互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進展【發(fā)布時間:2010年02月05日】 【來源：信息安全協(xié)調(diào)司】 【字號：大 中 小】互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年

互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進展

【發(fā)布時間:2010年02月05日】 【來源：信息安全協(xié)調(diào)司】 【字

號：大 中 小】

互聯(lián)網(wǎng)域名系統(tǒng)DNS （Domain Name System）在誕生后的十幾年中，一直為全球互聯(lián)網(wǎng)的正確運行提供了關鍵性的基礎服務，其重要性也與日俱增。各種基于域名的Web 網(wǎng)站訪問、電子郵件系統(tǒng)、文件共享系統(tǒng)等都依靠DNS 的支持而得以正常開展。因此，對互聯(lián)網(wǎng)核心基礎設施DNS 的安全管理研究對于確保全球互聯(lián)網(wǎng)穩(wěn)定、提高互聯(lián)網(wǎng)性能具有十分重要的意義。

一、互聯(lián)網(wǎng)域名系統(tǒng)概述

DNS 由3個主要部分組成：（1）域名空間和資源記錄RR （Resource Record），它提供了樹形結構的名字空間和與其關聯(lián)的數(shù)據(jù)的規(guī)范，目前共有58種RR 。（2）名字服務器（name servers ），它提供該樹形結構的名字空間中的部分信息。如果該服務器擁有某區(qū)域的完整信息，則成為授權服務器。授權信息組織成“區(qū)域”（zones ），存儲在區(qū)域文件中。（3）解析器（Resolvers ），負責接收客戶端請求并查詢域名服務器。

解析器通常位于系統(tǒng)級，可以被用戶的應用程序直接調(diào)用。 DNS 資源記錄數(shù)據(jù)被存儲在一個樹形結構的分布式數(shù)據(jù)庫中。每個授權域名服務器負責域名空間層次樹中的一部份。域名解析過程一般由客戶端應用程序向本地域名服務器發(fā)起的查詢（query ）開始，如果查詢失敗，則向根服務器查詢直至得到所要查詢的域名的IP 地址為止。為了提高域名服務器的響應速度和性能，樹形結構中的每級域名服務器均應緩存已經(jīng)解析獲得的域名與IP 地址的對應信息（根服務器和.com 等頂級域名服務器除外）。

二、研究現(xiàn)狀

對DNS 系統(tǒng)的有效管理是建立穩(wěn)定高效的DNS 系統(tǒng)的前提和基礎。然而，DNS 現(xiàn)有的管理、配臵和規(guī)劃機制，以及保護自己免受各種攻擊的安全機制都非常有限，甚至還很初級。例如目前，全球DNS 系統(tǒng)主要依賴多點鏡像、負載均衡等方法來應對流量突發(fā)訪問，以及遭受DDOS 攻擊時保持正常運行。對DNS 的管理、配臵和規(guī)劃則主要依賴管理者的實際經(jīng)驗，缺乏統(tǒng)一的模型與科學方法，另一方面，隨著各種新技術如IPv6、多語種域名和DNSSEC 等在DNS 系統(tǒng)中的逐步部署，對DNS 系統(tǒng)的管理、配臵和規(guī)劃提出了更高的要求。

相關研究人員已經(jīng)做了不少探索，例如，DNS 技術創(chuàng)始人、

美國計算機學會ACM 終身成就獎獲得者Paul Mockapetris領導的Nominum 公司研發(fā)了一種新的DNS 系統(tǒng)“Foundation ”。但該系統(tǒng)主要是為了解決目前普遍使用的開放源碼的DNS 服務器軟件BIND 在處理查詢能力和安全性能不高方面的問題，并沒有提供專業(yè)化的管理幫助系統(tǒng)。其他類似的研究還包括利用本地DNS 和遠程DNS 協(xié)同提高解析效率的CoDNS 、基于P2P 結構的DDNS 等，這些研究主要圍繞DNS 系統(tǒng)本身的不足進行的，不涉及現(xiàn)有DNS 系統(tǒng)的管理規(guī)劃問題。Pappas 等人則針對DNS 全球分布式的特點，提出了一種分布式的解決方案，用以識別DNS 配臵錯誤。另外的多數(shù)DNS 幫助軟件包主要用于幫助域名空間中的區(qū)域管理、進行區(qū)域文件掃描（zonefile scanning ），找出區(qū)域配臵錯誤等，在提供一定的用戶使用接口的同時，提供一些簡單的網(wǎng)絡故障診斷工具，如檢查網(wǎng)絡聯(lián)通性的Ping 、Traceroute ，檢查DNS 服務器解析功能的dig 、nslookup 等。在惠普公司和IBM 公司開發(fā)的網(wǎng)管系統(tǒng)OpenView 、Tivoli 中也附帶了一些診斷DNS 錯誤的功能，但都十分有限。

與此同時，不少研究人員對DNS 的運行性能進行了大量的測量與分析研究，試圖為有效管理DNS 系統(tǒng)提供有價值的參考數(shù)據(jù)。例如，有人分析了本地和授權DNS 服務器的負載分布、可用性和部署模式。Pappas 通過長達半年時間的測量，詳細

研究了DNS 運行錯誤對其魯棒性的負面影響。Jung 等在美國麻省理工學院和韓國KAIST (Korea Advanced Institute of Science and Technology) 的本地DNS 服務器測量了DNS 性能，并評價了DNS 緩存的有效性。通過詳細分析收集到的DNS 跟蹤文件(trace file) ，測量了客戶端觀察到的DNS 性能?；诟櫸募姆抡?，發(fā)現(xiàn)降低類型A 紀錄的TTL 值到幾百秒對緩存命中率影響很小，而緩存NS 紀錄和保護單個服務器不過載，對于DNS 的可擴展性至關重要。與收集客戶端數(shù)據(jù)不同的是，Liston 比較了不同站點的DNS 測量數(shù)據(jù)，調(diào)查了不同站點間DNS 性能的差異，發(fā)現(xiàn)測量結果在整個研究過程中相對一致，并且與站點高度相關。Wessles 基于實驗室測試和實際Internet 測量，發(fā)現(xiàn)已存DNS 緩存在負載均衡方面采用了不同的解決方案，并建議對流行的站點加大TTL 值，以減少全球DNS 的查詢負擔。還有的研究者則通過擴展DNS 動態(tài)更新協(xié)議，提出了新的緩存更新機制，增強了DNS 緩存的一致性。

三、面臨的主要安全管理問題

由于DNS 系統(tǒng)本身的復雜性和全球化分布的特點，以及與DNS 相關的各種新技術的研究和逐步部署，DNS 系統(tǒng)的管理問題正面臨著越來越大的挑戰(zhàn)。

第一，由配臵錯誤造成的DNS 可用性（availability ）對DNS 管理帶來很大挑戰(zhàn)。大量的DNS 配臵錯誤沒有得到及時糾

正和有效管理。一些研究表明，全球商業(yè)站點（例如.COM 站點）中70的DNS 服務器中有配臵錯誤。有學者通過測量一個根DNS 服務器和3個普通DNS 服務器，發(fā)現(xiàn)DNS 軟件實現(xiàn)中存在大量缺陷（Bug ），這些缺陷和錯誤配臵占據(jù)了DNS 流量的主要部分。Brownlee 等收集并分析了13個根DNS 服務器中的F 根服務器（f.root- servers.net），發(fā)現(xiàn)這些缺陷仍然存在，并且60～85的查詢來自同一主機。超過14的查詢不符合DNS 規(guī)范。Broido 等通過觀察頂級DNS 服務器中大量的異常DNS 更新報文，發(fā)現(xiàn)絕大多數(shù)是由微軟的DHCP/DNS服務器的缺省配臵造成的。按照日本互聯(lián)網(wǎng)信息中心JPNIC 在文獻發(fā)布的報告，在JP zones（日本國家域名區(qū)域） 內(nèi)沒有正確配臵的DNS 服務器占總數(shù)的37.9。目前，使用帶缺陷的DNS 軟件版本，不正確的動態(tài)更新和DNS 轉發(fā)、“跛腳”服務器（即Lame server，指不能確信其是否具有某域名區(qū)域授權的DNS 服務器） 的大量存在等一系列問題已經(jīng)對Internet 的穩(wěn)定運行造成了嚴重威脅。

第二，由缺陷軟件帶來的安全性問題（security ）也對DNS 管理帶來極大困擾。帶缺陷的軟件版本會導致嚴重的安全問題。例如轉發(fā)攻擊和域名劫持（DNS- spoofing）。域名劫持是指黑客利用DNS 服務器使用的軟件的漏洞，通過攻擊和劫持大量DNS 服務器，可以在不直接入侵的情況下，遠程篡改

DNS 服務器中的服務數(shù)據(jù)，導致用戶訪問帶有竊密木馬的仿冒頁面，從而造成嚴重的安全問題。如果域名劫持發(fā)生在運營商提供的公共DNS 上，其危害更加嚴重。據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心報告，2007年11月就曾發(fā)生過一起針對某公司網(wǎng)站的域名劫持事件，涉及多臺運營商提供的公共DNS ，受影響用戶范圍十分廣泛。目前不少常用的DNS 服務器系統(tǒng)軟件版本都存在著域名劫持的安全漏洞。例如，針對Bind 9的漏洞有CVE- 2007- 2926、CVE- 2007- 2930、CVE- 2007- 2228； 針對Bind 8 的漏洞有CVE- 2007- 2926、CVE- 2007- 2930；針對Windows DNS服務器的漏洞有CVE- 2007- 2228等。 第三，隨著DNS 應用場景和范圍不斷擴大，迫切需要更加合理的規(guī)劃，這對DNS 的管理提出了更高的要求。傳統(tǒng)的DNS 服務器部署相對簡單，由于只負責IP 地址與域名的轉換以及向上一級DNS 系統(tǒng)的查詢，往往采用單臺服務器或一主一備兩臺標準DNS 服務器即可。隨著DNS 應用的場景和范圍不斷擴大，同時也為了提高響應時間和均衡負載，許多站點的DNS 系統(tǒng)結構已經(jīng)變得越來越復雜。除了一些標準服務器外，還有大量的緩存服務器以及由多臺服務器組成的服務器群。這就要求在設計和部署新的DNS 系統(tǒng)時綜合考慮應用的場景和范圍，按照性能價格比、安全性等多種因素進行合理的規(guī)劃和管理，以確定相應的資源配臵和管理策略。同時，隨著私有網(wǎng)絡、Ad hoc

網(wǎng)絡、傳感器網(wǎng)絡等多種形式的邊緣網(wǎng)絡的出現(xiàn)，這些邊緣網(wǎng)絡的名字空間與互聯(lián)網(wǎng)的名字空間并不完全一致，在一定程度上破壞了互聯(lián)網(wǎng)原有的域名空間結構，給DNS 的管理帶來了困難。

第四，DNS 功能的可擴展性（scalability ）對DNS 管理提出了新的挑戰(zhàn)。近年來，圍繞DNS 的各種新技術和新應用的研究發(fā)展迅速，DNS 功能得到不斷擴展。一些新技術，如下一代互聯(lián)網(wǎng)核心協(xié)議IPv6、支持中文、日文等非英語國家語言的多語種域名、IETF 的DNS 安全協(xié)議DNSSEC 等在DNS 系統(tǒng)中開始逐步部署。為了支持這些新技術，DNS 功能在原來基礎上進行了擴充。為了支持IPv6，需要增加新的資源記錄RR （Resource Record）類型“AAAA ”。目前，主流的DNS 服務器系統(tǒng)軟件已經(jīng)支持IPv6，越來越多的IPv6地址被部署到實際運行的DNS 服務器中。2008年2月，管理Internet 地址與號碼分配機構ICANN 宣布，負責整個Internet 根域名系統(tǒng)的13個根DNS （root DNS）中有6個開始正式部署IPv6。同時，DNS 應用范圍也得到了新的拓展，例如，利用DNS 中域名與多個IP 地址的映射關系實現(xiàn)服務器的負載均衡、利用DNS 動態(tài)更新技術及其增強版實現(xiàn)主機與用戶的移動性，利用DNS 區(qū)域文件（zone file ）中注冊信息應對垃圾郵件、利用DNS 中TXT 資源記錄實施發(fā)送方策略框架SPF(Sender Policy Framework)

驗證發(fā)送電子郵件地址真實性等。這些新技術和新應用的不斷發(fā)展，對DNS 系統(tǒng)的管理提出了重要而迫切的新問題。例如在IPv4和IPv6共存及多語種域名環(huán)境下的DNS 管理配臵問題、由標準規(guī)范定義的DNS 核心功能與本地自定義的DNS 擴展功能的互操作管理等問題。

四、結束語

由于DNS 系統(tǒng)本身的復雜性和全球化分布的特點，以及與DNS 相關的各種新技術的研究和逐步部署，DNS 系統(tǒng)的管理問題正面臨著越來越大的挑戰(zhàn)。如何應對這些挑戰(zhàn)，是擺在我們面前的重要問題。（來源：《數(shù)據(jù)通信》）