中文版 | English
欄目列表
互聯網域名系統安全管理的現狀及研究進展
2011-12-04

互聯網域名系統DNS(Domain Name System)在誕生后的十幾年中,一直為全球互聯網的正確運行提供了關鍵性的基礎服務,其重要性也與日俱增。各種基于域名的Web網站訪問、電子郵件系統、文件共享系統等都依靠DNS的支持而得以正常開展。因此,對互聯網核心基礎設施DNS的安全管理研究對于確保全球互聯網穩定、提高互聯網性能具有十分重要的意義。

  一、互聯網域名系統概述

  DNS由3個主要部分組成:(1)域名空間和資源記錄RR(Resource Record),它提供了樹形結構的名字空間和與其關聯的數據的規范,目前共有58種RR。(2)名字服務器(name servers),它提供該樹形結構的名字空間中的部分信息。如果該服務器擁有某區域的完整信息,則成為授權服務器。授權信息組織成“區域”(zones),存儲在區域文件中。(3)解析器(Resolvers),負責接收客戶端請求并查詢域名服務器。解析器通常位于系統級,可以被用戶的應用程序直接調用。

  DNS資源記錄數據被存儲在一個樹形結構的分布式數據庫中。每個授權域名服務器負責域名空間層次樹中的一部份。域名解析過程一般由客戶端應用程序向本地域名服務器發起的查詢(query)開始,如果查詢失敗,則向根服務器查詢直至得到所要查詢的域名的IP地址為止。為了提高域名服務器的響應速度和性能,樹形結構中的每級域名服務器均應緩存已經解析獲得的域名與IP地址的對應信息(根服務器和.com等頂級域名服務器除外)。

  二、研究現狀

  對DNS系統的有效管理是建立穩定高效的DNS系統的前提和基礎。然而,DNS現有的管理、配置和規劃機制,以及保護自己免受各種攻擊的安全機制都非常有限,甚至還很初級。例如目前,全球DNS系統主要依賴多點鏡像、負載均衡等方法來應對流量突發訪問,以及遭受DDOS攻擊時保持正常運行。對DNS的管理、配置和規劃則主要依賴管理者的實際經驗,缺乏統一的模型與科學方法,另一方面,隨著各種新技術如IPv6、多語種域名和DNSSEC等在DNS系統中的逐步部署,對DNS系統的管理、配置和規劃提出了更高的要求。

  相關研究人員已經做了不少探索,例如,DNS技術創始人、美國計算機學會ACM終身成就獎獲得者Paul Mockapetris領導的Nominum公司研發了一種新的DNS系統“Foundation”。但該系統主要是為了解決目前普遍使用的開放源碼的DNS服務器軟件BIND在處理查詢能力和安全性能不高方面的問題,并沒有提供專業化的管理幫助系統。其他類似的研究還包括利用本地DNS和遠程DNS協同提高解析效率的CoDNS、基于P2P結構的DDNS等,這些研究主要圍繞DNS系統本身的不足進行的,不涉及現有DNS系統的管理規劃問題。Pappas等人則針對DNS全球分布式的特點,提出了一種分布式的解決方案,用以識別DNS配置錯誤。另外的多數DNS幫助軟件包主要用于幫助域名空間中的區域管理、進行區域文件掃描(zonefile scanning),找出區域配置錯誤等,在提供一定的用戶使用接口的同時,提供一些簡單的網絡故障診斷工具,如檢查網絡聯通性的Ping、Traceroute,檢查DNS服務器解析功能的dig、nslookup等。在惠普公司和IBM公司開發的網管系統OpenView、Tivoli中也附帶了一些診斷DNS錯誤的功能,但都十分有限。

  與此同時,不少研究人員對DNS的運行性能進行了大量的測量與分析研究,試圖為有效管理DNS系統提供有價值的參考數據。例如,有人分析了本地和授權DNS服務器的負載分布、可用性和部署模式。Pappas通過長達半年時間的測量,詳細研究了DNS運行錯誤對其魯棒性的負面影響。Jung等在美國麻省理工學院和韓國KAIST (Korea Advanced Institute of Science and Technology)的本地DNS服務器測量了DNS性能,并評價了DNS緩存的有效性。通過詳細分析收集到的DNS跟蹤文件(trace file),測量了客戶端觀察到的DNS性能。基于跟蹤文件的仿真,發現降低類型A紀錄的TTL值到幾百秒對緩存命中率影響很小,而緩存NS紀錄和保護單個服務器不過載,對于DNS的可擴展性至關重要。與收集客戶端數據不同的是,Liston比較了不同站點的DNS測量數據,調查了不同站點間DNS性能的差異,發現測量結果在整個研究過程中相對一致,并且與站點高度相關。Wessles基于實驗室測試和實際Internet測量,發現已存DNS緩存在負載均衡方面采用了不同的解決方案,并建議對流行的站點加大TTL值,以減少全球DNS的查詢負擔。還有的研究者則通過擴展DNS動態更新協議,提出了新的緩存更新機制,增強了DNS緩存的一致性。

  三、面臨的主要安全管理問題

  由于DNS系統本身的復雜性和全球化分布的特點,以及與DNS相關的各種新技術的研究和逐步部署,DNS系統的管理問題正面臨著越來越大的挑戰。

  第一,由配置錯誤造成的DNS可用性(availability)對DNS管理帶來很大挑戰。大量的DNS配置錯誤沒有得到及時糾正和有效管理。一些研究表明,全球商業站點(例如.COM站點)中70%的DNS服務器中有配置錯誤。有學者通過測量一個根DNS服務器和3個普通DNS服務器,發現DNS軟件實現中存在大量缺陷(Bug),這些缺陷和錯誤配置占據了DNS流量的主要部分。Brownlee等收集并分析了13個根DNS服務器中的F根服務器(f.root- servers.net),發現這些缺陷仍然存在,并且60%~85%的查詢來自同一主機。超過14%的查詢不符合DNS規范。Broido等通過觀察頂級DNS服務器中大量的異常DNS更新報文,發現絕大多數是由微軟的DHCP/DNS服務器的缺省配置造成的。按照日本互聯網信息中心JPNIC在文獻發布的報告,在JP zones(日本國家域名區域) 內沒有正確配置的DNS服務器占總數的37.9%。目前,使用帶缺陷的DNS軟件版本,不正確的動態更新和DNS轉發、“跛腳”服務器(即Lame server,指不能確信其是否具有某域名區域授權的DNS服務器) 的大量存在等一系列問題已經對Internet的穩定運行造成了嚴重威脅。

  第二,由缺陷軟件帶來的安全性問題(security)也對DNS管理帶來極大困擾。帶缺陷的軟件版本會導致嚴重的安全問題。例如轉發攻擊和域名劫持(DNS- spoofing)。域名劫持是指黑客利用DNS服務器使用的軟件的漏洞,通過攻擊和劫持大量DNS服務器,可以在不直接入侵的情況下,遠程篡改DNS服務器中的服務數據,導致用戶訪問帶有竊密木馬的仿冒頁面,從而造成嚴重的安全問題。如果域名劫持發生在運營商提供的公共DNS上,其危害更加嚴重。據國家計算機網絡應急技術處理協調中心報告,2007年11月就曾發生過一起針對某公司網站的域名劫持事件,涉及多臺運營商提供的公共DNS,受影響用戶范圍十分廣泛。目前不少常用的DNS服務器系統軟件版本都存在著域名劫持的安全漏洞。例如,針對Bind 9的漏洞有CVE- 2007- 2926、CVE- 2007- 2930、CVE- 2007- 2228; 針對Bind 8 的漏洞有CVE- 2007- 2926、CVE- 2007- 2930;針對Windows DNS服務器的漏洞有CVE- 2007- 2228等。

  第三,隨著DNS應用場景和范圍不斷擴大,迫切需要更加合理的規劃,這對DNS的管理提出了更高的要求。傳統的DNS服務器部署相對簡單,由于只負責IP地址與域名的轉換以及向上一級DNS系統的查詢,往往采用單臺服務器或一主一備兩臺標準DNS服務器即可。隨著DNS應用的場景和范圍不斷擴大,同時也為了提高響應時間和均衡負載,許多站點的DNS系統結構已經變得越來越復雜。除了一些標準服務器外,還有大量的緩存服務器以及由多臺服務器組成的服務器群。這就要求在設計和部署新的DNS系統時綜合考慮應用的場景和范圍,按照性能價格比、安全性等多種因素進行合理的規劃和管理,以確定相應的資源配置和管理策略。同時,隨著私有網絡、Ad hoc網絡、傳感器網絡等多種形式的邊緣網絡的出現,這些邊緣網絡的名字空間與互聯網的名字空間并不完全一致,在一定程度上破壞了互聯網原有的域名空間結構,給DNS的管理帶來了困難。

  第四,DNS功能的可擴展性(scalability)對DNS管理提出了新的挑戰。近年來,圍繞DNS的各種新技術和新應用的研究發展迅速,DNS功能得到不斷擴展。一些新技術,如下一代互聯網核心協議IPv6、支持中文、日文等非英語國家語言的多語種域名、IETF的DNS安全協議DNSSEC等在DNS系統中開始逐步部署。為了支持這些新技術,DNS功能在原來基礎上進行了擴充。為了支持IPv6,需要增加新的資源記錄RR(Resource Record)類型“AAAA”。目前,主流的DNS服務器系統軟件已經支持IPv6,越來越多的IPv6地址被部署到實際運行的DNS服務器中。2008年2月,管理Internet地址與號碼分配機構ICANN宣布,負責整個Internet根域名系統的13個根DNS(root DNS)中有6個開始正式部署IPv6。同時,DNS應用范圍也得到了新的拓展,例如,利用DNS中域名與多個IP地址的映射關系實現服務器的負載均衡、利用DNS動態更新技術及其增強版實現主機與用戶的移動性,利用DNS區域文件(zone file)中注冊信息應對垃圾郵件、利用DNS中TXT資源記錄實施發送方策略框架SPF(Sender Policy Framework) 驗證發送電子郵件地址真實性等。這些新技術和新應用的不斷發展,對DNS系統的管理提出了重要而迫切的新問題。例如在IPv4和IPv6共存及多語種域名環境下的DNS管理配置問題、由標準規范定義的DNS核心功能與本地自定義的DNS擴展功能的互操作管理等問題。

  四、結束語

  由于DNS系統本身的復雜性和全球化分布的特點,以及與DNS相關的各種新技術的研究和逐步部署,DNS系統的管理問題正面臨著越來越大的挑戰。如何應對這些挑戰,是擺在我們面前的重要問題。

<< 返回
聯系我們 | English

甘公網安備 62010202000429號

Copyright ©2010-2012 甘肅萃英信息科技有限公司 版權所有 隴ICP備17005464號-1
麻豆网站-麻豆网络传媒网页入口-麻豆是传媒官方网站-麻豆视频传媒入口