摘要 域名系统(DNS)既是互联网的基础业务,又是互联网基础设施的重要组成部分。随着IP技术向电信领域的渗透,一些电信业务也越来越依赖于DNS系统。而现有DNS体系实际上是由美国间接控制的,存在一定的安全隐患。因此新型DNS系统的研究已经开始受到重视,本文提出了一种与现行DNS系统兼容的、新型的互联网域名解析体系,以期提高DNS系统的安全性。
关键词 域名系统 DNS 根服务器 安全隐患
1、探索新的DNS服务器管理机制与解析方式的必要性
1.1 根服务器的种类与分布
域名根服务器通常有三类:主服务器、从服务器、镜像服务器。其中主服务器负责维护ROOTZONE文件,并主服务器定期向从服务器下发ROOTZONE文件。镜像服务器是从服务器的镜像,通常这些分布在各地的镜像服务器与从服务器配置为一个IPv4的组播组或一个IPv6的任播组,这样用户可以就近获得DNS解析服务,提高了域名解析的性能。另外,这种通过组播或任播技术组织起来的进行镜像服务器可以一定程度上避免网络单点故障,提高网络的安全性。
目前,全球共有1个主根服务器(隐藏,网络上不可见的),13个从根服务器(逻辑)。这些逻辑上的从服务器又分别配置有若干具体的镜像服务器,分布在全球10多个国家和地区。其中,以F根服务器的镜像服务器最多,现在有21个,按照F根服务器的管理者ISC的规划,到2005年全球的F根服务器的镜像服务器要达到25个。I根服务器和J根服务器的镜像服务器数目也较多,目前分别为9个和12个,并且这个数目正在增长。
上述所有根服务器均由美国政府授权的互联网名字与编号分配机构(ICANN)统一管理,负责全球的域名根服务器、域名体系和IP地址的管理。ICANN的管理工作根据其与美国商务部达成的谅解备忘录的内容进行。而对根服务器的具体管理与维护工作,则由ICANN以签署协议的方式委托给一些组织或公司来完成。
1.2 现行互联网域名解析机制存在的问题
在现行互联网域名解析体系中,DNS根服务器扮演了十分重要的角色。所有本地DNS服务器不能解析的域名解析请求都要直接送到DNS根服务器去,而目前这些DNS根服务器的最终管理权与控制权在美国政府的手里,美国可以对DNS根服务器中的ROOTZONE文件的记录进行修改,从而使得一些国家从互联网世界中消失。据了解在美伊战争期间,伊拉克以外的国家不能访问伊拉克的网站,所有访问伊拉克ccTLD顶级域名服务器的域名解析请求都将返回“失败(fail)”或“拒绝(denial)。另外,美国还可以对访问DNS根服务的域名解析请求进行监测与分析,并可以采取诸如拒绝访问、过滤或重定向等特殊处理。所有这些都使得许多国家在利用DNS系统来支撑一些重要的应用时存在安全性方面的担忧,尤其是一些与美国的文化理念和意识形态方面存在差异的发展中国家。随着互联网向传统电信领域的渗透,一些电信业务也越来越多地依赖于DNS解析系统,而且DNS域名的系统的功能也在不断丰富之中(如新的记录类型的增加,以支持ENUM,RFID等应用,现行DNS系统有向全球目录服务系统演变的趋势,这意味着DNS系统的重要性会越来越加强),但是这些电信业务的管理权属于各国主权范畴,各国的电信业务的开展需要依赖由美国管理与控制的DNS根服务器的现状也使得一些国家产生了对本国电信业务安全性的担忧。这一定程度上影响了ENUM,RFID等新型应用的快速开展。
所有的根服务器的具体管理权均属于某个国家的某个公司,如果出现与根服务器有关的网络纠纷甚至是网络犯罪时,牵扯到的法律问题将会非常复杂。具体地讲,DNS根服务器的带来的安全隐患主要有:停止服务、虚假信息发布、重定向、信息监控、定点攻击等方面。
(1)停止服务
由于目前国内的各级DNS服务器均缺省配置了互联网根服务器的地址,当在本地不能完成域名解析时需要按照这个地址列表来访问根服务器。当这些服务器对我国的DNS查询停止提供服务时,则DNS查询失败。影响互联网业务以及与DNS服务有关的电信业务的开展。
(2)虚假信息发布
存在这些国外的服务器向国内的服务器传送虚假信息的可能。这些虚假信息使得与DNS服务相关的业务不能正常开展。
(3)访问的重定向
虚假信息的发布除了可以使国内的域名解析服务不能正常进行以外,更为严重的是国外的服务器可以利用这些虚假信息实现访问的重定向,从而破坏网络和业务的安全,带来严重的后果。
(4)消息篡改
由于对国外DNS服务器的查询需要经过国外的网络,因此这些消息也存在被捕获并篡改的危险。通过对DNS查询消息和DNS响应消息中有关字节的更改均可以实现前面所介绍的访问重定向。
(5)信息监控
无论是本地DNS服务器采用递归工作方式还是非递归工作方式,只要是接收了缺省的对“.”根服务器的配置,则对于本地不能解析的域名(cache服务器中没有缓存相应的信息)均需要查询根服务器。而在DNS请求消息中就包含了本地DNS服务器或主机的相关信息,从而DNS根服务器可以对这些信息进行记录、统计,并可以有选择地长期对其进行监测,从中可以分析出这个DNS服务器或主机的网络活动范围,从而对其服务范围内的用户特性有所把握。这对于一些国家敏感部门的安全有一定的威胁。
(6)定点攻击
在国外的DNS服务器获得了国内一些重要DNS服务器的信息(所谓的重要DNS服务器是指其服务的用户数量较大、用户重要性较高)以后,其可以根据这些信息对这些服务器进行有针对性的攻击。
2、国际上已经开展了对现行机制的替代方法的研究
考虑到DNS根服务器所存在的上述问题,目前国际上有两种解决思路:一种是通过努力推动DNS根服务器监管的国际化,实现DNS根服务器最终管理与控制权从美国政府转向国际组织(究竟是转移到民间国际组织还是政府间国际组织,国际上争论较大)。在这种思路下,DNS根服务器管理权问题解决以后,现行的域名解析体系可以维持不动。另一种思路是探索新型的域名解析体系,避免在域名解析过程中访问被美国实际控制的DNS根服务器。
实际上,国际上已经开展了对现有域名解析体系的替代方案的研究,如美国纽约大学沃尔克·科兹博士通过互联网域名系统与传统的电信系统的比较,提出了一个会使ICANN失去其无可替代地位的备选系统。并已向电联WSIS工作组提交了报告。Karl Auerbach通过研究完成了建立“Multiple DNS Roots”的报告。Kilnam Chon完成了“Issues for Next Generation Root Servers”的报告。目前,除了不同的组织、研究机构或个人提交了多个研究报告以外,一些试图替代现行域名解析系统的试验系统也投入了测试,如Open NIC,New.Net,Name.Space等。
2.1 AlterNIC系统
1998年4月计算机专家Eugene Kashpureff创建了AlterNIC,一种新域名解析系统,由跨北美的八台计算机(根服务器)组成,运行新的根域名目录。这些根域名服务器不但能支持新的TLDs,还能与“旧”的TLDs保持一致。最大成就是把寻求“正规”跟名称服务器的互联网用户重新路由到他自己的新目录。
2.2 eDNS系统
1997年4月,增强域名系统(“eDNS”)进入试验阶段,它是现有DNS系统的替代品。这种系统使用自己的域名架构。其复杂的注册系统可以保证任何机构都不能控制10个以上的TLDs。与此类似,还有象New.Net这样的替代性根服务器,以6种不同的语言创建了160多个替代性的扩展名,包括象TLDs的.法律,.学校,.艺术,.教会。按照ICANN自己的说法,除了上面提到的例子外,还有很多人和机构进行了替代根域名服务器的研究与试验。
上述试验均表明:现有的域名解析系统并不是不能替代的。
3、新机制的基本思路
目前存在的域名服务系统是树形结构,其存在一个主根服务器,其下有13个从根域名服务器(这些根域名服务器可以存在多个镜像),根域名服务器之下有gTLD和ccTLD顶级域服务器,这些服务器分别管理gTLD和ccTLD顶级域;在gTLD和ccTLD域的管理中也是一个以gTLD和ccTLD顶级域服务器为根的树。
3.1 基本思路
由于存在一个单一的根服务器,因此不能从根本上避免通过对单一根服务器的管理来控制整个域名解析系统的问题。对于这个问题,我们提出一种可行的解决方案。这种方案的核心思想是:改变现有域名解析系统的单一树状结构(见图1),建立新型的“网状+树状”的体系(见图2),即在各个ccTLD顶级服务器与gTLD顶级域服务器之间建立“逻辑对等网”,而在ccTLD域和gTLD域中继续维持树状结构。域名的解析不再需要访问根域名服务器,而是通过ccTLD/gTLD服务器之间的对等网来实现。以ccTLD域名的解析为例,该方案最大的优点在于对ccTLDo域名的解析不再需要访问根域名服务器,而是通过ccTLD服务器之间的对等网来实现。从而避免了单点故障对整个域名解析系统的致命影响。按照这个方案现有的拥有ccTLD顶级域的243个国家和地区都可以拥有一个属于自己的ccTLD国家级服务器,在每个ccTLD国家级服务器中均包含243条ccTLD的A记录或A6/AAAA记录,这些记录以某种方式(如以协议的方式)保持同步。某个国家和地区对与其相关的ccTLD顶级域记录的更改均要提前报互联网管理机构(联合国下的某个组织)批准并备案,在某一时间内所有243个国家和地区同时进行相应的修改,从而保持信息的一致性。
图1 “树状”结构
图2 “网状+树状”结构
同时,在所有的靠近用户一端的DNS服务器中将其自身不能解析的ccTLD域名解析请求重定向到本国的ccTLD国家级域名服务器(可以通过修改本地DNS服务器中的“根服务器列表”的方式来实现,即把现有的“根服务器列表”的内容改为本国的ccTLD国家级域名服务器地址),通过本国的ccTLD域名国家级服务器来实现ccTLD域名的解析。
这种方式避免了对根域名服务器的访问,提高了互联网域名解析的安全性。可以联合一些国家和地区进行运行试验,进一步检验此解决方案或其它解决方案的可行性和有效性。
对于gTLD域名的解析也可以同样办理。上文谈及的“网状+树状”的域名解析结构应用于gTLD也是可行的。
3.2 优势分析
这种“树状”结构向“网状+树状”结构的转变,可以带来如下好处:
(1)解析体系的安全性提高
互联网域名解析系统的对DNS根服务器没有依赖度关系,单点故障的影响被弱化,在ccTLD域名解析中,某个国家的国家级域名服务器出现故障,只能影响与本国域名相关的服务,不会造成全球瘫痪。
(2)域名解析性能提高
与现有的基于“树状”结构的域名解析过程相比,“网状+树状”结构下的域名解析真正实现了负载均摊,域名查询响应速度将大大提高。同时,各国可以根据实际情况,通过“任播”等方式实现对本国国家级域名服务器访问的负载均摊。
(3)便于各国对有害信息的管理与控制
对于包含恐怖主义、儿童色情、反宗教、反人类等有害信息的访问请求可以在本国内被过滤掉,有利于互联网网络世界的净化。同时也有利于对垃圾邮件的管理和控制。
(4)与现有机制兼容,便于平滑过渡
新型的域名解析体系可以和现行体系兼容,即用户的域名查询请求可以继续按照“根服务器—顶级域名服务器—二级域名服务器”的模式来解析。同时,也可以按照“顶级域名服务器——二级域名服务器”的模式来解析。这种兼容性使得现有的根服务器可以继续保留,一方面其可以按照原有的机制,为用户提供域名解析服务,保证域名解析体系的平稳过渡;另一方面,对于没有能力来自己维护本国国家顶级域名服务器的国家,可以继续按照现有机制来工作,不必增加这些国家的管理和维护负担。
(5)ISP可以自主选择两种机制中的一种来为其用户提供服务,支持“双轨制”
就运营商(ISP)来讲,通过对本地DNS服务器中配置文件(以BIND9.2.1的DNS服务器为例。此文件为named.conf)内容的设置来选择究竟利用何种方式进行域名解析。如在配置文件中保留“根服务器列表”,则在本地DNS服务器不能对用户的请求进行解析时,可以按照列表所提供的IP地址来访问根服务器,即采用原有的解析体系。如将配置文件中的“根服务器列表”替换成“本国国家顶级域服务器列表”,则本地DNS服务器在不能完成解析时,将访问指定的本国的国家顶级域服务器,从而避免对根服务器的访问,即采用新机制来完成域名解析。
(6)现有的DNS服务器软件不需要改动
现有的DNS服务器软件不需要升级,而只是将DNS服务器中的相应DNS配置文件进行修改即可,主要是修改现有的“根服务器列表”,将其改为“本国的国家顶级域服务器列表”。
3.3 具体实施策略(数据同步策略)
在采用新机制时,需要重点解决不同顶级域服务器之间的数据同步问题,因为在顶级域服务器中保存了其它顶级域服务器的记录,当一个顶级域服务器的信息(如IP地址)发生改变时,需要其它顶级域服务器进行修改。这种情况下的同步机制的实现有两种方式:
(1)先以ccTLD的域名解析为试点,同意采用这种机制的几个国家可以在某种协议的基础上形成伙伴关系,这些国家可以就域名的管理问题制订相应的管理办法,其中就包括各国ccTLD服务器信息变动时的数据同步方法。在试验成功以后,可以逐步吸收更多的国家签署加入此协议,也遵从相应的管理办法。同时也可以考虑,在这些共同遵从某协议的国家的基础上。形成一个以主权国家为基础的国际互联网域名管理组织。
(2)如果ICANN同意采用此种机制,可以继续由ICANN在操作层面来完成不同顶级域服务器之间进行数据同步的协调工作。而这种协调工作的管理权,由联合国下的某个组织来掌握。
4、具体配置方法与解析流程
以ccTLD的域名管理为例来说明新机制的具体配置方法。gTLD的域名管理与此相似,可以类比施行。
(1)本地DNS服务器将不能自己解析的域名请求缺省定向到本国的国家级顶级域服务器。
(2)在本国的国家级顶级域服务器中保存243个国家级顶级域服务器的记录。
国家级顶级域的下一级域名数量是有限的(共约243个),也是相对固定的,发生变动的频率会很低,因此可以在本国国家级服务器中以配置文件的方式来保存其它国家的国家级顶级域服务器的记录,这样在域名解析时就完全可以不必依赖于现有的根服务器。也就是说,完全可以在域名解析时不访问DNS根服务器。在上述配置环境下,www.mynet.uk域名解析过程如图3、图4所示。
图3 新机制下的互联网域名递归查询流程
图4 新机制下的互联网域名迭代查询流程
5、结束语
本文对DNS根服务器的安全隐患进行了分析,这些安全性隐患主要包括:停止服务、虚假信息发布、访问的重定向、消息篡改、信息监控和定点攻击等。在此基础上,本文对研究现有互联网域名解析机制的替代办法的必要性进行了分析;同时介绍了国际上的一些类似研究成果与试验;最后,提出了一种新型的互联网域名解析体系。这种解析体系将现行根服务器的“树状”分布结构改变为“网状+树状”结构,这样,在进行域名解析时,可以避免对现有根服务器的访问,从而减少了单点故障的影响、消除性能瓶颈、有利于有害信息的管理,并且这种新机制与现有域名解析体系兼容,支持域名解析的“双轨制”(用户可以自主选择利用哪种机制),从而可以实现域名解析体系的平滑过渡。
作者:曹蓟光 来源:泰尔网