某DNS污染机制存在内存信息泄露

北京时间2025.2.26上午，T站有则关于寡妇王DNS污染机制存在内存信息泄露的消息，一个被披露者命名为Wallbleed的安全漏洞。

https://.../gfw_report/status/1894559031131336872

(这应该是一个不存在的网站)

大意是，GFW DNS污染系统，解析DNS请求报文时不够严谨，犯了历史上DNS协议解析所犯过的错误；最终效果是，伪造DNS响应报文时，将当前进程空间中与DNS请求无关的部分内存信息错误地复制到响应报文中，发送回DNS请求方。披露者提供了英中两版技术报告，业内同行应该已围观过。

DNS协议解析的各种幺蛾子，确实是个历史大坑，从上个世纪末到现在，但凡自己重新造轮子来解析DNS报文者，不跳坑是很难的，但确实没想到封闭的GFW也难逃此劫。这些技术细节就不多说了，只是有些感慨。

报告中有段内容值得复述:

Following best practices for Internet scanning, we limited the traffic volume to each host not under our control to only one UDP packet per 15 minutes. We hosted a web page at the source IP address of our scans, displaying a project description and explaining how to opt out of scanning. We received and honored one opt-out request in the course of the study.

中文大意是:

遵循互联网扫描的最佳实践，对每个非我们所有的目标IP，将流量限制为每15分钟对之发送一个UDP报文。同时，我们在UDP报文源IP上布署了一个网页，描述本项目，并解释如何避免被扫描到。在研究过程中，我们收到并响应了一个避免扫描的请求。

披露者对该漏洞进行了两年多的监测、分析，进行黑盒式逆向工程，可以说，很有耐心。报告中写道，GFW在2023年11月对Wallbleed进行了一次不完备的修补，2024年3月彻底修复漏洞。也就是说，时至今日，GFW没有前述报告所述Wallbleed漏洞，补了。

按披露者自己的说法是，他们监测、分析得差不多了，还考虑了各种伦理问题，这个那个的，综合评估后决定向GFW负责任地披露此漏洞；但是，他们尚未来得及向GFW披露，后者自己发现并修复了漏洞，使得他们的披露决定变得毫无意义。这段看英文版，表达得更清晰。

关于他们所说的伦理考量，若是真的，个人觉得没啥大问题。但是，读完全篇报告，个人不大相信他们那个说辞，什么就决定披露，恰在此时被补了，一种哄鬼的感觉扑面而来。我倾向于，他们本来打算一直监测下去，漏洞被补之前并未打算披露，发现漏洞被补之后临时给自己贴金，来这么一套既要又要的说辞。当然，这只是个人扯淡，观之一笑而过便罢。