文/本刊記者 王左利

1 9 8 3年，保羅·莫卡派喬斯 (P a u l M o c k a p e t r is)在南加州大學(xué)信息科學(xué)學(xué)院提出了關(guān)于D N S體系結(jié)構(gòu)的R F C s 8 8 2和8 8 3，本質(zhì)上就是我們今天所使用的D N S。

早期，S t e v e B e llo v in發(fā)現(xiàn)D N S欺騙攻擊。

2 0 0 8年，D a n K a m in s k y發(fā)現(xiàn)一種高效的緩存污染（D N S C a c h e P o is o n in g）攻擊。

3 0年前，保羅·莫卡派喬斯 (P a u l M o c k a p e t r i s)在南加州大學(xué)信息科學(xué)學(xué)院提出D N S架構(gòu)。從那以后，D N S成為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一。正如許多事物一樣，在它誕生的第一天里，人們就意識(shí)到了它的好處，但其潛在缺點(diǎn)卻在日后慢慢顯現(xiàn)。

任何成功的系統(tǒng)，當(dāng)它變大的時(shí)候需求就會(huì)變化，系統(tǒng)也要相應(yīng)變化，所以如果想取得成功要遵照這個(gè)循環(huán)，也就是成功、規(guī)模擴(kuò)大、發(fā)現(xiàn)問題、解決問題。然后才能邁上新臺(tái)階。D N S同樣適用于此原則。

潛在的缺點(diǎn)

3月份，一場(chǎng)DDoS攻擊引發(fā)。這次攻擊吸引了安全界人士的目光，其原因在于攻擊峰值前所未有。高達(dá)300Gbps的攻擊峰值讓即使是專門提供云安全網(wǎng)絡(luò)服務(wù)的專業(yè)廠商也幾臨崩潰。這又一次讓人們重新審視DNS的安全。

30年前，保羅·莫卡派喬斯 (Paul Mockapetris)在南加州大學(xué)信息科學(xué)學(xué)院提出了關(guān)于DNS體系結(jié)構(gòu)的RFCs882和883，本質(zhì)上就是我們今天所使用的DNS。從那以后，DNS成為互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施之一。正如許多事物一樣，在它誕生的第一天里，人們就意識(shí)到了它的好處，但其潛在缺點(diǎn)卻在日后慢慢顯現(xiàn)。

與很多其他互聯(lián)網(wǎng)協(xié)議一樣，DNS的初始設(shè)計(jì)場(chǎng)景為可信環(huán)境，并沒有過多考慮安全問題?；ヂ?lián)網(wǎng)在發(fā)展過程中出現(xiàn)多種針對(duì)DNS的攻擊。早期Steve Bellovin所發(fā)現(xiàn)的DNS欺騙攻擊，以及2008年Dan Kaminsky發(fā)現(xiàn)的一種高效的緩存污染（DNS Cache Poisoning）攻擊都曾震動(dòng)整個(gè)網(wǎng)絡(luò)安全學(xué)術(shù)界和工程界。

保證DNS的健壯運(yùn)行主要體現(xiàn)在兩個(gè)方面：一是性能，即保證域名解析過程的速度；二是安全，即保證域名和IP地址對(duì)應(yīng)關(guān)系的正確性。性能是DNS設(shè)計(jì)之初著重考慮的因素。其整體架構(gòu)的高度可擴(kuò)展性和簡(jiǎn)潔的查詢協(xié)議使得DNS從1983年以來的30年中，面對(duì)持續(xù)指數(shù)級(jí)增長(zhǎng)的網(wǎng)絡(luò)用戶和應(yīng)用，在初始設(shè)計(jì)幾乎沒有任何變化的情況下仍然能夠高效穩(wěn)定運(yùn)行，但是安全性卻始終是DNS的軟肋。

在國(guó)內(nèi)，互聯(lián)網(wǎng)也多次吃過DNS安全的虧。4年前的5月，由暴風(fēng)影音引起的域名查詢泛濫使得DNSPod當(dāng)機(jī)，造成多個(gè)省份互聯(lián)網(wǎng)中斷。2010年1月， 百度域名被劫持，DNS解析被篡改，網(wǎng)民訪問百度的結(jié)果是看到一個(gè)被黑客黑掉的頁(yè)面。

“作為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，一旦DNS出現(xiàn)問題，整個(gè)互聯(lián)網(wǎng)就會(huì)混亂甚至癱瘓?！毕嚓P(guān)人士表示，DNS目前為止面臨的安全挑戰(zhàn)主要有幾個(gè)方面。第一，域名欺騙。包括緩存感染、域名劫持、DNS重定向等常見的幾種方式。第二，DDoS攻擊。數(shù)據(jù)顯示，自2010年以來，數(shù)10Gbps的DDoS攻擊已是常事，而本文一開始提到的針對(duì)云安全廠商的攻擊則刷新了DDoS攻擊記錄。未來會(huì)不會(huì)有比這更強(qiáng)的網(wǎng)絡(luò)攻擊？這種流量的DDoS攻擊會(huì)不會(huì)演變?yōu)槲磥淼某B(tài)？極有可能。因?yàn)樵诎踩I(lǐng)域一直是：“道高一尺，魔高一丈?！?/p>

互聯(lián)網(wǎng)的歷史告訴我們，許多系統(tǒng)在一開始就可以成功，如果它擁有成功的設(shè)計(jì)。然而，隨著用戶規(guī)模的成長(zhǎng)，系統(tǒng)將面臨“成長(zhǎng)的煩惱”。這時(shí)，它就要做出改變。

DNSSEC的加入

DNSSEC（Domain Name System Security Extensions ，DNS安全擴(kuò)展）就是為了解決DNS信息安全的問題，它采用非對(duì)稱密鑰的簽名認(rèn)證機(jī)制來認(rèn)證消息的來源。從理論上來說，DNSSEC可以解決DNS信息安全問題，因?yàn)楝F(xiàn)有的運(yùn)算能力無(wú)法在私鑰更換之前破解私鑰。DNSSEC給解析服務(wù)器提供了防止受騙的武器，即一種可以驗(yàn)證應(yīng)答信息真實(shí)性和完整性的機(jī)制?！癉NS是一個(gè)巨大無(wú)比的網(wǎng)絡(luò)地圖，導(dǎo)引沖浪者的航線，而DNSSEC則相當(dāng)于燈塔，保證航行的安全?！毕嚓P(guān)人士表示。

圖1 中國(guó)境內(nèi)鏡像根發(fā)展歷程

DNSSEC有其優(yōu)點(diǎn)也有缺點(diǎn)，在推出的若干年中，存在不少爭(zhēng)議。從1997年第一個(gè)有關(guān)DNSSEC的標(biāo)準(zhǔn)RFC2065發(fā)布，中間經(jīng)過幾次修訂使其更加可用。直到現(xiàn)在DNSSEC的標(biāo)準(zhǔn)仍在發(fā)展過程中。迫于DNS安全問題的日趨嚴(yán)重化，負(fù)責(zé)管理互聯(lián)網(wǎng)的非贏利組織ICANN設(shè)置了一個(gè)推動(dòng)時(shí)間表。2010年5月5日，互聯(lián)網(wǎng)史上又一個(gè)重要的日子，全球13臺(tái)DNS根服務(wù)器升級(jí)到支持 DNSSEC的版本。

目前，各個(gè)國(guó)家基本上都意識(shí)到DNSSEC對(duì)于互聯(lián)網(wǎng)體系的重要性，也在一層一層往下部署。ICANN正在全面部署DNSSEC，它為用戶DNS查詢的每一步增加一個(gè)數(shù)字簽名驗(yàn)證，以防止第三方偽造DNS數(shù)據(jù)。

相關(guān)專家表示，作為一種“打補(bǔ)丁”的方式，DNSSEC不可能盡善盡美，但這是解決互聯(lián)網(wǎng)域名欺騙目前來看最有效的方式。如果DNS能夠普遍部署，將對(duì)互聯(lián)網(wǎng)的安全體系產(chǎn)生重大的影響，因?yàn)橛辛薉NSSEC的數(shù)字簽名，把DNS作為密鑰分發(fā)的PKI在很多應(yīng)用場(chǎng)合已經(jīng)具有了可行性。它不僅可以加強(qiáng)DNS本身的安全，還給其他的應(yīng)用，特別是端到端的移動(dòng)通信、IPv6網(wǎng)絡(luò)環(huán)境的安全問題提供新的解決方案。

ICANN 或許是受了《指環(huán)王》的啟發(fā)，它制定了一項(xiàng)計(jì)劃——當(dāng)DNSSEC崩潰，分布在全世界的7個(gè)人將拿著密鑰，來到美國(guó)的一個(gè)秘密數(shù)據(jù)中心合作解開DNSSEC的根密鑰，重建DNSSEC。7個(gè)人只需5位就能破解根密鑰——這種加密方法被稱為 Shamir's Secret Sharing——密鑰被分成幾部分，每一部分都獨(dú)一無(wú)二，其中幾部分或全部聯(lián)合起來就能解密密鑰。

不過，DNSSEC的部署挑戰(zhàn)很多。首先是部署難度大。 DNSSEC的公鑰發(fā)布要求有一個(gè)信任鏈。根被認(rèn)為可信并簽名，然后頂級(jí)域要把自身的公鑰的hash值，也就是DS記錄放到根。以此類推二級(jí)域要把DS記錄放到頂級(jí)域。以COM.CN舉例說明，首先根簽名，然后CN區(qū)的運(yùn)行者要把DS記錄放到根，之后COM.CN要把DS記錄放到CN區(qū)中。這樣遞歸查詢服務(wù)器逐級(jí)認(rèn)證公鑰的可信性，直到COM.CN區(qū)的公鑰是可信的，然后遞歸查詢服務(wù)器用這個(gè)公鑰來驗(yàn)證COM.CN區(qū)的權(quán)威服務(wù)器的應(yīng)答?？梢钥吹?，如果CN不簽名即使COM.CN想簽名也是徒勞的，因此在短時(shí)間內(nèi)要想達(dá)到所有區(qū)都簽名不現(xiàn)實(shí)。

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）第46屆會(huì)議。

其次，容量膨脹導(dǎo)致成本增加。由于采用簽名認(rèn)證機(jī)制，每個(gè)記錄都要有一個(gè)簽名記錄RRSIG記錄，根據(jù)統(tǒng)計(jì)計(jì)算區(qū)數(shù)據(jù)要膨脹10倍（這個(gè)值和密鑰長(zhǎng)度相關(guān)），相應(yīng)的通信量也要膨脹10倍。這樣現(xiàn)有的服務(wù)器和網(wǎng)絡(luò)都要升級(jí)。顯然這樣做成本很高。

第三，管理難度大。由于要定期簽名，增加系統(tǒng)的復(fù)雜性，相應(yīng)的管理成本增加了很多。需要購(gòu)置新的管理軟件。

總之，DNSSEC部署和實(shí)施是一個(gè)復(fù)雜，全球性的系統(tǒng)工程。DNSSEC的實(shí)施，非技術(shù)方面的問題大于技術(shù)方面，特別是對(duì)現(xiàn)有DNS體系的向下兼容性方面，是DNSSEC實(shí)施成敗的關(guān)鍵。

當(dāng)然，DNSSEC顯然在解決一些問題的時(shí)候還帶來了另外一些問題。如，DNSSEC一個(gè)爭(zhēng)議和擔(dān)憂就是過強(qiáng)的流量放大效應(yīng)，此效應(yīng)將造成更大規(guī)模的DDoS攻擊。不過這似乎也并非無(wú)藥可醫(yī)，相關(guān)人士表示，

DNS安全的未來

在互聯(lián)網(wǎng)發(fā)展的過程中，人們需要認(rèn)識(shí)的是，互聯(lián)網(wǎng)問題的解決中，不可能十全十美，任何解決方案都是一種“成功的妥協(xié)”。正如美國(guó)加州大學(xué)洛杉磯分校張麗霞教授所言：“互聯(lián)網(wǎng)本身是一個(gè)生長(zhǎng)的系統(tǒng)，它會(huì)不斷地發(fā)展，不斷地面臨新的挑戰(zhàn)。一個(gè)好的設(shè)計(jì)在于很好地做出妥協(xié)?！?/p>

DNS將在未來更加重要，首先，IPv4 地址耗盡使IPv6日漸成為主流，IPv6的地址段數(shù)遠(yuǎn)遠(yuǎn)大于IPv4的，人們幾乎不太可能通過記憶地址數(shù)段來打開網(wǎng)頁(yè)。在這種情況下，DNS的作用更加重要。但是這一切的基礎(chǔ)是安全。

相關(guān)人士指出，目前許多DNS創(chuàng)新應(yīng)用得以蓬勃發(fā)展。DNS新技術(shù)的發(fā)展孵化出眾多的創(chuàng)新應(yīng)用，使DNS展現(xiàn)出前所未有的生命力，在這些應(yīng)用發(fā)展的同時(shí)，也同樣督促著DNS協(xié)議本身的不斷進(jìn)步，使得DNS協(xié)議常用常青。

CNNIC 2012年《中國(guó)域名服務(wù)安全狀況與態(tài)勢(shì)分析報(bào)告》顯示，當(dāng)前全球域名服務(wù)在安全方面應(yīng)重點(diǎn)關(guān)注以下幾個(gè)方面的工作，以全面應(yīng)對(duì)DNS的不斷演進(jìn)，特別是DNSSEC部署步伐的加快和IPv6普及程度的深入。

首先，服務(wù)器的操作系統(tǒng)和DNS軟件應(yīng)進(jìn)行及時(shí)升級(jí)，保證對(duì)最新漏洞的及時(shí)修補(bǔ)。對(duì)采用BIND的DNS服務(wù)器，應(yīng)關(guān)閉軟件的版本應(yīng)答功能，提供一定程度的安全保證。

其次，測(cè)試表明，實(shí)施DNSSEC后（以RSA/SHA1算法、密鑰長(zhǎng)度ZSK為1024、KSK為2048為例），權(quán)威區(qū)文件增大4倍，網(wǎng)絡(luò)帶寬增大為4.5倍，CPU 使用率增大7%，內(nèi)存容量增大205%；遞歸服務(wù)器DNS應(yīng)答包增大5倍，網(wǎng)絡(luò)帶寬增大5倍，CPU使用率增大20%，內(nèi)存占用率增大66.7%。因此，隨著新通用頂級(jí)域申請(qǐng)的開放，應(yīng)加快對(duì)DNSSEC技術(shù)的培訓(xùn)和實(shí)際部署測(cè)試，以及時(shí)發(fā)現(xiàn)DNSSEC大規(guī)模部署之后密鑰更新和數(shù)據(jù)加密操作中存在的故障。

圖2 頂級(jí)域名分類

第三，IPv6成為下一代互聯(lián)網(wǎng)的基本特征，DNS系統(tǒng)對(duì)于IPv6資源記錄和過渡環(huán)境的全面支持需要進(jìn)一步完善。

第四，對(duì)于大數(shù)據(jù)包的支持不僅能使DNS平滑支持DNSSEC和IPv6，也為DNS以后的演進(jìn)奠定基礎(chǔ)，這不僅需要協(xié)議層面的功能支撐，而且需要整個(gè)網(wǎng)絡(luò)環(huán)境對(duì)于大數(shù)據(jù)包的傳輸支持。

第五，DNS已經(jīng)成為互聯(lián)網(wǎng)惡意攻擊的主要對(duì)象之一，因此，在服務(wù)架構(gòu)方面增強(qiáng)DNS抗高強(qiáng)度DoS攻擊能力不僅是提高DNS 權(quán)威服務(wù)體系生存性的有效方法，還能夠?yàn)槲锫?lián)網(wǎng)、CDN等需要大規(guī)模、高性能DNS解析支撐的新型應(yīng)用環(huán)境提供基本支持。

互聯(lián)網(wǎng)的發(fā)展告訴我們，設(shè)計(jì)的成功推動(dòng)了技術(shù)的革新，而技術(shù)的進(jìn)步也推動(dòng)了設(shè)計(jì)的成功，有一條忠告是，任何成功的系統(tǒng)，當(dāng)它變大的時(shí)候需求就會(huì)變化，系統(tǒng)也要相應(yīng)變化，所以如果想取得成功要遵照這個(gè)循環(huán)，也就是成功、規(guī)模擴(kuò)大、發(fā)現(xiàn)問題、解決問題。然后才能邁上新臺(tái)階。

DNS與校園網(wǎng)

在3月份歐洲反垃圾郵件組織Spamhaus宣稱遭受300G流量以上 DDoS攻擊后不久，4月在高校也發(fā)生了一起針對(duì)DNS服務(wù)器的同種攻擊事件。DNS安全對(duì)校園網(wǎng)來說同樣值得警鐘長(zhǎng)鳴。

相關(guān)人士表示，目前校園網(wǎng)內(nèi)的DNS安全攻擊主要有：DDoS攻擊、緩存中毒等。

最近幾年，DNS被用作DDoS攻擊的事件屢見不鮮。上海交通大學(xué)鄒福泰分析認(rèn)為，其原因有：1. DNS包不受防火墻限制并且具有連續(xù)高速發(fā)包的優(yōu)勢(shì)。2.廣泛存在的開放遞歸服務(wù)器，成為天然的好資源。Open DNS Resolver Project已統(tǒng)計(jì)了近3000萬(wàn)的開放遞歸服務(wù)器，并在持續(xù)增加中。3.EDNS0的支持越來越普遍，使得DNS攻擊具有放大效應(yīng)。如一個(gè)70字節(jié)左右的請(qǐng)求包可達(dá)到數(shù)K字節(jié)的攻擊包?！翱梢灶A(yù)見，如果我們不加防范，這種利用DNS的放大攻擊事件將會(huì)越來越嚴(yán)重?！?/p>

鄒福泰表示，針對(duì)攻擊放大的原理，可以限制EDNS0。但這有一定的負(fù)面影響，因?yàn)镮Pv6以及DNSSEC需要EDNS0，否則對(duì)于任何大于512解析響應(yīng)包都轉(zhuǎn)為TCP傳輸會(huì)對(duì)DNS服務(wù)器帶來較大的影響。因此，比較好的安全實(shí)踐是限定可請(qǐng)求解析的IP地址，不在限定IP范圍內(nèi)的請(qǐng)求都拒絕。在目前主流的DNS服務(wù)器做這種安全配置都是很容易的。

在DDoS攻擊中，有一些通過路由器來進(jìn)行。鄭州大學(xué)張子蛟介紹說，目前一般高校都是一個(gè)宿舍分配一個(gè)IP地址，宿舍里幾個(gè)學(xué)生通過路由器上網(wǎng)。但共用路由器會(huì)帶來新的安全問題。有的路由器用戶名和密碼都是admin，而且不會(huì)提示修改用戶名及密碼。這樣很容易讓攻擊趁虛而入。一般情況下，學(xué)校DNS服務(wù)器一秒鐘的用戶請(qǐng)求數(shù)為數(shù)千次，但在有僵尸網(wǎng)絡(luò)的情況下，一秒鐘會(huì)有數(shù)萬(wàn)次的用戶請(qǐng)求。而且，成為僵尸的機(jī)器會(huì)不斷影響網(wǎng)內(nèi)的其他機(jī)器，使僵尸機(jī)器大范圍擴(kuò)散。

針對(duì)此，鄭州大學(xué)的解決方式是，只讓校內(nèi)用戶使用學(xué)校所提供的DNS服務(wù)器，將DDoS攻擊降低到一個(gè)較小的范圍。

在目前DNS安全現(xiàn)狀下，必須實(shí)施可行的安全策略。張子蛟表示，可通過設(shè)置DNS網(wǎng)關(guān)的辦法解決此問題，其最大特點(diǎn)是，DNS協(xié)議做不到的事，DNS體系難以做到的事，可以由DNS網(wǎng)關(guān)實(shí)現(xiàn)。在個(gè)性化需求和DNS規(guī)范之間進(jìn)行妥協(xié)。只要保證DNS網(wǎng)關(guān)與其他DNS服務(wù)器和客戶端的接口符合DNS協(xié)議和標(biāo)準(zhǔn)即可。

另外，值得關(guān)注的一點(diǎn)變化是，DNS服務(wù)器成為越來越重要的安全防護(hù)關(guān)卡。尤其是目前各大網(wǎng)站為了達(dá)到一個(gè)良好的負(fù)載均衡效果，幾乎都是通過DNS別名實(shí)現(xiàn)域名的分布式服務(wù)，不支持對(duì)IP地址的直接訪問，這意味著未來DNS的安全將更加重要。校園網(wǎng)作為一張連接了千萬(wàn)人的大網(wǎng)，連接了校園與校外，其涵蓋的不安全因素也多種多樣。這些安全隱患可為攻擊者利用，因此，對(duì)DNS服務(wù)器管理人員來說，應(yīng)當(dāng)加強(qiáng)DNS安全配置，以減小安全風(fēng)險(xiǎn)，提升校園網(wǎng)DNS的安全感。