一、互联网域名基础设施结构型安全风险
先介绍一下题目的由来。域名基础设施结构性安全风险到底是什么样的由来背景?这个团队属于清华大学段教授所领导的实验室,段老师所领导的实验室从2012年开始做DNS,到今天为止已经有十多年,十几年内实验室在域名安全方面有持续产出,很多研究成果被国际安全领域的学术顶会所录用。团队经常会有疑问,一直发现DNS域名基础设施有各种各样层出不穷的安全风险。这些安全风险的根源到底在什么地方?是由于几行代码问题实现不规范吗?后面的介绍会告诉大家不是这样。域名基础设施结构性安全风险可以是说团队对域名安全风险根源的阶段的思考和回答。
1.互联网域名基础设施支撑海量上层应用正常运行
首先这张图来自于国际互联网治理领域的顶级的权威组织Icann ,2013年发布的一张图。这张图是从Icann这个国际组织的视角如何治理互联网,治理互联网的全景图是什么,是Icann给出的答案。在它认为治理互联网很简单,互联网分为三层。
最下面一层是物理层,包括各种海缆、光缆等等。最上面一层是经济社会层,比如各种车联网、物联网等等。中间层就是连接逻辑层。在Icann认为逻辑层也很简单,就包括两部分,域名和IP。IP地址所对应的系统是BP系统,域名所对应的系统是DNS。Icann认为这两部分是治理互联网的最重要的抓手。2013年这个图出现后,各种各样的互联网新生场景不断迭代。很多人向Icann请求,希望更新这张互联网制定的视角图,Icann给出了非常明确的回复No。
团队认为治理互联网还是IP和DNS两个抓手。从互联网国际组织的视角看,Icann设计哲学充满了深度思考。今天参加云晰大会时,发现很多层出不穷的分论坛,每年都能看到很多分论坛今年有下一年就没了。但是互联网基础资源论坛可以五年十年二十年地办下去。从Icann的视角来看,在互联网上总有一些东西是根本不变的,称为互联网基础。上面的东西可以称为重头变换大王旗,每一年都可以有新东西,但是团队希望做一些更具有深度和长远价值的东西,这很重要。
2.互联网域名系统极为成功的设计哲学:分布式+协议简洁
从1983年以来域名协议被设计以来,已经经历了41年的演进,总体上它的设计非常成功。目前,域名协议被广泛运用于各种各样的互联网应用场景,并没有消亡反而在四十多年的演进过程中越来越具有生命力,这时域名系统表现出来的非常强大的特点。这主要源自于两方面非常成功的设计哲学,一方面是分布式,一方面是协议简洁。
3.针对互联网域名基础设施的攻击,易产生规模性影响
相比于优良的域名解析的性能,域名的安全性显得不堪一击。国内外爆发过域名事件,它们所造成的后果都是灾难性的。曾经有人把DNS比喻成互联网的核按钮。尽管不是很准确,但是从普通互联网用户的视角认为DNS的角色非常重要,安全性很脆弱。
4.域名基础设施安全性十分脆弱,影响全球互联网稳定运行
当我们从过去20年的视角梳理域名基础设施领域爆发的安全事件时,可以注意到一个问题,这些安全事件从公众视角来看非常引人注目。比如美国查封伊朗一百多个媒体域名事件,美国的NSA被曝光了一些全球范围内劫持用户通信流量的计划,从这些事件来看,对公众造成的冲击非常剧烈,但是安全威胁的根源在于什么,这个问题非常值得重新思考。
很多人认为DNS协议代码不规范导致的的安全威胁,团队认为仅仅从代码或者从程序设计的角度来看,那么二十年中爆发的很多安全事件都解释不了。它们并不是代码层面引起的问题,使得我们不得不把维度提高一个层面,从一个更加宏观的视角看待系统面临的问题。团队倾向于把域名体系看待的视角称为互联网域名解析体系。如果从一个体系的视角看待这个问题得出的答案会更加清晰,体系中包含的角色非常多,有些角色和注册相关,有些角色和解析相关,比如阿里云所充当的云解析的角色和degree角色,除此之外,还有很多监管机构也在域名解析中扮演不同的角色。只有把域名解析的服务体系范围拉得足够广,把不同的角色容纳进来,从一个更高的维度审视域名系统面临的问题,才可能得到一个可能稍微正确的答案。
5.新观点:互联网域名基础设施的结构性风险
这就是团队的答案。把它称为互联网域名基础设施的结构性风险。左边的图是意大利的比萨斜塔。可以想象,比萨斜塔的设计师一定想设计得笔直,他没有那么标新立异,经过几百年的自然条件的变迁,塔慢慢变斜了。当游客站在比萨斜塔下面时可能会惴惴不安,塔是斜的,游客会有塔总有一天会塌的心理。这和今天所用的DNS带来的心理一样,DNS很重要但很有可能会出现问题,把这种风险叫做结构性风险。为了应对这种结构性风险,付出的努力一定是巨大的,不是从塔上修几块砖或者从塔上修几根柱子能解决的问题。
这类似于域名系统领域,域名系统领域很多安全风险绝不仅仅是修复几行代码的安全性就能解决的,这是团队对此问题的回答。那到底什么是结构性风险?团队对此下了一个定义:域名解析服务体系在设计、实现、运营及治理过程中存在的方方面面的固有缺陷都可以视为系统的安全风险。这是个很宏大的定义。接下来的介绍会把它分解。
6.互联网域名基础设施结构性安全风险的主要类型
这是团队的看法。左侧的图是来自于ZDNS的报告。从报告中可以看出,中间的域名系统和路由系统共同充当了逻辑层,起到承上启下的作用。受到这样一个启发,把域名系统的结构性风险划分为三个层面。第一个层面是最为基础的层面,1983年协议在设计的时候有哪些安全问题没有考虑到,这些安全问题都是今天要还的旧账。这是第一方面的问题。互联网先驱本来就不是为了经济利益考虑,为了造福互联网社区考虑,这时后人应该要承担的修复它们的责任。
第二方面,41年的演进过程中,域名系统越来越复杂,演进体系中的角色越来越多,就比如比萨斜塔越来越歪。四十多年的演进过程中域名系统也可以被视作一个生态,在生态演进中引入了一些固有缺陷。这是第二方面团队认为可能会引进固有风险的地方第三方面,域名系统在承担承上启下的作用过程当中,有很多角色不得已把域名或者域名标识符当做信任锚点。生活中的信任关系所由来的关系。但是生活当中的信任不同于技术方面的信任。技术方面的信任是A trust B。生活当中的信任描述不清楚,和金融领域的很多安全风险非常类似。域名系统领域也存在非常薄弱的信任关系,域名所反映的信任非常脆弱很有可能被攻击者操纵。
二、协议设计的缺陷
1.“明文传输”是域名协议最大的已知安全缺陷
众所周知,1983年在域名设计时绝大部分的域名解析流量都是明文传输的,直到今天为止依然如此。因此目前为止在安全社区,大家都公认,明文传输是域名协议最大的已知安全缺陷。毫无悬念,它带来的安全风险是用户的域名解析流量很有可能会被攻击者操控、监视、监听。事实上斯诺登泄露的文档已经表明了这一点,互联网中有一些网络设备在监视、监听用户的流量。
2.域名协议明文传输,致使用户域名解析流量易被监听、劫持
从安全研究者的视角应该尽可能多地发现揭持点和揭露劫持现象。为了解决这个问题,团队做了这样一个安全监测平台,寻找安全检测节点,发出各种各样的诱饵流量,诱导监视节点劫持、监控、操控,从而发现、定位劫持点。最后,团队看到了很多劫持现象。比如今年在WWW’ 24会议上发表的一篇文章,世界几个国家领域都对加密DNS服务的IP地址存在劫持、阻断现象,这是一种对DNS操控的很明显的一个现象。
3.劫持者定位分析:谁在悄悄“监听”我的域名解析流量?
除此之外,有一些DNS厂商在收集用户的域名解析流量,分析用户当前正在访问什么域名,团队认为这是在对用户隐私的一种破坏。
4.域名系统层次化授权机制错综复杂,潜在攻击面众多
另一方面,域名系统在设计之初采用一种树状结构的层次化授权。这是一种分布式结构最早期被认为是一种非常 的考虑。很不幸的是,域名协议的授权机制远没有设计之初安全。几十年的演进过程中,域名授权机制的问题开始逐渐暴露出来,大家逐渐意识到1983年设计时的授权机制非常脆弱。直到今天为止,ITF组织成立了新的工作组正在尝试提出新一代的授权机制改变这个现象,今天最后的报告详细解释。总之,域名协议的层次化授权机制错综复杂,引入了大量攻击面。
三、生态演进的隐患
1.持续不断演进发展的互联网域名解析服务体系
第二个方面是生态演进的隐患。在本科的计算机网络的教材中,大家对域名解析的流程的看法非常简单,甚至到一种粗陋的程度,包括一个客户端、一个递归服务器、若干个顶级域名。之前两个团队分享的云解析平台架构图可能已经给大家非常直观的印象。现实世界当中的域名解析绝非如此,这张图把教科书当中的流程图稍微复杂了一点点,真实世界的情况很有可能是两种团队之前介绍的更为复杂的架构图。当今世界的域名解析生态已经和设想的生态已经截然不同。
最典型的是,域名解析的内部结构越来越复杂,越来越多的角色开始引入,特别是域名转化器类似的角色开始大量引入,域名转化器可能会觉得很陌生。比如家用路由器充当DNS解析器角色,想象一下,家用路由器的缓存被操控会存在巨大的安全风险。持续不断演进的域名基础系统的体系也是一种巨大的安全风险。这种安全风险是在此之前从来没有被注意到的。
2.互联网域名基础设施逐渐固话,单点故障风险陡增
最近几年也一直对这个问题研究,这种域名解析的演进带来的最直观的风险是什么。第一个风险是域名基础设施从最开始的充分分布式目前逐渐开始固化,大规模的域名解析流量开始向少量的厂商汇聚,无论是从用户的DV侧看还是从域名解析的权威侧看,越来越多流量开始聚集在少量的互联网厂商平台,这是一个无法逆转的事实。在今后的十年二十年之内这个事实都无法逆转。1983年设计的时候,设计者认为每个人都应该运营自己的域名服务器,每个人都应该对自己的域名服务器做充分备份,理想非常美好。
由于互联网商业因素越来越多的演进,云服务开始逐渐兴起,很多用户把自己的域名托管到云厂商上,于此同时,头部的云厂商展开了非常激烈的对客户资源竞争,导致了大量的域名解析流量开始汇聚这几个厂商。它所造成的后果就是,一旦厂商遭受到攻击所造成的安全危险非常致命。在此之前做了一项研究工作,对于云服务厂商或者单点故障节点进行攻击,这项工作发表在CCS 2023上,对DNS做了流量放大攻击,能够稳定产生3700倍以上的流量放大的效果。
3.攻击大型域名解析服务厂商的流量负载均衡策略
于此同时,最近几年非常关注云平台解析的服务安全性。流量的负载均衡策略非常重要。目前为止,绝大多数的云厂商都会采用流量的负载均衡,这可以说是域名解析的一条生命线。2023年和阿里云团队共同研究的一项工作当中,发现了云平台内部的域名解析调度策略存在安全缺陷,很有可能被攻击者操控,使得绝大多数的域名解析流量都可以在短时间内汇聚到少数几个结点上,从而起到破坏流量负载均衡策略的效果。这项研究报告发表在网络安全领域顶级会议CCS 2023上,与此同时还获得了2023杰出论文奖。另一方面,团队还对云平台数据隔离策略进行了研究并且也发现了一系列的安全隐患,也都发表在 上,由于时间问题就不进行详细的讲述和介绍。
四、信任基石薄弱
由于域名系统在互联网当中承担了承上启下的作用,因此在生活当中的薄弱信任关系在域名系统中也会出现,接下来举个例子说明这一点。当前,很多安全厂商都会生产自己的威胁情报,很多互联网厂商都会购买这些威胁情报做网络安全防御。这是司空见惯的事实。这些威胁情报的内容是真实的吗?这些威胁情报有没有可能会被攻击者操控?比如在邮件领域最为广泛部署的例子,目前绝大多数知名邮件服务提供商都会购买类似于SPAMHAUS的威胁情报。一旦发现发件人的域名命中率SPAMHAUS的黑名单,会把邮件退信拒收。在邮件领域,这种事情已经被广为接受了。
如果攻击者可以把一个白域名拖到SPAMHAUS的黑名单会产生什么后果?很有可能企业在一段时间内都不能和其他人产生邮件通信,因为SPAMHAUS拦截了。这种信任关系非常重要,在此之前很少有人关注有没有可能这种信任会被操纵。团队发现,当前为止这些威胁情报厂商提供的黑名单很有可能会被攻击者操纵,代价非常低昂,只需要几分钟就可以把知名域名拖到黑名单中。
团队还证明了,这个域名很难移出,至少需要以天为代价,比如需要七天或者三十天之后域名才有可能被移出。更有甚者,有五十多个顶级域采用了非常激进的保护策略,一旦发现这些域名出现在域名黑名单中直接停止解析。因此对于知名域名的影响非常巨大。从这个例子可以证明,基于域名的上层关系所构建的信任依赖非常脆弱,很有可能被攻击者操纵。
五、总结与展望:Toward a Trustworthy DNS Infrastructure
目前为止,在这个行业工作了十多年,发现了一系列域名基础设施潜在的安全风险,但是这个领域还有很多值得研究的地方。安全问题没有尽头。DNS在安全领域是无尽的前沿。团队的目标是希望为用户构建一个可信的域名解析,上层和下层所有依赖它的应用都可以拿到可依赖的解析结果,但是从今天来看依然非常困难。接下来还有很多事情值得研究,包括在域名协议设计上如何规避安全缺陷,在生态演进上如何检测可能会爆发的安全风险,在信任基石上如何构建透明、可靠、抗操控的信任机制,以上问题都有非常宽广的研究空间。非常希望借着互联网基础资源平台和各位专家、学者构建起更为紧密的合作关系,一起在互联网基础资源领域做出更多努力。
