域名系统(DNS: Domain Name System)是互联网重要的基础设施,是互联网的寻址入口,流量调度的导航。随着我国数字化浪潮和企业数字化转型趋势,DNS重要性愈发凸显。尤其是在DNS平台化和规模化的趋势下,DNS体现了新的特征,挑战和机遇。
2023年6月20日,由阿里云联合清华大学、奇安信在京联合主办题为云服务时代下的互联网域名解析和挑战的技术论坛,阿里云高级技术专家马永出席并做演讲介绍阿里云融合云DNS技术挑战和实践。来自清华大学演讲者张丰露在会上也分享了与阿里云DNS团队合作的在云平台DNS负载均衡安全风险和机制的研究工作。
图1 阿里云马永介绍融合云DNS的挑战和实践
在演讲中,马永介绍了云时代的DNS已经由传统网络连接为中心的解析协议,演进到面向多场景应用、算力调度、数字资产治理的PaaS/SaaS服务,以阿里云DNS海量服务为样本看,云上的DNS流量已经超过外部互联网用户访问DNS解析流量。马永还重点介绍了融合场景下的灵活性、稳定性、扩展性等方面的技术挑战,以及阿里云在多云+传统IDC,云端协同等多个融合场景下的最佳实践。
图2 多云+传统IDC,云端协同融合场景
张丰露介绍了与阿里云DNS研究团队在云平台DNS负载均衡安全风险和机制的联合研究工作。该工作发现一些权威域名服务器对部分DNS查询 “保持沉默”的响应策略,会被利用来影响主流递归DNS软件负载均衡算法的结果,达到控制权威域名服务器访问流量的效果。该攻击影响 BIND9、PowerDNS、Microsoft DNS 主流递归 DNS 软件、和不少国内外知名DNS厂商。
图3 云平台DNS负载均衡的安全风险和机制研究工作
同日,阿里云与来自高校、企业、研究机构的多位行业专家举办“下一代DNS+发展研讨会”,研讨共创DNS+发展趋势、热点和挑战。与会专家就“DNS+”在平台型DNS趋势、DNS安全研究、标识创新技术、普惠和生态方面建言献策。
图4 下一代DNS+发展研讨会部分与会人员合影
清华大学段海新教授研究团队介绍了云计算背景下的域名解析安全研究热点和趋势,主要聚焦在新型域名缓存污染攻击、域名授权机制安全威胁和域名解析流量规模操控三个方向。DNS虽然协议很简单,但多场景下大规模分布式的DNS存在新型攻击面的问题,一些十年前的安全漏洞,在今天仍然有可能被利用。DNS这个被遗忘的互联网基石在数字化转型的今天更需要被关注。
北京邮电大学的马严教授提出,下一代智能体和智能终端应该具备安全内生、管理内生、智能内生能力。对DNS网络行为的分析,流量模型的刻画会对未来系统有更好的指导。
阿里云DNS产研负责人梁卓认为,在多云异构的趋势下域名解析系统不再是传统的网络技术和服务。为了满足未来通信基础设施安全稳定、企业数字化转型和标识技术应用创新的趋势,DNS持续演进到“DNS+”的新型公共服务体系,即DNS面向千行百业数字化转型的解决方案、以云计算为代表的新型普惠技术、互联网生态治理及安全可控的运营能力。
CNNIC研究院姚健康博士说在基础设施领域,参考“IPv6+”推动了IPv6在技术和应用方面的创新,“DNS+”在未来的新场景、新应用也值得期待。除了传统域名解析,广州物联网研究院 院长王伟博士也介绍了互联网标识和IPv6结合,在数字藏品领域的应用可能性。
最后与会专家的一个共识是,互联网域名和标识解析涉及到商业、技术和治理的诸多热点话题,DNS更需要“+生态共建”,建议通过加强DNS产学研用生态交流,研究和合作,建立DNS健康运行的监测和反馈机制,进一步促进我国DNS安全稳定,公共服务普惠化,优化我国数字化发展环境。
