对我国域名系统安全问题的思考

简介:

以互联网为基础的信息网络是进行国家信息化建设和实现国家信息化战略的基础设施,域名系统是互联网上大部分服务和应用正常运转和实施的基石,是互联网上最为关键的基础网络服务之一,事关互联网乃至国家的稳定和安全,是国家信息化建设的重中之重。

通过对域名系统的攻击和利用可以造成巨大危害。伊拉克顶级域名失效事件、利比亚国家顶级域名失效事件等都表明,对域名系统的控制已成为一个有效的网络空间作战手段,可以在非常时期,瘫痪一个国家网络,造成信息孤岛,失去信息优势,丧失战争的主动权。域名系统已成为网络空间作战的重要目标。

我国域名系统由于根域名服务器的不可控和域名系统本身的脆弱性,存在巨大的安全隐患。近年来,更是事件频发,对我互联网使用以及国家社会、政治、经济都造成了巨大的影响。因此域名系统相关问题已成为制约我国互联网发展的重要因素。

互联网域名系统简介

域名系统最主要的作用是完成对域名的解析,即把为便于记忆、用来标识互联网上某台计算机或一组计算机的名称,翻译转换为与其对应的IP地址域名系统是非常重要的互联网基础服务。如果没有域名系统,互联网上绝大多数应用,如网页浏览、电子邮件收发,就会因不知道通信对象具体物理地址,而无法正常使用。

域名系统DNS(Domain Name System)是由主机名解析方案发展出来的一种新的名字的解析机制。DNS域是一种分布式的层次结构系统,包括一个根域,以空标签(“”)表示。根域的下一级是顶级域,如中国是cn,美国是us,日本是jp.在顶级域名下,还可以再根据需要定义次一级的域名,如在我国的顶级域名cn下又设立了com、net等。图1为一个域名体系典型层次结构。

域名根服务器由美国政府授权的互联网名称与数字分配机构(ICANN)负责管理。为了提高域名解析效率,ICANN在全球部署了591台根服务器及镜像,他们每个都被赋予A到M共13个标号中的一个。其中,全球唯一的主根服务器设置在美国,标号为A,由美国Verisign公司负责运维管理;在北京部署有5台根服务器镜像,编号为L的有两台,编号为F、I、J的各一;在香港部署A、F、I、L、J共5台根服务器镜像。所有编号相同的根服务器都采用同一个IP地址,通过任播(Anycast)技术实现就近访问。标号为B至M的辅助根服务器及镜像定期从主根服务器同步更新全球域名信息,为全球互联网用户提供域名解析服务。

域名系统安全问题

从域名解析过程可以看出,当本地域名服务器缓存不能直接提供域名对应的IP地址时,解析过程必须经过域名根服务器或其镜像服务器。而所有辅根服务器及其镜像需定期从主根服务器同步更新全球域名信息。从技术上看,只需删除主根域名服务器的相关记录,使其国家顶级域名失效,即可实现让一个国家从互联网上消失。

当前,全球互联网域名系统中,唯一的主根服务器设在美国,美国政府授权ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)进行控制;12个辅根服务器中9个设在美国,其他3个分别设在英国、瑞典和日本。由于其他根服务器及镜像的域名信息均复制于主根服务器,因此美国事实上控制了全球所有国家和地区的域名解析,具备将一个国家从互联网上“抹去”的能力和条件。

一旦与某国发生冲突,美国在技术上完全可以停止对该国域名的解析,使其网站无法被外界访问。据报道,伊拉克战争期间,美国终止了伊拉克国家顶级域名。IQ的解析[2];在塔利班政权统治阿富汗时期,美国将阿富汗国家顶级域名。AF的管理权授予前流亡政府;2004年4月,由于对顶级域名管理权问题发生分歧,导致利比亚国家顶级域名。LY瘫痪[4],利比亚从互联网上“消失”了3天。

当前针对域名系统的攻击手段多种多样,总结起来主要包括以下三类:

一是分布式拒绝服务攻击(DDOS)。由于域名系统协议存在体系开放、无认证、无连接和无状态等特点,使其更易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务攻击主要采用基于正常域名请求、反弹式、大流量阻塞等三种途径。

二是DNS欺骗攻击,通过技术手段向缓存域名服务器注入非法域名解析记录,当用户向被攻击的缓存域名服务器提交域名请求时,将会返回攻击者预先设定的IP地址。

三是域名劫持攻击[3],攻击者控制域名管理密码和域名管理邮箱后,将该域名的NS纪录指向到攻击者可以控制的DNS服务器,然后通过在该DNS服务器上配置相应域名纪录,使用户访问该域名时,实际指向攻击者预先设定的主机。

我国域名系统的安全现状分析

我国域名管理呈现三层体系架构。从2002年起,国务院下发了《中国互联网域名管理办法》、《中国互联网域名体系公告》等一系列指导性文件,规范了我国域名注册和管理工作,目前已形成由工业和信息化部主管的域名管理和注册三层体系架构。

第一层是域名注册管理机构,由中国互联网信息中心(CNNIC)负责运行和维护CN域根服务器,授权监督管理各域名注册服务机构;

第二层是域名注册服务机构,目前经过CNNIC授权的有上百家,负责面向用户和代理机构受理和审核域名申请;

第三层是域名注册代理机构,在域名注册服务机构的授权范围内接受域名申请。在具体的域名解析服务方面,主要依靠域名解析服务商、域名托管商等商业机构进行,他们负责具体提供域名解析相关的设施和各类服务。

由于美国对互联网域名系统的实际控制,使得我国域名系统始终处于不自主、不可控的威胁之下。如果美国对我域名系统实施类似针对伊拉克、利比亚等国家攻击手段,造成的后果也将非常严重。

通过对CN域的屏蔽,将使所有互联网用户无法访问CN域。虽然可通过获取国内根服务器镜像控制权或者构建替代根域名服务器等应急措施,勉强维持国内用户对CN域的访问能力,但实现难度大,且只能临时被动应对,无法全面解决问题。一旦CN域从因特网上“消失”,将给我国公众网络带来严重后果,造成巨大经济损失和社会影响。

根据2014 年3 月发布的《中国域名服务及安全现状报告》,自2010 年5 月到2014年2 月之间,影响较大的域名攻击事件多达二十余起,波及域名体系的各个层级。相比网络欺诈和病毒攻击等手段,域名系统故障的攻击手段更为隐蔽且防范难度也越大,影响范围更大、损失也更为惨重。其中,影响较大的有2009年发生的“暴风影音事件”、2010年发生的“百度域名劫持事件”、2013年发生的“CN域名攻击事件”,以及2014年1月21日发生的“国内大范围域名解析故障”等。

提高我国域名系统安全性的几点建议

加强国家网络空间安全的战略谋划

互联网安全是国家战略层面的问题,必需高度重视。

一是尽快制定网络空间国家安全战略。树立网络空间自主、自控、自强的战略意识,加强网络空间安全的战略筹划和顶层设计,制定切实可行的网络空间国家安全战略和规划。

二是建立健全互联网安全防护的体制机制。加强国内网络运维、研制和使用等各部门之间的交流与合作,充分利用军地各方力量,提高互联网安全防护和应急处置能力。

三是积极参与国际互联网治理。联合立场相近国家,倡导多边、民主、透明的互联网治理机制,打破美对域名等互联网关键系统的控制,鼓励和支持我企业和非政府机构加入互联网治理相关国际组织,在互联网治理相关国际规则制定中争夺话语权。

增强国家域名系统的安全防护能力

一是建立互联网安全应急替代机制。针对当前互联网受制于人的局面,研究建立切实可行的应对机制,以提升互联网的安全性。尤其针对域名系统,为防止CN域被根服务器删除,应主动应对,建立根服务器替代机制,保障国内用户对CN域的正常访问。

二是开展应急演练,以军民融合的方式,进行国家甚至国际级的网络应急响应演练,摸清域名系统影响底数、验证应急响应技术和机制,增强全民应对意识和水平。

以网络技术发展为契机,抢占先机

一是充分利用全球下一代网络发展契机,建立新框架。我应在发展部署IPv6、物联网的同时,通过一系列创新途径,积极参与新网络体制下域名解析体系的构建,在下一代互联网建设中抢占先机,建立创新的网络协议体系和标准规范,构建有利于我国的域名系统架构;

二是充分利用新型网络应用的发展,降低对现有域名体系的依赖,研究利用层叠网等新的网络应用架构,在现有框架内,构建网中网,使上层应用网络有自己的域名和寻址机制,从而降低风险。


作者:佚名

来源:51CTO

相关实践学习
基于函数计算快速搭建Hexo博客系统
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
相关文章
|
域名解析 监控 安全
工信部通知要求加强域名系统安全保障工作
工信部印发了《关于加强互联网域名系统安全保障工作的通知》,通知指出,当前域名系统面临的安全威胁和风险不断加大,安全事件增多,要求各相关部门采取切实有效的措施,加强域名系统安全保障工作。
1462 0
|
域名解析 缓存 网络协议
|
13天前
|
域名解析 网络协议 网络安全
阿里云DNS常见问题之域名DNS完成实名认证还是锁定状态如何解决
阿里云DNS(Domain Name System)服务是一个高可用和可扩展的云端DNS服务,用于将域名转换为IP地址,从而让用户能够通过域名访问云端资源。以下是一些关于阿里云DNS服务的常见问题合集:
|
13天前
|
域名解析 弹性计算 Linux
阿里云购买云服务器、注册域名、备案及绑定图文教程参考
本文为大家介绍了2024年购买阿里云服务器和注册域名,绑定以及备案的教程,适合需要在阿里云购买云服务器、注册域名并备案的用户参考,新手用户可通过此文您了解在从购买云服务器到完成备案的流程。
阿里云购买云服务器、注册域名、备案及绑定图文教程参考
阿里云域名购买注册流程_创建信息模板_域名实名认证全流程
阿里云域名注册指南:访问[阿里云域名注册入口,查询并注册心仪域名,选择后缀,加入清单后结算。价格因后缀而异,如.com首年78元。创建域名信息模板完成实名认证,首次需上传资料。获取优惠口令并使用可享折扣
|
13天前
|
运维 JavaScript Java
Serverless 应用引擎产品使用之在阿里云函数计算中想为两个不同的服务分别开通自定义域名如何解决
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
13天前
|
弹性计算 网络协议 关系型数据库
ECS域名问题之国内实例能不能导入阿里云新加坡的ECS和RDS如何解决
ECS(Elastic Compute Service,弹性计算服务)是云计算服务提供商提供的一种基础云服务,允许用户在云端获取和配置虚拟服务器。以下是ECS服务使用中的一些常见问题及其解答的合集:
|
5天前
|
域名解析 网络协议 安全
【域名解析DNS专栏】云服务中的DNS解析服务比较:阿里云、AWS、Azure大PK
【5月更文挑战第23天】此对比分析探讨了阿里云DNS、AWS Route 53和Azure DNS的服务特点。阿里云DNS以其智能解析和IPv6支持脱颖而出,适合中国地区用户;AWS Route 53凭借其强大的路由策略和与AWS生态的深度集成吸引高级用户;Azure DNS则以简洁管理和DNSSEC安全支持见长,与Azure平台集成良好。选择取决于具体需求,如功能、易用性、性能、安全性和成本。
【域名解析DNS专栏】云服务中的DNS解析服务比较:阿里云、AWS、Azure大PK
|
11天前
|
域名解析 网络协议 CDN
网站接入阿里云CDN实现域名加速全流程
阿小云网站已通过ICP备案在广州节点上线,但为提升全国用户访问速度,计划接入CDN。以下是4步CDN接入教程:1) 开通阿里云CDN服务;2) 添加加速域名;3) 使用DNS解析验证域名归属权;4) 配置CNAME实现域名与CDN节点关联。详细指南见阿里云CDN官方文档。
|
13天前
阿里云域名注册流程和备案流程(详细图文教程)
阿里云域名注册指南:访问[阿里云域名注册入口,查询并注册心仪域名,如.com/.cn,加入清单后结算。价格因后缀而异,如.com首年78元。创建信息模板进行实名认证,首次需上传资料。获取域名优惠口令并使用,详细步骤见文档。备案流程参照阿里云ICP备案系统。
171 2