D N S 3 0歲：成長中的煩惱

文/本刊記者 王左利

1 9 8 3年，保羅·莫卡派喬斯 (P a u l M o c k a p e t r is)在南加州大學信息科學學院提出了關于D N S體系結構的R F C s 8 8 2和8 8 3，本質上就是我們今天所使用的D N S。

早期，S t e v e B e llo v in發現D N S欺騙攻擊。

2 0 0 8年，D a n K a m in s k y發現一種高效的緩存污染（D N S C a c h e P o is o n in g）攻擊。

3 0年前，保羅·莫卡派喬斯 (P a u l M o c k a p e t r i s)在南加州大學信息科學學院提出D N S架構。從那以后，D N S成為互聯網重要的基礎設施之一。正如許多事物一樣，在它誕生的第一天里，人們就意識到了它的好處，但其潛在缺點卻在日后慢慢顯現。

任何成功的系統，當它變大的時候需求就會變化，系統也要相應變化，所以如果想取得成功要遵照這個循環，也就是成功、規模擴大、發現問題、解決問題。然后才能邁上新臺階。D N S同樣適用于此原則。

潛在的缺點

3月份，一場DDoS攻擊引發。這次攻擊吸引了安全界人士的目光，其原因在于攻擊峰值前所未有。高達300Gbps的攻擊峰值讓即使是專門提供云安全網絡服務的專業廠商也幾臨崩潰。這又一次讓人們重新審視DNS的安全。

30年前，保羅·莫卡派喬斯 (Paul Mockapetris)在南加州大學信息科學學院提出了關于DNS體系結構的RFCs882和883，本質上就是我們今天所使用的DNS。從那以后，DNS成為互聯網重要的基礎設施之一。正如許多事物一樣，在它誕生的第一天里，人們就意識到了它的好處，但其潛在缺點卻在日后慢慢顯現。

與很多其他互聯網協議一樣，DNS的初始設計場景為可信環境，并沒有過多考慮安全問題。互聯網在發展過程中出現多種針對DNS的攻擊。早期Steve Bellovin所發現的DNS欺騙攻擊，以及2008年Dan Kaminsky發現的一種高效的緩存污染（DNS Cache Poisoning）攻擊都曾震動整個網絡安全學術界和工程界。

保證DNS的健壯運行主要體現在兩個方面：一是性能，即保證域名解析過程的速度；二是安全，即保證域名和IP地址對應關系的正確性。性能是DNS設計之初著重考慮的因素。其整體架構的高度可擴展性和簡潔的查詢協議使得DNS從1983年以來的30年中，面對持續指數級增長的網絡用戶和應用，在初始設計幾乎沒有任何變化的情況下仍然能夠高效穩定運行，但是安全性卻始終是DNS的軟肋。

在國內，互聯網也多次吃過DNS安全的虧。4年前的5月，由暴風影音引起的域名查詢泛濫使得DNSPod當機，造成多個省份互聯網中斷。2010年1月， 百度域名被劫持，DNS解析被篡改，網民訪問百度的結果是看到一個被黑客黑掉的頁面。

“作為互聯網基礎設施，一旦DNS出現問題，整個互聯網就會混亂甚至癱瘓。”相關人士表示，DNS目前為止面臨的安全挑戰主要有幾個方面。第一，域名欺騙。包括緩存感染、域名劫持、DNS重定向等常見的幾種方式。第二，DDoS攻擊。數據顯示，自2010年以來，數10Gbps的DDoS攻擊已是常事，而本文一開始提到的針對云安全廠商的攻擊則刷新了DDoS攻擊記錄。未來會不會有比這更強的網絡攻擊？這種流量的DDoS攻擊會不會演變為未來的常態？極有可能。因為在安全領域一直是：“道高一尺，魔高一丈。”

互聯網的歷史告訴我們，許多系統在一開始就可以成功，如果它擁有成功的設計。然而，隨著用戶規模的成長，系統將面臨“成長的煩惱”。這時，它就要做出改變。

DNSSEC的加入

DNSSEC（Domain Name System Security Extensions ，DNS安全擴展）就是為了解決DNS信息安全的問題，它采用非對稱密鑰的簽名認證機制來認證消息的來源。從理論上來說，DNSSEC可以解決DNS信息安全問題，因為現有的運算能力無法在私鑰更換之前破解私鑰。DNSSEC給解析服務器提供了防止受騙的武器，即一種可以驗證應答信息真實性和完整性的機制。“DNS是一個巨大無比的網絡地圖，導引沖浪者的航線，而DNSSEC則相當于燈塔，保證航行的安全。”相關人士表示。

圖1 中國境內鏡像根發展歷程

DNSSEC有其優點也有缺點，在推出的若干年中，存在不少爭議。從1997年第一個有關DNSSEC的標準RFC2065發布，中間經過幾次修訂使其更加可用。直到現在DNSSEC的標準仍在發展過程中。迫于DNS安全問題的日趨嚴重化，負責管理互聯網的非贏利組織ICANN設置了一個推動時間表。2010年5月5日，互聯網史上又一個重要的日子，全球13臺DNS根服務器升級到支持 DNSSEC的版本。

目前，各個國家基本上都意識到DNSSEC對于互聯網體系的重要性，也在一層一層往下部署。ICANN正在全面部署DNSSEC，它為用戶DNS查詢的每一步增加一個數字簽名驗證，以防止第三方偽造DNS數據。

相關專家表示，作為一種“打補丁”的方式，DNSSEC不可能盡善盡美，但這是解決互聯網域名欺騙目前來看最有效的方式。如果DNS能夠普遍部署，將對互聯網的安全體系產生重大的影響，因為有了DNSSEC的數字簽名，把DNS作為密鑰分發的PKI在很多應用場合已經具有了可行性。它不僅可以加強DNS本身的安全，還給其他的應用，特別是端到端的移動通信、IPv6網絡環境的安全問題提供新的解決方案。

ICANN 或許是受了《指環王》的啟發，它制定了一項計劃——當DNSSEC崩潰，分布在全世界的7個人將拿著密鑰，來到美國的一個秘密數據中心合作解開DNSSEC的根密鑰，重建DNSSEC。7個人只需5位就能破解根密鑰——這種加密方法被稱為 Shamir's Secret Sharing——密鑰被分成幾部分，每一部分都獨一無二，其中幾部分或全部聯合起來就能解密密鑰。

不過，DNSSEC的部署挑戰很多。首先是部署難度大。 DNSSEC的公鑰發布要求有一個信任鏈。根被認為可信并簽名，然后頂級域要把自身的公鑰的hash值，也就是DS記錄放到根。以此類推二級域要把DS記錄放到頂級域。以COM.CN舉例說明，首先根簽名，然后CN區的運行者要把DS記錄放到根，之后COM.CN要把DS記錄放到CN區中。這樣遞歸查詢服務器逐級認證公鑰的可信性，直到COM.CN區的公鑰是可信的，然后遞歸查詢服務器用這個公鑰來驗證COM.CN區的權威服務器的應答。可以看到，如果CN不簽名即使COM.CN想簽名也是徒勞的，因此在短時間內要想達到所有區都簽名不現實。

互聯網名稱與數字地址分配機構（ICANN）第46屆會議。

其次，容量膨脹導致成本增加。由于采用簽名認證機制，每個記錄都要有一個簽名記錄RRSIG記錄，根據統計計算區數據要膨脹10倍（這個值和密鑰長度相關），相應的通信量也要膨脹10倍。這樣現有的服務器和網絡都要升級。顯然這樣做成本很高。

第三，管理難度大。由于要定期簽名，增加系統的復雜性，相應的管理成本增加了很多。需要購置新的管理軟件。

總之，DNSSEC部署和實施是一個復雜，全球性的系統工程。DNSSEC的實施，非技術方面的問題大于技術方面，特別是對現有DNS體系的向下兼容性方面，是DNSSEC實施成敗的關鍵。

當然，DNSSEC顯然在解決一些問題的時候還帶來了另外一些問題。如，DNSSEC一個爭議和擔憂就是過強的流量放大效應，此效應將造成更大規模的DDoS攻擊。不過這似乎也并非無藥可醫，相關人士表示，

DNS安全的未來

在互聯網發展的過程中，人們需要認識的是，互聯網問題的解決中，不可能十全十美，任何解決方案都是一種“成功的妥協”。正如美國加州大學洛杉磯分校張麗霞教授所言：“互聯網本身是一個生長的系統，它會不斷地發展，不斷地面臨新的挑戰。一個好的設計在于很好地做出妥協。”

DNS將在未來更加重要，首先，IPv4 地址耗盡使IPv6日漸成為主流，IPv6的地址段數遠遠大于IPv4的，人們幾乎不太可能通過記憶地址數段來打開網頁。在這種情況下，DNS的作用更加重要。但是這一切的基礎是安全。

相關人士指出，目前許多DNS創新應用得以蓬勃發展。DNS新技術的發展孵化出眾多的創新應用，使DNS展現出前所未有的生命力，在這些應用發展的同時，也同樣督促著DNS協議本身的不斷進步，使得DNS協議常用常青。

CNNIC 2012年《中國域名服務安全狀況與態勢分析報告》顯示，當前全球域名服務在安全方面應重點關注以下幾個方面的工作，以全面應對DNS的不斷演進，特別是DNSSEC部署步伐的加快和IPv6普及程度的深入。

首先，服務器的操作系統和DNS軟件應進行及時升級，保證對最新漏洞的及時修補。對采用BIND的DNS服務器，應關閉軟件的版本應答功能，提供一定程度的安全保證。

其次，測試表明，實施DNSSEC后（以RSA/SHA1算法、密鑰長度ZSK為1024、KSK為2048為例），權威區文件增大4倍，網絡帶寬增大為4.5倍，CPU 使用率增大7%，內存容量增大205%；遞歸服務器DNS應答包增大5倍，網絡帶寬增大5倍，CPU使用率增大20%，內存占用率增大66.7%。因此，隨著新通用頂級域申請的開放，應加快對DNSSEC技術的培訓和實際部署測試，以及時發現DNSSEC大規模部署之后密鑰更新和數據加密操作中存在的故障。

圖2 頂級域名分類

第三，IPv6成為下一代互聯網的基本特征，DNS系統對于IPv6資源記錄和過渡環境的全面支持需要進一步完善。

第四，對于大數據包的支持不僅能使DNS平滑支持DNSSEC和IPv6，也為DNS以后的演進奠定基礎，這不僅需要協議層面的功能支撐，而且需要整個網絡環境對于大數據包的傳輸支持。

第五，DNS已經成為互聯網惡意攻擊的主要對象之一，因此，在服務架構方面增強DNS抗高強度DoS攻擊能力不僅是提高DNS 權威服務體系生存性的有效方法，還能夠為物聯網、CDN等需要大規模、高性能DNS解析支撐的新型應用環境提供基本支持。

互聯網的發展告訴我們，設計的成功推動了技術的革新，而技術的進步也推動了設計的成功，有一條忠告是，任何成功的系統，當它變大的時候需求就會變化，系統也要相應變化，所以如果想取得成功要遵照這個循環，也就是成功、規模擴大、發現問題、解決問題。然后才能邁上新臺階。

DNS與校園網

在3月份歐洲反垃圾郵件組織Spamhaus宣稱遭受300G流量以上 DDoS攻擊后不久，4月在高校也發生了一起針對DNS服務器的同種攻擊事件。DNS安全對校園網來說同樣值得警鐘長鳴。

相關人士表示，目前校園網內的DNS安全攻擊主要有：DDoS攻擊、緩存中毒等。

最近幾年，DNS被用作DDoS攻擊的事件屢見不鮮。上海交通大學鄒福泰分析認為，其原因有：1. DNS包不受防火墻限制并且具有連續高速發包的優勢。2.廣泛存在的開放遞歸服務器，成為天然的好資源。Open DNS Resolver Project已統計了近3000萬的開放遞歸服務器，并在持續增加中。3.EDNS0的支持越來越普遍，使得DNS攻擊具有放大效應。如一個70字節左右的請求包可達到數K字節的攻擊包。“可以預見，如果我們不加防范，這種利用DNS的放大攻擊事件將會越來越嚴重。”

鄒福泰表示，針對攻擊放大的原理，可以限制EDNS0。但這有一定的負面影響，因為IPv6以及DNSSEC需要EDNS0，否則對于任何大于512解析響應包都轉為TCP傳輸會對DNS服務器帶來較大的影響。因此，比較好的安全實踐是限定可請求解析的IP地址，不在限定IP范圍內的請求都拒絕。在目前主流的DNS服務器做這種安全配置都是很容易的。

在DDoS攻擊中，有一些通過路由器來進行。鄭州大學張子蛟介紹說，目前一般高校都是一個宿舍分配一個IP地址，宿舍里幾個學生通過路由器上網。但共用路由器會帶來新的安全問題。有的路由器用戶名和密碼都是admin，而且不會提示修改用戶名及密碼。這樣很容易讓攻擊趁虛而入。一般情況下，學校DNS服務器一秒鐘的用戶請求數為數千次，但在有僵尸網絡的情況下，一秒鐘會有數萬次的用戶請求。而且，成為僵尸的機器會不斷影響網內的其他機器，使僵尸機器大范圍擴散。

針對此，鄭州大學的解決方式是，只讓校內用戶使用學校所提供的DNS服務器，將DDoS攻擊降低到一個較小的范圍。

在目前DNS安全現狀下，必須實施可行的安全策略。張子蛟表示，可通過設置DNS網關的辦法解決此問題，其最大特點是，DNS協議做不到的事，DNS體系難以做到的事，可以由DNS網關實現。在個性化需求和DNS規范之間進行妥協。只要保證DNS網關與其他DNS服務器和客戶端的接口符合DNS協議和標準即可。

另外，值得關注的一點變化是，DNS服務器成為越來越重要的安全防護關卡。尤其是目前各大網站為了達到一個良好的負載均衡效果，幾乎都是通過DNS別名實現域名的分布式服務，不支持對IP地址的直接訪問，這意味著未來DNS的安全將更加重要。校園網作為一張連接了千萬人的大網，連接了校園與校外，其涵蓋的不安全因素也多種多樣。這些安全隱患可為攻擊者利用，因此，對DNS服務器管理人員來說，應當加強DNS安全配置，以減小安全風險，提升校園網DNS的安全感。