域名空间治理与域名协议安全的演进
2019-08-30
DNS治理是互联网治理的焦点,涉及技术标准、国际政治、法律经济等各种纠纷。
从早期,APARNET创立之初,SRI-NIC负责维护的HOST.txt,到1990年代,域名注册转到NSI公司,并引发的域名战争,再到ICANN之后的根域名管理,目前全球在根域名服务器扩展的现状(全球1011个镜像,中国大陆已部署至少8个),段海新详细关于域名管理的演进,以及互联网治理早期的历史。
在互联网成立之初,美国政府对互联网DNS根的控制几乎是不存在的。
大多数政策问题上,政府相信技术社区。
在域名管理问题上,技术社区相信Jon Postel,以及他提出对根服务托管组织选择的四项原则:需要、联通、共识和不做过滤。
2008至今,所有根服务器都是IPv4/IPv6双栈,顶级域名也有98%支持IPv6。据清华和奇安信对中国流量的统计,客户端IPv6流量从2018-2019年,增涨了近三倍。
关于国际化域名(IDN),使用最多的国家是中国、日本、韩国和德国;其中,已有不少被如VirusTotal等威胁情报源列进恶意域名。利用国际化域名进行的同型异义钓鱼攻击(有些已被相关机构保护性注册,但大量可批量生成的攻击性域名还没有。)也给各国网络空间治理带来很大威胁。
DNS协议相关的安全问题,主要有:DoS攻击、缓存污染、链路劫持、流量的窃听和注入、利用DNS查询分析用户隐私等。清华-奇安信的联合实验室,近期研究成果就包括新型的DNS缓存污染攻击:通过构造超大的DNS请求,强迫服务器分片,然后用伪造的分片进行覆盖。
关于权威服务器(DNSSEC),中国在政府、银行和教育三个行业的部署调研结果是,在政府、教育两个行业有增长。关于加密DNS,全球的现状是部署较少,而且已部署的也出现大量证书配置错误的情况,虽然已有相关国际标准,但技术争议大。(虽然可以防止路径劫持,但副作用也会让各国运营商的流量优化措施,以及各国政府之前的监管手段失效。)
概括来讲,DNS的价值远不只提供IP地址解析的功能,了解DNS的历史有利于理解互联网治理的现状。目前DNS问题仍然很多,相关安全技术也在不断发展。呼吁中国业界与国际标准和最佳实践同步,共同提升互联网基础设施的内生安全能力。