互聯(lián)網(wǎng)域名系統(tǒng)管理新機(jī)制的研究

　　摘要　域名系統(tǒng)(DNS)既是互聯(lián)網(wǎng)的基礎(chǔ)業(yè)務(wù)，又是互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的重要組成部分。隨著IP技術(shù)向電信領(lǐng)域的滲透，一些電信業(yè)務(wù)也越來越依賴于DNS系統(tǒng)。 而現(xiàn)有DNS體系實(shí)際上是由美國間接控制的，存在一定的安全隱患。因此新型DNS系統(tǒng)的研究已經(jīng)開始受到重視，本文提出了一種與現(xiàn)行DNS系統(tǒng)兼容的、新型的互聯(lián)網(wǎng)域名解析體系，以期提高DNS系統(tǒng)的安全性。

　　關(guān)鍵詞　域名系統(tǒng)　DNS　根服務(wù)器　安全隱患


1、探索新的DNS服務(wù)器管理機(jī)制與解析方式的必要性

　　1.1　根服務(wù)器的種類與分布

　　域名根服務(wù)器通常有三類：主服務(wù)器、從服務(wù)器、鏡像服務(wù)器。其中主服務(wù)器負(fù)責(zé)維護(hù)ROOTZONE文件，并主服務(wù)器定期向從服務(wù)器下發(fā)ROOTZONE文件。鏡像服務(wù)器是從服務(wù)器的鏡像，通常這些分布在各地的鏡像服務(wù)器與從服務(wù)器配置為一個IPv4的組播組或一個IPv6的任播組，這樣用戶可以就近獲得DNS解析服務(wù)，提高了域名解析的性能。另外，這種通過組播或任播技術(shù)組織起來的進(jìn)行鏡像服務(wù)器可以一定程度上避免網(wǎng)絡(luò)單點(diǎn)故障，提高網(wǎng)絡(luò)的安全性。

　　目前，全球共有1個主根服務(wù)器(隱藏，網(wǎng)絡(luò)上不可見的)，13個從根服務(wù)器(邏輯)。這些邏輯上的從服務(wù)器又分別配置有若干具體的鏡像服務(wù)器，分布在全球10多個國家和地區(qū)。其中，以F根服務(wù)器的鏡像服務(wù)器最多，現(xiàn)在有21個，按照F根服務(wù)器的管理者ISC的規(guī)劃，到2005年全球的F根服務(wù)器的鏡像服務(wù)器要達(dá)到25個。I根服務(wù)器和J根服務(wù)器的鏡像服務(wù)器數(shù)目也較多，目前分別為9個和12個，并且這個數(shù)目正在增長。

　　上述所有根服務(wù)器均由美國政府授權(quán)的互聯(lián)網(wǎng)名字與編號分配機(jī)構(gòu)(ICANN)統(tǒng)一管理，負(fù)責(zé)全球的域名根服務(wù)器、域名體系和IP地址的管理。ICANN的管理工作根據(jù)其與美國商務(wù)部達(dá)成的諒解備忘錄的內(nèi)容進(jìn)行。而對根服務(wù)器的具體管理與維護(hù)工作，則由ICANN以簽署協(xié)議的方式委托給一些組織或公司來完成。

　　1.2　現(xiàn)行互聯(lián)網(wǎng)域名解析機(jī)制存在的問題

　　在現(xiàn)行互聯(lián)網(wǎng)域名解析體系中，DNS根服務(wù)器扮演了十分重要的角色。所有本地DNS服務(wù)器不能解析的域名解析請求都要直接送到DNS根服務(wù)器去，而目前這些DNS根服務(wù)器的最終管理權(quán)與控制權(quán)在美國政府的手里，美國可以對DNS根服務(wù)器中的ROOTZONE文件的記錄進(jìn)行修改，從而使得一些國家從互聯(lián)網(wǎng)世界中消失。據(jù)了解在美伊戰(zhàn)爭期間，伊拉克以外的國家不能訪問伊拉克的網(wǎng)站，所有訪問伊拉克ccTLD頂級域名服務(wù)器的域名解析請求都將返回“失敗(fail)”或“拒絕(denial)。另外，美國還可以對訪問DNS根服務(wù)的域名解析請求進(jìn)行監(jiān)測與分析，并可以采取諸如拒絕訪問、過濾或重定向等特殊處理。所有這些都使得許多國家在利用DNS系統(tǒng)來支撐一些重要的應(yīng)用時(shí)存在安全性方面的擔(dān)憂，尤其是一些與美國的文化理念和意識形態(tài)方面存在差異的發(fā)展中國家。隨著互聯(lián)網(wǎng)向傳統(tǒng)電信領(lǐng)域的滲透，一些電信業(yè)務(wù)也越來越多地依賴于DNS解析系統(tǒng)，而且DNS域名的系統(tǒng)的功能也在不斷豐富之中(如新的記錄類型的增加，以支持ENUM，RFID等應(yīng)用，現(xiàn)行DNS系統(tǒng)有向全球目錄服務(wù)系統(tǒng)演變的趨勢，這意味著DNS系統(tǒng)的重要性會越來越加強(qiáng))，但是這些電信業(yè)務(wù)的管理權(quán)屬于各國主權(quán)范疇，各國的電信業(yè)務(wù)的開展需要依賴由美國管理與控制的DNS根服務(wù)器的現(xiàn)狀也使得一些國家產(chǎn)生了對本國電信業(yè)務(wù)安全性的擔(dān)憂。這一定程度上影響了ENUM，RFID等新型應(yīng)用的快速開展。

　　所有的根服務(wù)器的具體管理權(quán)均屬于某個國家的某個公司，如果出現(xiàn)與根服務(wù)器有關(guān)的網(wǎng)絡(luò)糾紛甚至是網(wǎng)絡(luò)犯罪時(shí)，牽扯到的法律問題將會非常復(fù)雜。具體地講，DNS根服務(wù)器的帶來的安全隱患主要有：停止服務(wù)、虛假信息發(fā)布、重定向、信息監(jiān)控、定點(diǎn)攻擊等方面。

　　(1)停止服務(wù)

　　由于目前國內(nèi)的各級DNS服務(wù)器均缺省配置了互聯(lián)網(wǎng)根服務(wù)器的地址，當(dāng)在本地不能完成域名解析時(shí)需要按照這個地址列表來訪問根服務(wù)器。當(dāng)這些服務(wù)器對我國的DNS查詢停止提供服務(wù)時(shí)，則DNS查詢失敗。影響互聯(lián)網(wǎng)業(yè)務(wù)以及與DNS服務(wù)有關(guān)的電信業(yè)務(wù)的開展。

　　(2)虛假信息發(fā)布

　　存在這些國外的服務(wù)器向國內(nèi)的服務(wù)器傳送虛假信息的可能。這些虛假信息使得與DNS服務(wù)相關(guān)的業(yè)務(wù)不能正常開展。

　　(3)訪問的重定向

　　虛假信息的發(fā)布除了可以使國內(nèi)的域名解析服務(wù)不能正常進(jìn)行以外，更為嚴(yán)重的是國外的服務(wù)器可以利用這些虛假信息實(shí)現(xiàn)訪問的重定向，從而破壞網(wǎng)絡(luò)和業(yè)務(wù)的安全，帶來嚴(yán)重的后果。

　　(4)消息篡改

　　由于對國外DNS服務(wù)器的查詢需要經(jīng)過國外的網(wǎng)絡(luò)，因此這些消息也存在被捕獲并篡改的危險(xiǎn)。通過對DNS查詢消息和DNS響應(yīng)消息中有關(guān)字節(jié)的更改均可以實(shí)現(xiàn)前面所介紹的訪問重定向。

　　(5)信息監(jiān)控

　　無論是本地DNS服務(wù)器采用遞歸工作方式還是非遞歸工作方式，只要是接收了缺省的對“.”根服務(wù)器的配置，則對于本地不能解析的域名(cache服務(wù)器中沒有緩存相應(yīng)的信息)均需要查詢根服務(wù)器。而在DNS請求消息中就包含了本地DNS服務(wù)器或主機(jī)的相關(guān)信息，從而DNS根服務(wù)器可以對這些信息進(jìn)行記錄、統(tǒng)計(jì)，并可以有選擇地長期對其進(jìn)行監(jiān)測，從中可以分析出這個DNS服務(wù)器或主機(jī)的網(wǎng)絡(luò)活動范圍，從而對其服務(wù)范圍內(nèi)的用戶特性有所把握。這對于一些國家敏感部門的安全有一定的威脅。

　　(6)定點(diǎn)攻擊

　　在國外的DNS服務(wù)器獲得了國內(nèi)一些重要DNS服務(wù)器的信息(所謂的重要DNS服務(wù)器是指其服務(wù)的用戶數(shù)量較大、用戶重要性較高)以后，其可以根據(jù)這些信息對這些服務(wù)器進(jìn)行有針對性的攻擊。

2、國際上已經(jīng)開展了對現(xiàn)行機(jī)制的替代方法的研究

　　考慮到DNS根服務(wù)器所存在的上述問題，目前國際上有兩種解決思路：一種是通過努力推動DNS根服務(wù)器監(jiān)管的國際化，實(shí)現(xiàn)DNS根服務(wù)器最終管理與控制權(quán)從美國政府轉(zhuǎn)向國際組織(究竟是轉(zhuǎn)移到民間國際組織還是政府間國際組織，國際上爭論較大)。在這種思路下，DNS根服務(wù)器管理權(quán)問題解決以后，現(xiàn)行的域名解析體系可以維持不動。另一種思路是探索新型的域名解析體系，避免在域名解析過程中訪問被美國實(shí)際控制的DNS根服務(wù)器。

　　實(shí)際上，國際上已經(jīng)開展了對現(xiàn)有域名解析體系的替代方案的研究，如美國紐約大學(xué)沃爾克·科茲博士通過互聯(lián)網(wǎng)域名系統(tǒng)與傳統(tǒng)的電信系統(tǒng)的比較，提出了一個會使ICANN失去其無可替代地位的備選系統(tǒng)。并已向電聯(lián)WSIS工作組提交了報(bào)告。Karl Auerbach通過研究完成了建立“Multiple DNS Roots”的報(bào)告。Kilnam Chon完成了“Issues for Next Generation Root Servers”的報(bào)告。目前，除了不同的組織、研究機(jī)構(gòu)或個人提交了多個研究報(bào)告以外，一些試圖替代現(xiàn)行域名解析系統(tǒng)的試驗(yàn)系統(tǒng)也投入了測試，如Open NIC，New.Net，Name.Space等。

　　2.1　AlterNIC系統(tǒng)

　　1998年4月計(jì)算機(jī)專家Eugene Kashpureff創(chuàng)建了AlterNIC，一種新域名解析系統(tǒng)，由跨北美的八臺計(jì)算機(jī)(根服務(wù)器)組成，運(yùn)行新的根域名目錄。這些根域名服務(wù)器不但能支持新的TLDs，還能與“舊”的TLDs保持一致。最大成就是把尋求“正規(guī)”跟名稱服務(wù)器的互聯(lián)網(wǎng)用戶重新路由到他自己的新目錄。

　　2.2　eDNS系統(tǒng)

　　1997年4月，增強(qiáng)域名系統(tǒng)(“eDNS”)進(jìn)入試驗(yàn)階段，它是現(xiàn)有DNS系統(tǒng)的替代品。這種系統(tǒng)使用自己的域名架構(gòu)。其復(fù)雜的注冊系統(tǒng)可以保證任何機(jī)構(gòu)都不能控制10個以上的TLDs。與此類似，還有象New.Net這樣的替代性根服務(wù)器，以6種不同的語言創(chuàng)建了160多個替代性的擴(kuò)展名，包括象TLDs的.法律，.學(xué)校，.藝術(shù)，.教會。按照ICANN自己的說法，除了上面提到的例子外，還有很多人和機(jī)構(gòu)進(jìn)行了替代根域名服務(wù)器的研究與試驗(yàn)。

　　上述試驗(yàn)均表明：現(xiàn)有的域名解析系統(tǒng)并不是不能替代的。

3、新機(jī)制的基本思路

　　目前存在的域名服務(wù)系統(tǒng)是樹形結(jié)構(gòu)，其存在一個主根服務(wù)器，其下有13個從根域名服務(wù)器(這些根域名服務(wù)器可以存在多個鏡像)，根域名服務(wù)器之下有g(shù)TLD和ccTLD頂級域服務(wù)器，這些服務(wù)器分別管理gTLD和ccTLD頂級域；在gTLD和ccTLD域的管理中也是一個以gTLD和ccTLD頂級域服務(wù)器為根的樹。

　　3.1　基本思路

　　由于存在一個單一的根服務(wù)器，因此不能從根本上避免通過對單一根服務(wù)器的管理來控制整個域名解析系統(tǒng)的問題。對于這個問題，我們提出一種可行的解決方案。這種方案的核心思想是：改變現(xiàn)有域名解析系統(tǒng)的單一樹狀結(jié)構(gòu)(見圖1)，建立新型的“網(wǎng)狀+樹狀”的體系(見圖2)，即在各個ccTLD頂級服務(wù)器與gTLD頂級域服務(wù)器之間建立“邏輯對等網(wǎng)”，而在ccTLD域和gTLD域中繼續(xù)維持樹狀結(jié)構(gòu)。域名的解析不再需要訪問根域名服務(wù)器，而是通過ccTLD/gTLD服務(wù)器之間的對等網(wǎng)來實(shí)現(xiàn)。以ccTLD域名的解析為例，該方案最大的優(yōu)點(diǎn)在于對ccTLDo域名的解析不再需要訪問根域名服務(wù)器，而是通過ccTLD服務(wù)器之間的對等網(wǎng)來實(shí)現(xiàn)。從而避免了單點(diǎn)故障對整個域名解析系統(tǒng)的致命影響。按照這個方案現(xiàn)有的擁有ccTLD頂級域的243個國家和地區(qū)都可以擁有一個屬于自己的ccTLD國家級服務(wù)器，在每個ccTLD國家級服務(wù)器中均包含243條ccTLD的A記錄或A6/AAAA記錄，這些記錄以某種方式(如以協(xié)議的方式)保持同步。某個國家和地區(qū)對與其相關(guān)的ccTLD頂級域記錄的更改均要提前報(bào)互聯(lián)網(wǎng)管理機(jī)構(gòu)(聯(lián)合國下的某個組織)批準(zhǔn)并備案，在某一時(shí)間內(nèi)所有243個國家和地區(qū)同時(shí)進(jìn)行相應(yīng)的修改，從而保持信息的一致性。

圖1　“樹狀”結(jié)構(gòu)

圖2　“網(wǎng)狀+樹狀”結(jié)構(gòu) ~

　　同時(shí)，在所有的靠近用戶一端的DNS服務(wù)器中將其自身不能解析的ccTLD域名解析請求重定向到本國的ccTLD國家級域名服務(wù)器(可以通過修改本地DNS服務(wù)器中的“根服務(wù)器列表”的方式來實(shí)現(xiàn)，即把現(xiàn)有的“根服務(wù)器列表”的內(nèi)容改為本國的ccTLD國家級域名服務(wù)器地址)，通過本國的ccTLD域名國家級服務(wù)器來實(shí)現(xiàn)ccTLD域名的解析。

　　這種方式避免了對根域名服務(wù)器的訪問，提高了互聯(lián)網(wǎng)域名解析的安全性?？梢月?lián)合一些國家和地區(qū)進(jìn)行運(yùn)行試驗(yàn)，進(jìn)一步檢驗(yàn)此解決方案或其它解決方案的可行性和有效性。

　　對于gTLD域名的解析也可以同樣辦理。上文談及的“網(wǎng)狀+樹狀”的域名解析結(jié)構(gòu)應(yīng)用于gTLD也是可行的。

　　3.2　優(yōu)勢分析

　　這種“樹狀”結(jié)構(gòu)向“網(wǎng)狀+樹狀”結(jié)構(gòu)的轉(zhuǎn)變，可以帶來如下好處：

　　(1)解析體系的安全性提高

　　互聯(lián)網(wǎng)域名解析系統(tǒng)的對DNS根服務(wù)器沒有依賴度關(guān)系，單點(diǎn)故障的影響被弱化，在ccTLD域名解析中，某個國家的國家級域名服務(wù)器出現(xiàn)故障，只能影響與本國域名相關(guān)的服務(wù)，不會造成全球癱瘓。

　　(2)域名解析性能提高

　　與現(xiàn)有的基于“樹狀”結(jié)構(gòu)的域名解析過程相比，“網(wǎng)狀+樹狀”結(jié)構(gòu)下的域名解析真正實(shí)現(xiàn)了負(fù)載均攤，域名查詢響應(yīng)速度將大大提高。同時(shí)，各國可以根據(jù)實(shí)際情況，通過“任播”等方式實(shí)現(xiàn)對本國國家級域名服務(wù)器訪問的負(fù)載均攤。

　　(3)便于各國對有害信息的管理與控制

　　對于包含恐怖主義、兒童色情、反宗教、反人類等有害信息的訪問請求可以在本國內(nèi)被過濾掉，有利于互聯(lián)網(wǎng)網(wǎng)絡(luò)世界的凈化。同時(shí)也有利于對垃圾郵件的管理和控制。

　　(4)與現(xiàn)有機(jī)制兼容，便于平滑過渡

　　新型的域名解析體系可以和現(xiàn)行體系兼容，即用戶的域名查詢請求可以繼續(xù)按照“根服務(wù)器—頂級域名服務(wù)器—二級域名服務(wù)器”的模式來解析。同時(shí)，也可以按照“頂級域名服務(wù)器——二級域名服務(wù)器”的模式來解析。這種兼容性使得現(xiàn)有的根服務(wù)器可以繼續(xù)保留，一方面其可以按照原有的機(jī)制，為用戶提供域名解析服務(wù)，保證域名解析體系的平穩(wěn)過渡；另一方面，對于沒有能力來自己維護(hù)本國國家頂級域名服務(wù)器的國家，可以繼續(xù)按照現(xiàn)有機(jī)制來工作，不必增加這些國家的管理和維護(hù)負(fù)擔(dān)。

　　(5)ISP可以自主選擇兩種機(jī)制中的一種來為其用戶提供服務(wù)，支持“雙軌制”

　　就運(yùn)營商(ISP)來講，通過對本地DNS服務(wù)器中配置文件(以BIND9.2.1的DNS服務(wù)器為例。此文件為named.conf)內(nèi)容的設(shè)置來選擇究竟利用何種方式進(jìn)行域名解析。如在配置文件中保留“根服務(wù)器列表”，則在本地DNS服務(wù)器不能對用戶的請求進(jìn)行解析時(shí)，可以按照列表所提供的IP地址來訪問根服務(wù)器，即采用原有的解析體系。如將配置文件中的“根服務(wù)器列表”替換成“本國國家頂級域服務(wù)器列表”，則本地DNS服務(wù)器在不能完成解析時(shí)，將訪問指定的本國的國家頂級域服務(wù)器，從而避免對根服務(wù)器的訪問，即采用新機(jī)制來完成域名解析。

　　(6)現(xiàn)有的DNS服務(wù)器軟件不需要改動

　　現(xiàn)有的DNS服務(wù)器軟件不需要升級，而只是將DNS服務(wù)器中的相應(yīng)DNS配置文件進(jìn)行修改即可，主要是修改現(xiàn)有的“根服務(wù)器列表”，將其改為“本國的國家頂級域服務(wù)器列表”。

　　3.3　具體實(shí)施策略(數(shù)據(jù)同步策略)

　　在采用新機(jī)制時(shí)，需要重點(diǎn)解決不同頂級域服務(wù)器之間的數(shù)據(jù)同步問題，因?yàn)樵陧敿売蚍?wù)器中保存了其它頂級域服務(wù)器的記錄，當(dāng)一個頂級域服務(wù)器的信息(如IP地址)發(fā)生改變時(shí)，需要其它頂級域服務(wù)器進(jìn)行修改。這種情況下的同步機(jī)制的實(shí)現(xiàn)有兩種方式：

　　(1)先以ccTLD的域名解析為試點(diǎn)，同意采用這種機(jī)制的幾個國家可以在某種協(xié)議的基礎(chǔ)上形成伙伴關(guān)系，這些國家可以就域名的管理問題制訂相應(yīng)的管理辦法，其中就包括各國ccTLD服務(wù)器信息變動時(shí)的數(shù)據(jù)同步方法。在試驗(yàn)成功以后，可以逐步吸收更多的國家簽署加入此協(xié)議，也遵從相應(yīng)的管理辦法。同時(shí)也可以考慮，在這些共同遵從某協(xié)議的國家的基礎(chǔ)上。形成一個以主權(quán)國家為基礎(chǔ)的國際互聯(lián)網(wǎng)域名管理組織。

　　(2)如果ICANN同意采用此種機(jī)制，可以繼續(xù)由ICANN在操作層面來完成不同頂級域服務(wù)器之間進(jìn)行數(shù)據(jù)同步的協(xié)調(diào)工作。而這種協(xié)調(diào)工作的管理權(quán)，由聯(lián)合國下的某個組織來掌握。

4、具體配置方法與解析流程

　　以ccTLD的域名管理為例來說明新機(jī)制的具體配置方法。gTLD的域名管理與此相似，可以類比施行。

　　(1)本地DNS服務(wù)器將不能自己解析的域名請求缺省定向到本國的國家級頂級域服務(wù)器。

　　(2)在本國的國家級頂級域服務(wù)器中保存243個國家級頂級域服務(wù)器的記錄。

　　國家級頂級域的下一級域名數(shù)量是有限的(共約243個)，也是相對固定的，發(fā)生變動的頻率會很低，因此可以在本國國家級服務(wù)器中以配置文件的方式來保存其它國家的國家級頂級域服務(wù)器的記錄，這樣在域名解析時(shí)就完全可以不必依賴于現(xiàn)有的根服務(wù)器。也就是說，完全可以在域名解析時(shí)不訪問DNS根服務(wù)器。在上述配置環(huán)境下，www.mynet.uk域名解析過程如圖3、圖4所示。


圖3　新機(jī)制下的互聯(lián)網(wǎng)域名遞歸查詢流程


圖4　新機(jī)制下的互聯(lián)網(wǎng)域名迭代查詢流程

5、結(jié)束語

　　本文對DNS根服務(wù)器的安全隱患進(jìn)行了分析，這些安全性隱患主要包括：停止服務(wù)、虛假信息發(fā)布、訪問的重定向、消息篡改、信息監(jiān)控和定點(diǎn)攻擊等。在此基礎(chǔ)上，本文對研究現(xiàn)有互聯(lián)網(wǎng)域名解析機(jī)制的替代辦法的必要性進(jìn)行了分析；同時(shí)介紹了國際上的一些類似研究成果與試驗(yàn)；最后，提出了一種新型的互聯(lián)網(wǎng)域名解析體系。這種解析體系將現(xiàn)行根服務(wù)器的“樹狀”分布結(jié)構(gòu)改變?yōu)椤熬W(wǎng)狀+樹狀”結(jié)構(gòu)，這樣，在進(jìn)行域名解析時(shí)，可以避免對現(xiàn)有根服務(wù)器的訪問，從而減少了單點(diǎn)故障的影響、消除性能瓶頸、有利于有害信息的管理，并且這種新機(jī)制與現(xiàn)有域名解析體系兼容，支持域名解析的“雙軌制”(用戶可以自主選擇利用哪種機(jī)制)，從而可以實(shí)現(xiàn)域名解析體系的平滑過渡。