互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進(jìn)展【發(fā)布時(shí)間:2010年02月05日】 【來(lái)源：信息安全協(xié)調(diào)司】 【字號(hào)：大 中 小】互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年

互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進(jìn)展

【發(fā)布時(shí)間:2010年02月05日】 【來(lái)源：信息安全協(xié)調(diào)司】 【字

號(hào)：大 中 小】

互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年中，一直為全球互聯(lián)網(wǎng)的正確運(yùn)行提供了關(guān)鍵性的基礎(chǔ)服務(wù)，其重要性也與日俱增。各種基于域名的Web 網(wǎng)站訪(fǎng)問(wèn)、電子郵件系統(tǒng)、文件共享系統(tǒng)等都依靠DNS 的支持而得以正常開(kāi)展。因此，對(duì)互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施DNS 的安全管理研究對(duì)于確保全球互聯(lián)網(wǎng)穩(wěn)定、提高互聯(lián)網(wǎng)性能具有十分重要的意義。

一、互聯(lián)網(wǎng)域名系統(tǒng)概述

DNS 由3個(gè)主要部分組成：（1）域名空間和資源記錄RR （Resource Record），它提供了樹(shù)形結(jié)構(gòu)的名字空間和與其關(guān)聯(lián)的數(shù)據(jù)的規(guī)范，目前共有58種RR 。（2）名字服務(wù)器（name servers ），它提供該樹(shù)形結(jié)構(gòu)的名字空間中的部分信息。如果該服務(wù)器擁有某區(qū)域的完整信息，則成為授權(quán)服務(wù)器。授權(quán)信息組織成“區(qū)域”（zones ），存儲(chǔ)在區(qū)域文件中。（3）解析器（Resolvers ），負(fù)責(zé)接收客戶(hù)端請(qǐng)求并查詢(xún)域名服務(wù)器。

解析器通常位于系統(tǒng)級(jí)，可以被用戶(hù)的應(yīng)用程序直接調(diào)用。 DNS 資源記錄數(shù)據(jù)被存儲(chǔ)在一個(gè)樹(shù)形結(jié)構(gòu)的分布式數(shù)據(jù)庫(kù)中。每個(gè)授權(quán)域名服務(wù)器負(fù)責(zé)域名空間層次樹(shù)中的一部份。域名解析過(guò)程一般由客戶(hù)端應(yīng)用程序向本地域名服務(wù)器發(fā)起的查詢(xún)（query ）開(kāi)始，如果查詢(xún)失敗，則向根服務(wù)器查詢(xún)直至得到所要查詢(xún)的域名的IP 地址為止。為了提高域名服務(wù)器的響應(yīng)速度和性能，樹(shù)形結(jié)構(gòu)中的每級(jí)域名服務(wù)器均應(yīng)緩存已經(jīng)解析獲得的域名與IP 地址的對(duì)應(yīng)信息（根服務(wù)器和.com 等頂級(jí)域名服務(wù)器除外）。

二、研究現(xiàn)狀

對(duì)DNS 系統(tǒng)的有效管理是建立穩(wěn)定高效的DNS 系統(tǒng)的前提和基礎(chǔ)。然而，DNS 現(xiàn)有的管理、配臵和規(guī)劃?rùn)C(jī)制，以及保護(hù)自己免受各種攻擊的安全機(jī)制都非常有限，甚至還很初級(jí)。例如目前，全球DNS 系統(tǒng)主要依賴(lài)多點(diǎn)鏡像、負(fù)載均衡等方法來(lái)應(yīng)對(duì)流量突發(fā)訪(fǎng)問(wèn)，以及遭受DDOS 攻擊時(shí)保持正常運(yùn)行。對(duì)DNS 的管理、配臵和規(guī)劃則主要依賴(lài)管理者的實(shí)際經(jīng)驗(yàn)，缺乏統(tǒng)一的模型與科學(xué)方法，另一方面，隨著各種新技術(shù)如IPv6、多語(yǔ)種域名和DNSSEC 等在DNS 系統(tǒng)中的逐步部署，對(duì)DNS 系統(tǒng)的管理、配臵和規(guī)劃提出了更高的要求。

相關(guān)研究人員已經(jīng)做了不少探索，例如，DNS 技術(shù)創(chuàng)始人、

美國(guó)計(jì)算機(jī)學(xué)會(huì)ACM 終身成就獎(jiǎng)獲得者Paul Mockapetris領(lǐng)導(dǎo)的Nominum 公司研發(fā)了一種新的DNS 系統(tǒng)“Foundation ”。但該系統(tǒng)主要是為了解決目前普遍使用的開(kāi)放源碼的DNS 服務(wù)器軟件BIND 在處理查詢(xún)能力和安全性能不高方面的問(wèn)題，并沒(méi)有提供專(zhuān)業(yè)化的管理幫助系統(tǒng)。其他類(lèi)似的研究還包括利用本地DNS 和遠(yuǎn)程DNS 協(xié)同提高解析效率的CoDNS 、基于P2P 結(jié)構(gòu)的DDNS 等，這些研究主要圍繞DNS 系統(tǒng)本身的不足進(jìn)行的，不涉及現(xiàn)有DNS 系統(tǒng)的管理規(guī)劃問(wèn)題。Pappas 等人則針對(duì)DNS 全球分布式的特點(diǎn)，提出了一種分布式的解決方案，用以識(shí)別DNS 配臵錯(cuò)誤。另外的多數(shù)DNS 幫助軟件包主要用于幫助域名空間中的區(qū)域管理、進(jìn)行區(qū)域文件掃描（zonefile scanning ），找出區(qū)域配臵錯(cuò)誤等，在提供一定的用戶(hù)使用接口的同時(shí)，提供一些簡(jiǎn)單的網(wǎng)絡(luò)故障診斷工具，如檢查網(wǎng)絡(luò)聯(lián)通性的Ping 、Traceroute ，檢查DNS 服務(wù)器解析功能的dig 、nslookup 等。在惠普公司和IBM 公司開(kāi)發(fā)的網(wǎng)管系統(tǒng)OpenView 、Tivoli 中也附帶了一些診斷DNS 錯(cuò)誤的功能，但都十分有限。

與此同時(shí)，不少研究人員對(duì)DNS 的運(yùn)行性能進(jìn)行了大量的測(cè)量與分析研究，試圖為有效管理DNS 系統(tǒng)提供有價(jià)值的參考數(shù)據(jù)。例如，有人分析了本地和授權(quán)DNS 服務(wù)器的負(fù)載分布、可用性和部署模式。Pappas 通過(guò)長(zhǎng)達(dá)半年時(shí)間的測(cè)量，詳細(xì)

研究了DNS 運(yùn)行錯(cuò)誤對(duì)其魯棒性的負(fù)面影響。Jung 等在美國(guó)麻省理工學(xué)院和韓國(guó)KAIST (Korea Advanced Institute of Science and Technology) 的本地DNS 服務(wù)器測(cè)量了DNS 性能，并評(píng)價(jià)了DNS 緩存的有效性。通過(guò)詳細(xì)分析收集到的DNS 跟蹤文件(trace file) ，測(cè)量了客戶(hù)端觀察到的DNS 性能。基于跟蹤文件的仿真，發(fā)現(xiàn)降低類(lèi)型A 紀(jì)錄的TTL 值到幾百秒對(duì)緩存命中率影響很小，而緩存NS 紀(jì)錄和保護(hù)單個(gè)服務(wù)器不過(guò)載，對(duì)于DNS 的可擴(kuò)展性至關(guān)重要。與收集客戶(hù)端數(shù)據(jù)不同的是，Liston 比較了不同站點(diǎn)的DNS 測(cè)量數(shù)據(jù)，調(diào)查了不同站點(diǎn)間DNS 性能的差異，發(fā)現(xiàn)測(cè)量結(jié)果在整個(gè)研究過(guò)程中相對(duì)一致，并且與站點(diǎn)高度相關(guān)。Wessles 基于實(shí)驗(yàn)室測(cè)試和實(shí)際Internet 測(cè)量，發(fā)現(xiàn)已存DNS 緩存在負(fù)載均衡方面采用了不同的解決方案，并建議對(duì)流行的站點(diǎn)加大TTL 值，以減少全球DNS 的查詢(xún)負(fù)擔(dān)。還有的研究者則通過(guò)擴(kuò)展DNS 動(dòng)態(tài)更新協(xié)議，提出了新的緩存更新機(jī)制，增強(qiáng)了DNS 緩存的一致性。

三、面臨的主要安全管理問(wèn)題

由于DNS 系統(tǒng)本身的復(fù)雜性和全球化分布的特點(diǎn)，以及與DNS 相關(guān)的各種新技術(shù)的研究和逐步部署，DNS 系統(tǒng)的管理問(wèn)題正面臨著越來(lái)越大的挑戰(zhàn)。

第一，由配臵錯(cuò)誤造成的DNS 可用性（availability ）對(duì)DNS 管理帶來(lái)很大挑戰(zhàn)。大量的DNS 配臵錯(cuò)誤沒(méi)有得到及時(shí)糾

正和有效管理。一些研究表明，全球商業(yè)站點(diǎn)（例如.COM 站點(diǎn)）中70的DNS 服務(wù)器中有配臵錯(cuò)誤。有學(xué)者通過(guò)測(cè)量一個(gè)根DNS 服務(wù)器和3個(gè)普通DNS 服務(wù)器，發(fā)現(xiàn)DNS 軟件實(shí)現(xiàn)中存在大量缺陷（Bug ），這些缺陷和錯(cuò)誤配臵占據(jù)了DNS 流量的主要部分。Brownlee 等收集并分析了13個(gè)根DNS 服務(wù)器中的F 根服務(wù)器（f.root- servers.net），發(fā)現(xiàn)這些缺陷仍然存在，并且60～85的查詢(xún)來(lái)自同一主機(jī)。超過(guò)14的查詢(xún)不符合DNS 規(guī)范。Broido 等通過(guò)觀察頂級(jí)DNS 服務(wù)器中大量的異常DNS 更新報(bào)文，發(fā)現(xiàn)絕大多數(shù)是由微軟的DHCP/DNS服務(wù)器的缺省配臵造成的。按照日本互聯(lián)網(wǎng)信息中心JPNIC 在文獻(xiàn)發(fā)布的報(bào)告，在JP zones（日本國(guó)家域名區(qū)域） 內(nèi)沒(méi)有正確配臵的DNS 服務(wù)器占總數(shù)的37.9。目前，使用帶缺陷的DNS 軟件版本，不正確的動(dòng)態(tài)更新和DNS 轉(zhuǎn)發(fā)、“跛腳”服務(wù)器（即Lame server，指不能確信其是否具有某域名區(qū)域授權(quán)的DNS 服務(wù)器） 的大量存在等一系列問(wèn)題已經(jīng)對(duì)Internet 的穩(wěn)定運(yùn)行造成了嚴(yán)重威脅。

第二，由缺陷軟件帶來(lái)的安全性問(wèn)題（security ）也對(duì)DNS 管理帶來(lái)極大困擾。帶缺陷的軟件版本會(huì)導(dǎo)致嚴(yán)重的安全問(wèn)題。例如轉(zhuǎn)發(fā)攻擊和域名劫持（DNS- spoofing）。域名劫持是指黑客利用DNS 服務(wù)器使用的軟件的漏洞，通過(guò)攻擊和劫持大量DNS 服務(wù)器，可以在不直接入侵的情況下，遠(yuǎn)程篡改

DNS 服務(wù)器中的服務(wù)數(shù)據(jù)，導(dǎo)致用戶(hù)訪(fǎng)問(wèn)帶有竊密木馬的仿冒頁(yè)面，從而造成嚴(yán)重的安全問(wèn)題。如果域名劫持發(fā)生在運(yùn)營(yíng)商提供的公共DNS 上，其危害更加嚴(yán)重。據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報(bào)告，2007年11月就曾發(fā)生過(guò)一起針對(duì)某公司網(wǎng)站的域名劫持事件，涉及多臺(tái)運(yùn)營(yíng)商提供的公共DNS ，受影響用戶(hù)范圍十分廣泛。目前不少常用的DNS 服務(wù)器系統(tǒng)軟件版本都存在著域名劫持的安全漏洞。例如，針對(duì)Bind 9的漏洞有CVE- 2007- 2926、CVE- 2007- 2930、CVE- 2007- 2228； 針對(duì)Bind 8 的漏洞有CVE- 2007- 2926、CVE- 2007- 2930；針對(duì)Windows DNS服務(wù)器的漏洞有CVE- 2007- 2228等。 第三，隨著DNS 應(yīng)用場(chǎng)景和范圍不斷擴(kuò)大，迫切需要更加合理的規(guī)劃，這對(duì)DNS 的管理提出了更高的要求。傳統(tǒng)的DNS 服務(wù)器部署相對(duì)簡(jiǎn)單，由于只負(fù)責(zé)IP 地址與域名的轉(zhuǎn)換以及向上一級(jí)DNS 系統(tǒng)的查詢(xún)，往往采用單臺(tái)服務(wù)器或一主一備兩臺(tái)標(biāo)準(zhǔn)DNS 服務(wù)器即可。隨著DNS 應(yīng)用的場(chǎng)景和范圍不斷擴(kuò)大，同時(shí)也為了提高響應(yīng)時(shí)間和均衡負(fù)載，許多站點(diǎn)的DNS 系統(tǒng)結(jié)構(gòu)已經(jīng)變得越來(lái)越復(fù)雜。除了一些標(biāo)準(zhǔn)服務(wù)器外，還有大量的緩存服務(wù)器以及由多臺(tái)服務(wù)器組成的服務(wù)器群。這就要求在設(shè)計(jì)和部署新的DNS 系統(tǒng)時(shí)綜合考慮應(yīng)用的場(chǎng)景和范圍，按照性能價(jià)格比、安全性等多種因素進(jìn)行合理的規(guī)劃和管理，以確定相應(yīng)的資源配臵和管理策略。同時(shí)，隨著私有網(wǎng)絡(luò)、Ad hoc

網(wǎng)絡(luò)、傳感器網(wǎng)絡(luò)等多種形式的邊緣網(wǎng)絡(luò)的出現(xiàn)，這些邊緣網(wǎng)絡(luò)的名字空間與互聯(lián)網(wǎng)的名字空間并不完全一致，在一定程度上破壞了互聯(lián)網(wǎng)原有的域名空間結(jié)構(gòu)，給DNS 的管理帶來(lái)了困難。

第四，DNS 功能的可擴(kuò)展性（scalability ）對(duì)DNS 管理提出了新的挑戰(zhàn)。近年來(lái)，圍繞DNS 的各種新技術(shù)和新應(yīng)用的研究發(fā)展迅速，DNS 功能得到不斷擴(kuò)展。一些新技術(shù)，如下一代互聯(lián)網(wǎng)核心協(xié)議IPv6、支持中文、日文等非英語(yǔ)國(guó)家語(yǔ)言的多語(yǔ)種域名、IETF 的DNS 安全協(xié)議DNSSEC 等在DNS 系統(tǒng)中開(kāi)始逐步部署。為了支持這些新技術(shù)，DNS 功能在原來(lái)基礎(chǔ)上進(jìn)行了擴(kuò)充。為了支持IPv6，需要增加新的資源記錄RR （Resource Record）類(lèi)型“AAAA ”。目前，主流的DNS 服務(wù)器系統(tǒng)軟件已經(jīng)支持IPv6，越來(lái)越多的IPv6地址被部署到實(shí)際運(yùn)行的DNS 服務(wù)器中。2008年2月，管理Internet 地址與號(hào)碼分配機(jī)構(gòu)ICANN 宣布，負(fù)責(zé)整個(gè)Internet 根域名系統(tǒng)的13個(gè)根DNS （root DNS）中有6個(gè)開(kāi)始正式部署IPv6。同時(shí)，DNS 應(yīng)用范圍也得到了新的拓展，例如，利用DNS 中域名與多個(gè)IP 地址的映射關(guān)系實(shí)現(xiàn)服務(wù)器的負(fù)載均衡、利用DNS 動(dòng)態(tài)更新技術(shù)及其增強(qiáng)版實(shí)現(xiàn)主機(jī)與用戶(hù)的移動(dòng)性，利用DNS 區(qū)域文件（zone file ）中注冊(cè)信息應(yīng)對(duì)垃圾郵件、利用DNS 中TXT 資源記錄實(shí)施發(fā)送方策略框架SPF(Sender Policy Framework)

驗(yàn)證發(fā)送電子郵件地址真實(shí)性等。這些新技術(shù)和新應(yīng)用的不斷發(fā)展，對(duì)DNS 系統(tǒng)的管理提出了重要而迫切的新問(wèn)題。例如在IPv4和IPv6共存及多語(yǔ)種域名環(huán)境下的DNS 管理配臵問(wèn)題、由標(biāo)準(zhǔn)規(guī)范定義的DNS 核心功能與本地自定義的DNS 擴(kuò)展功能的互操作管理等問(wèn)題。

四、結(jié)束語(yǔ)

由于DNS 系統(tǒng)本身的復(fù)雜性和全球化分布的特點(diǎn)，以及與DNS 相關(guān)的各種新技術(shù)的研究和逐步部署，DNS 系統(tǒng)的管理問(wèn)題正面臨著越來(lái)越大的挑戰(zhàn)。如何應(yīng)對(duì)這些挑戰(zhàn)，是擺在我們面前的重要問(wèn)題。（來(lái)源：《數(shù)據(jù)通信》）