體。東加Women in ICT受到該國資訊通訊部(Ministry of Information and Communications)的支持,每月定期舉辦聚會,其宗旨如下: 閱讀全文 “APNIC文摘—東加女性在ICT產業持續成長”

APNIC文摘—語言是泰國網路用戶增長的關鍵因素

本APNIC文摘原標題為 Language is key to growing Thai Internet users,由APNIC資深數位溝通人員Robbie Mitchell 撰文。泰國有6,000萬人口,與亞太地區大多數國家一樣,由於泰語為非拉丁語系的聲調語言,讓當地人在使用網路這種以文字為格式的現代技術感到困難,儘管自90年代末以來,網路上有越來越多的內容以本地語言來表示(包含泰語),但是使用英語才能進入這些網站,對許多人來說都是一個障礙。 閱讀全文 “APNIC文摘—語言是泰國網路用戶增長的關鍵因素”

APNIC文摘—使用Ziggy檢視RPKI歷史數據

本APNIC文摘原標題為Leaping through RPKI history with Ziggy,是由NLnet Labs資深科學家Roland van Rijswijk-Deij撰文。NLnet Labs自2018年起開發了一系列有關RPKI(Resource Public Key Infrastructure,資源公鑰基礎建設)的開放原始碼計畫,其中的第一個計畫為Routinator,也是所謂的Replying Party軟體,該軟體的重要功能在於驗證路由來源授權(Route Origin Authorizations, ROA)和輸出通過驗證的ROA前綴(Verified ROA Payloads,, VRPs),路由器可以利用它過濾無效的BGP(Border Gateway Protocol,邊界閘道協定)更新。每一次 Routinator 的版本釋出前都會利用當下的RPKI資料進行測試。本文主要說明研究人員利用RIPE NCC自2011年以來所留下的歷史RPKI資料進行Routinator 測試的過程與結果,而研究人員用來測試的工具稱之為Ziggy,與科幻影集「時光怪客」(Quantum Leap)中的超級混合電腦同名。 閱讀全文 “APNIC文摘—使用Ziggy檢視RPKI歷史數據”

APNIC文摘—蜜罐誘捕系統(honeypot)可幫助網路安全研究

蜜罐誘捕系統(honeypot)是網路安全研究的實用工具,主要透過將資源暴露在受控制的環境中,以了解不同的攻擊類型以及模式。honeypot 可讓研究者直接看到系統如何被強行進入,並揭露攻擊者的基礎設施,有時甚至可以發現尚未知曉的漏洞。因此,honeypot 被探測、攻擊或洩漏地越多,它就越有價值。本 APNIC 文摘原標題 A tale of two honeypots in Bhutan,是由 APNIC 資深網路分析師 Tashi Phuntsho 撰文,主要介紹 APNIC 社群運用 honeypot 的實例。 閱讀全文 “APNIC文摘—蜜罐誘捕系統(honeypot)可幫助網路安全研究”

APNIC文摘—量測DNS Flag Day的影響

2019年2月1日啟動的DNS Flag Day,主要是DNS服務供應商共同協議結果並承諾不再提供變通辦法給尚未支援標準EDNS協定(Extension mechanisms for DNS的權威伺服器(authoritative name servers)。有關DNS Flag Day的運作可參考DNS Flag Day之成果文章。

本篇APNIC文摘主題為「量測DNS Flag Day的影響」,作者量測重點沒有放在待修復的權威伺服器上,反而從解析器(resolver)的觀點,觀察 DNS Flag Day 前後這些解析器的行為改變 閱讀全文 “APNIC文摘—量測DNS Flag Day的影響”

APNIC文摘—緬甸成立IXP的過程

在發展中國家建立網際網路交換中心(Internet Exchange Point, IXP),既是社會工程也是技術工作,通常需要包括政府、非營利組織和企業在技術與商業利益方面,長達多年的討論與妥協,才能達成協議。然而,成立緬甸網路交換中心(Myanmar Internet Exchange, MMIX)的計畫於2017年7月首次提出,卻不到兩個月後便開始運作,成為緬甸首個IXP。本篇文摘主要是說明緬甸成立IXP的經驗。 閱讀全文 “APNIC文摘—緬甸成立IXP的過程”