互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進展【發(fā)布時間:2010年02月05日】 【來源：信息安全協(xié)調(diào)司】 【字號：大 中 小】互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年

互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進展

【發(fā)布時間:2010年02月05日】 【來源：信息安全協(xié)調(diào)司】 【字

號：大 中 小】

互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年中，一直為全球互聯(lián)網(wǎng)的正確運行提供了關(guān)鍵性的基礎(chǔ)服務(wù)，其重要性也與日俱增。各種基于域名的Web 網(wǎng)站訪問、電子郵件系統(tǒng)、文件共享系統(tǒng)等都依靠DNS 的支持而得以正常開展。因此，對互聯(lián)網(wǎng)核心基礎(chǔ)設(shè)施DNS 的安全管理研究對于確保全球互聯(lián)網(wǎng)穩(wěn)定、提高互聯(lián)網(wǎng)性能具有十分重要的意義。

一、互聯(lián)網(wǎng)域名系統(tǒng)概述

DNS 由3個主要部分組成：（1）域名空間和資源記錄RR （Resource Record），它提供了樹形結(jié)構(gòu)的名字空間和與其關(guān)聯(lián)的數(shù)據(jù)的規(guī)范，目前共有58種RR 。（2）名字服務(wù)器（name servers ），它提供該樹形結(jié)構(gòu)的名字空間中的部分信息。如果該服務(wù)器擁有某區(qū)域的完整信息，則成為授權(quán)服務(wù)器。授權(quán)信息組織成“區(qū)域”（zones ），存儲在區(qū)域文件中。（3）解析器（Resolvers ），負(fù)責(zé)接收客戶端請求并查詢域名服務(wù)器。

解析器通常位于系統(tǒng)級，可以被用戶的應(yīng)用程序直接調(diào)用。 DNS 資源記錄數(shù)據(jù)被存儲在一個樹形結(jié)構(gòu)的分布式數(shù)據(jù)庫中。每個授權(quán)域名服務(wù)器負(fù)責(zé)域名空間層次樹中的一部份。域名解析過程一般由客戶端應(yīng)用程序向本地域名服務(wù)器發(fā)起的查詢（query ）開始，如果查詢失敗，則向根服務(wù)器查詢直至得到所要查詢的域名的IP 地址為止。為了提高域名服務(wù)器的響應(yīng)速度和性能，樹形結(jié)構(gòu)中的每級域名服務(wù)器均應(yīng)緩存已經(jīng)解析獲得的域名與IP 地址的對應(yīng)信息（根服務(wù)器和.com 等頂級域名服務(wù)器除外）。

二、研究現(xiàn)狀

對DNS 系統(tǒng)的有效管理是建立穩(wěn)定高效的DNS 系統(tǒng)的前提和基礎(chǔ)。然而，DNS 現(xiàn)有的管理、配臵和規(guī)劃機制，以及保護自己免受各種攻擊的安全機制都非常有限，甚至還很初級。例如目前，全球DNS 系統(tǒng)主要依賴多點鏡像、負(fù)載均衡等方法來應(yīng)對流量突發(fā)訪問，以及遭受DDOS 攻擊時保持正常運行。對DNS 的管理、配臵和規(guī)劃則主要依賴管理者的實際經(jīng)驗，缺乏統(tǒng)一的模型與科學(xué)方法，另一方面，隨著各種新技術(shù)如IPv6、多語種域名和DNSSEC 等在DNS 系統(tǒng)中的逐步部署，對DNS 系統(tǒng)的管理、配臵和規(guī)劃提出了更高的要求。

相關(guān)研究人員已經(jīng)做了不少探索，例如，DNS 技術(shù)創(chuàng)始人、

美國計算機學(xué)會ACM 終身成就獎獲得者Paul Mockapetris領(lǐng)導(dǎo)的Nominum 公司研發(fā)了一種新的DNS 系統(tǒng)“Foundation ”。但該系統(tǒng)主要是為了解決目前普遍使用的開放源碼的DNS 服務(wù)器軟件BIND 在處理查詢能力和安全性能不高方面的問題，并沒有提供專業(yè)化的管理幫助系統(tǒng)。其他類似的研究還包括利用本地DNS 和遠程DNS 協(xié)同提高解析效率的CoDNS 、基于P2P 結(jié)構(gòu)的DDNS 等，這些研究主要圍繞DNS 系統(tǒng)本身的不足進行的，不涉及現(xiàn)有DNS 系統(tǒng)的管理規(guī)劃問題。Pappas 等人則針對DNS 全球分布式的特點，提出了一種分布式的解決方案，用以識別DNS 配臵錯誤。另外的多數(shù)DNS 幫助軟件包主要用于幫助域名空間中的區(qū)域管理、進行區(qū)域文件掃描（zonefile scanning ），找出區(qū)域配臵錯誤等，在提供一定的用戶使用接口的同時，提供一些簡單的網(wǎng)絡(luò)故障診斷工具，如檢查網(wǎng)絡(luò)聯(lián)通性的Ping 、Traceroute ，檢查DNS 服務(wù)器解析功能的dig 、nslookup 等。在惠普公司和IBM 公司開發(fā)的網(wǎng)管系統(tǒng)OpenView 、Tivoli 中也附帶了一些診斷DNS 錯誤的功能，但都十分有限。

與此同時，不少研究人員對DNS 的運行性能進行了大量的測量與分析研究，試圖為有效管理DNS 系統(tǒng)提供有價值的參考數(shù)據(jù)。例如，有人分析了本地和授權(quán)DNS 服務(wù)器的負(fù)載分布、可用性和部署模式。Pappas 通過長達半年時間的測量，詳細

研究了DNS 運行錯誤對其魯棒性的負(fù)面影響。Jung 等在美國麻省理工學(xué)院和韓國KAIST (Korea Advanced Institute of Science and Technology) 的本地DNS 服務(wù)器測量了DNS 性能，并評價了DNS 緩存的有效性。通過詳細分析收集到的DNS 跟蹤文件(trace file) ，測量了客戶端觀察到的DNS 性能?；诟櫸募姆抡?，發(fā)現(xiàn)降低類型A 紀(jì)錄的TTL 值到幾百秒對緩存命中率影響很小，而緩存NS 紀(jì)錄和保護單個服務(wù)器不過載，對于DNS 的可擴展性至關(guān)重要。與收集客戶端數(shù)據(jù)不同的是，Liston 比較了不同站點的DNS 測量數(shù)據(jù)，調(diào)查了不同站點間DNS 性能的差異，發(fā)現(xiàn)測量結(jié)果在整個研究過程中相對一致，并且與站點高度相關(guān)。Wessles 基于實驗室測試和實際Internet 測量，發(fā)現(xiàn)已存DNS 緩存在負(fù)載均衡方面采用了不同的解決方案，并建議對流行的站點加大TTL 值，以減少全球DNS 的查詢負(fù)擔(dān)。還有的研究者則通過擴展DNS 動態(tài)更新協(xié)議，提出了新的緩存更新機制，增強了DNS 緩存的一致性。

三、面臨的主要安全管理問題

由于DNS 系統(tǒng)本身的復(fù)雜性和全球化分布的特點，以及與DNS 相關(guān)的各種新技術(shù)的研究和逐步部署，DNS 系統(tǒng)的管理問題正面臨著越來越大的挑戰(zhàn)。

第一，由配臵錯誤造成的DNS 可用性（availability ）對DNS 管理帶來很大挑戰(zhàn)。大量的DNS 配臵錯誤沒有得到及時糾

正和有效管理。一些研究表明，全球商業(yè)站點（例如.COM 站點）中70的DNS 服務(wù)器中有配臵錯誤。有學(xué)者通過測量一個根DNS 服務(wù)器和3個普通DNS 服務(wù)器，發(fā)現(xiàn)DNS 軟件實現(xiàn)中存在大量缺陷（Bug ），這些缺陷和錯誤配臵占據(jù)了DNS 流量的主要部分。Brownlee 等收集并分析了13個根DNS 服務(wù)器中的F 根服務(wù)器（f.root- servers.net），發(fā)現(xiàn)這些缺陷仍然存在，并且60～85的查詢來自同一主機。超過14的查詢不符合DNS 規(guī)范。Broido 等通過觀察頂級DNS 服務(wù)器中大量的異常DNS 更新報文，發(fā)現(xiàn)絕大多數(shù)是由微軟的DHCP/DNS服務(wù)器的缺省配臵造成的。按照日本互聯(lián)網(wǎng)信息中心JPNIC 在文獻發(fā)布的報告，在JP zones（日本國家域名區(qū)域） 內(nèi)沒有正確配臵的DNS 服務(wù)器占總數(shù)的37.9。目前，使用帶缺陷的DNS 軟件版本，不正確的動態(tài)更新和DNS 轉(zhuǎn)發(fā)、“跛腳”服務(wù)器（即Lame server，指不能確信其是否具有某域名區(qū)域授權(quán)的DNS 服務(wù)器） 的大量存在等一系列問題已經(jīng)對Internet 的穩(wěn)定運行造成了嚴(yán)重威脅。

第二，由缺陷軟件帶來的安全性問題（security ）也對DNS 管理帶來極大困擾。帶缺陷的軟件版本會導(dǎo)致嚴(yán)重的安全問題。例如轉(zhuǎn)發(fā)攻擊和域名劫持（DNS- spoofing）。域名劫持是指黑客利用DNS 服務(wù)器使用的軟件的漏洞，通過攻擊和劫持大量DNS 服務(wù)器，可以在不直接入侵的情況下，遠程篡改

DNS 服務(wù)器中的服務(wù)數(shù)據(jù)，導(dǎo)致用戶訪問帶有竊密木馬的仿冒頁面，從而造成嚴(yán)重的安全問題。如果域名劫持發(fā)生在運營商提供的公共DNS 上，其危害更加嚴(yán)重。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報告，2007年11月就曾發(fā)生過一起針對某公司網(wǎng)站的域名劫持事件，涉及多臺運營商提供的公共DNS ，受影響用戶范圍十分廣泛。目前不少常用的DNS 服務(wù)器系統(tǒng)軟件版本都存在著域名劫持的安全漏洞。例如，針對Bind 9的漏洞有CVE- 2007- 2926、CVE- 2007- 2930、CVE- 2007- 2228； 針對Bind 8 的漏洞有CVE- 2007- 2926、CVE- 2007- 2930；針對Windows DNS服務(wù)器的漏洞有CVE- 2007- 2228等。 第三，隨著DNS 應(yīng)用場景和范圍不斷擴大，迫切需要更加合理的規(guī)劃，這對DNS 的管理提出了更高的要求。傳統(tǒng)的DNS 服務(wù)器部署相對簡單，由于只負(fù)責(zé)IP 地址與域名的轉(zhuǎn)換以及向上一級DNS 系統(tǒng)的查詢，往往采用單臺服務(wù)器或一主一備兩臺標(biāo)準(zhǔn)DNS 服務(wù)器即可。隨著DNS 應(yīng)用的場景和范圍不斷擴大，同時也為了提高響應(yīng)時間和均衡負(fù)載，許多站點的DNS 系統(tǒng)結(jié)構(gòu)已經(jīng)變得越來越復(fù)雜。除了一些標(biāo)準(zhǔn)服務(wù)器外，還有大量的緩存服務(wù)器以及由多臺服務(wù)器組成的服務(wù)器群。這就要求在設(shè)計和部署新的DNS 系統(tǒng)時綜合考慮應(yīng)用的場景和范圍，按照性能價格比、安全性等多種因素進行合理的規(guī)劃和管理，以確定相應(yīng)的資源配臵和管理策略。同時，隨著私有網(wǎng)絡(luò)、Ad hoc

網(wǎng)絡(luò)、傳感器網(wǎng)絡(luò)等多種形式的邊緣網(wǎng)絡(luò)的出現(xiàn)，這些邊緣網(wǎng)絡(luò)的名字空間與互聯(lián)網(wǎng)的名字空間并不完全一致，在一定程度上破壞了互聯(lián)網(wǎng)原有的域名空間結(jié)構(gòu)，給DNS 的管理帶來了困難。

第四，DNS 功能的可擴展性（scalability ）對DNS 管理提出了新的挑戰(zhàn)。近年來，圍繞DNS 的各種新技術(shù)和新應(yīng)用的研究發(fā)展迅速，DNS 功能得到不斷擴展。一些新技術(shù)，如下一代互聯(lián)網(wǎng)核心協(xié)議IPv6、支持中文、日文等非英語國家語言的多語種域名、IETF 的DNS 安全協(xié)議DNSSEC 等在DNS 系統(tǒng)中開始逐步部署。為了支持這些新技術(shù)，DNS 功能在原來基礎(chǔ)上進行了擴充。為了支持IPv6，需要增加新的資源記錄RR （Resource Record）類型“AAAA ”。目前，主流的DNS 服務(wù)器系統(tǒng)軟件已經(jīng)支持IPv6，越來越多的IPv6地址被部署到實際運行的DNS 服務(wù)器中。2008年2月，管理Internet 地址與號碼分配機構(gòu)ICANN 宣布，負(fù)責(zé)整個Internet 根域名系統(tǒng)的13個根DNS （root DNS）中有6個開始正式部署IPv6。同時，DNS 應(yīng)用范圍也得到了新的拓展，例如，利用DNS 中域名與多個IP 地址的映射關(guān)系實現(xiàn)服務(wù)器的負(fù)載均衡、利用DNS 動態(tài)更新技術(shù)及其增強版實現(xiàn)主機與用戶的移動性，利用DNS 區(qū)域文件（zone file ）中注冊信息應(yīng)對垃圾郵件、利用DNS 中TXT 資源記錄實施發(fā)送方策略框架SPF(Sender Policy Framework)

驗證發(fā)送電子郵件地址真實性等。這些新技術(shù)和新應(yīng)用的不斷發(fā)展，對DNS 系統(tǒng)的管理提出了重要而迫切的新問題。例如在IPv4和IPv6共存及多語種域名環(huán)境下的DNS 管理配臵問題、由標(biāo)準(zhǔn)規(guī)范定義的DNS 核心功能與本地自定義的DNS 擴展功能的互操作管理等問題。

四、結(jié)束語

由于DNS 系統(tǒng)本身的復(fù)雜性和全球化分布的特點，以及與DNS 相關(guān)的各種新技術(shù)的研究和逐步部署，DNS 系統(tǒng)的管理問題正面臨著越來越大的挑戰(zhàn)。如何應(yīng)對這些挑戰(zhàn)，是擺在我們面前的重要問題。（來源：《數(shù)據(jù)通信》）