互聯網DNS安全研究現狀與挑戰

胡寧，鄧文平，姚蘇

（1. 國防科技大學計算機學院，湖南 長沙 410073；2. 北京交通大學電子信息工程學院，北京 100044）

互聯網DNS安全研究現狀與挑戰

胡寧1，鄧文平1，姚蘇2

（1. 國防科技大學計算機學院，湖南 長沙 410073；2. 北京交通大學電子信息工程學院，北京 100044）

域名系統為互聯網的應用提供域名與IP地址的相互轉換服務，是互聯網的重要基礎設施。DNS的安全是互聯網穩定運行的保障，也是互聯網安全研究的重要內容。現有研究主要通過設計增強協議、監測機制和使用方法來提高DNS系統的安全防護能力，但近期的DNS攻擊事件表明，DNS安全依然存在很多極具挑戰性的問題沒有解決。從安全增強、行為監測和隱私保護等方面對現有成果和挑戰問題進行了總結和討論。

DNS安全；DNS監測；DNS隱私保護；互聯網安全

1 引言

域名系統（DNS，domain name system）是互聯網的重要基礎設施，是聯接互聯網各類應用與資源的紐帶，為各種基于域名的Web應用、電子郵件和分布式系統的正常運行提供關鍵性支撐服務。目前，全球域名總數超過3億，域名服務器數量超過1 000萬臺，每天提供千億次的查詢服務。因此，DNS系統的安全對互聯網的正常運營舉足輕重。隨著互聯網商業價值的提升，惡意攻擊者開始利用DNS系統實施網絡攻擊，一些大型惡意組織甚至可以利用他們特有的能力構造攻擊行為，對互聯網整體的運行造成嚴重的影響[1]。為了提高DNS系統的安全防護能力，涌現了大量優秀的研究成果[2]，但隨著計算機技術的不斷發展以及互聯網應用模式的不斷變化，DNS系統依然面臨許多安全威脅和技術挑戰[3,4]。

DNS系統最早于 1983年由 Mockapetris提出，其主要功能是解決域名與地址轉換的問題[5]。經典的DNS系統包括域名空間和資源記錄、域名服務器和域名解析器。域名服務器提供域名空間和資源記錄的存儲和訪問服務，也稱為服務基礎設施。域名解析器負責接收客戶端請求并查詢域名服務器，也稱為客戶基礎設施。DNS的工作原理非常簡單，以域名www.example.com為例，首先是應用程序通過操作系統的接口向域名解析器發出解析請求，域名解析器收到請求后，從根服務器查詢到能夠解析“.com”的名字服務器，然后從該服務器查詢到能夠解析“example.com”的名字服務器，再從“example.com”的名字服務器查詢能夠解析“www.example.com”的服務器，依次類推，最后能夠解析“www. example.com”的服務器查詢與“www. example.com”對應的IP地址。上述查詢過程中產生的結果，在域名解析器本地緩存，為后續的查詢提高效率。

DNS系統的主要工作機制和協議規范在IETF的RFC1034和RFC1035已經基本成熟，隨著其應用環境的不斷變化以及互聯網自身的發展，DNS的相關規范也在不斷完善，截至 2015年11月，與DNS直接相關的RFC規范達到182條[6]。互聯網DNS系統已經從一個簡單的查詢系統，發展成一個復雜的生態系統[7]。隨著 DNS被賦予更多的應用功能支持，如負載均衡、緩沖、流量工程等[8,9]，上述這個簡單的過程變得非常復雜，尤其當該過程被惡意用戶利用時，將會產生嚴重的DNS安全事件。事實上，近年來，發生的多起DNS安全事件，已經廣泛引起了業界的重視[10～13]，DNS的安全問題并沒有得到完善的解決，依然存在一些挑戰和開放性課題。

為了能夠更好地理解DNS安全問題的本質，把握研究熱點和方向，本文從脆弱分析、安全增強、診斷監控和隱私保護等方面，對近年來關于DNS安全的多篇學術論文進行了歸納分析，并在此基礎上，對今后的研究方向和挑戰問題進行了預測。

2 研究現狀

2.1 脆弱分析

DNS系統在最初被提出時，在協議設計和系統實現等方面沒有過多考慮安全機制。雖然DNS系統的工作原理比較簡單，但是實際運行過程中，卻表現出很高的復雜性，造成這種復雜性的主要原因包括用戶行為、系統結構、緩沖機制等。DNS系統的這種復雜性為安全防護帶來了障礙。RFC 3833將DNS系統的安全威脅分為3個方面：1) 服務器與解析器之間的安全通信威脅；2) 利用已有服務構造拒絕服務攻擊（DoS/DDoS）；3) 利用軟件實現上存在的漏洞或者錯誤控制提升權限，控制DNS服務器[14]。文獻[15]認為DNS系統的安全威脅主要包括數據威脅、協議威脅、系統威脅和網絡威脅。文獻[16]將DNS系統面臨的安全威脅分為拒絕服務攻擊、數據虛假、信息泄露。

DNS系統之所以面臨上述安全威脅，其根本是因為協議脆弱性和系統脆弱性。

2.1.1 協議脆弱性

DNS系統的脆弱性來自DNS協議自身。傳統的DNS系統基于UDP交換DNS消息，在消息交換的過程中，所有請求消息和應答消息都采用明文傳遞，資源記錄不提供數字簽名等防偽造保護。這類協議很容易受到中間人攻擊，通過竊聽、篡改和偽造DNS消息的方式對DNS系統進行攻擊。

文獻[17]評估DNS系統在抵御DNS記錄注入攻擊時的脆弱性，發現利用緩沖區投毒實現DNS偽造記錄注入的現象是非常普遍的。當前互聯網有大量免費DNS解析器存在，為惡意攻擊者提供了更多的攻擊目標，實驗結果表明，有7%～9%的解析器容易受到注入攻擊[18]。文獻[19]展示了“流氓”DNS服務器如何通過構造虛假的DNS解析路徑，導致用戶請求被發送到惡意的DNS名字服務器上。文獻[20]利用校園網數據和從alexa.com獲得的106個域名，對一些惡意DNS的行為進行了定量分析，實驗結果證明，使用域名服務作為隱形僵尸網絡命令和控制通道的可行性是非常大的。

DNS協議在安全防護方面的不足，還導致了用戶隱私泄露問題。隨著互聯網商業價值的不斷提升，用戶隱私問題成為DNS系統面臨的一個重要問題[21,22]。由于 DNS的查詢攜帶了足夠的信息，用戶應用在通過DNS解析域名的過程中，可能會泄露用戶興趣愛好、身份信息和設備類型等隱私信息，一些公司通過收集用戶的DNS信息流來分析用戶行為，并為此設計商業行為。文獻[23]對這類安全威脅進行了分析。文獻[24]通過校園網收集DNS的公告數據集，發現存在大量的隱私泄露風險，如用戶真實姓名、設備名稱等。文獻[25]討論了DNS預解析和隱私泄露的矛盾。很多瀏覽器為了優化瀏覽性能，往往會對網頁中包含的域名進行預解析，這種做法可能會導致隱私威脅或被攻擊者濫用。文獻[26]在真實環境下，對基于流量的行為跟蹤技術進行了可行性分析，提出一種基于樸素貝葉斯模型的行為分類器，結合DNS日志對用戶行為進行分析，實驗結果表明，通過 DNS的請求來分析用戶行為的準確度可以達到88%，這說明惡意攻擊者是完全有可能通過分析用戶的DNS請求序列來分析用戶的隱私，同時也說明現有的 DNS協議在保護用戶隱私方面存在缺陷。

2.1.2 系統脆弱性

DNS系統的脆弱性來自DNS系統的組成與實現方式。DNS系統經過多年的發展，已經成為一個復雜的生態系統，包含了大量開放的 DNS服務提供商[27]，這些解析器有些是可信任的，有些則是半可信任甚至不可信任的。一次看似簡單的域名解析過程，很可能會涉及多臺位于多個不同層級、不同地域的域名服務器和解析器[28]，形成一條復雜的解析路徑，而構成解析路徑的各個節點之間并沒有建立起有效的信任傳遞關系。

文獻[29]對互聯網的 DNS解析器進行了探測，探測成果表明在當前互聯網環境下，至少存在15×106～32×106個開放式DNS解析器，這些解析器可以分為3類：1) 專門負責接收用戶的解析請求；2) 負責與域名服務器交互，返回解析結果；3) 前2類解析的中間人，負責轉發各種解析請求。其中，后2類解析器對終端用戶并不可見，并且這些開放式解析器的管理和實現都存在不規范的現象，以TTL設置為例，只有19%的解析器能夠返回正確的TTL，其他一些研究成果也發現了類似現象[30,31]。

文獻[32]研究對DNS系統的域名服務器進行了拓撲分析，發現在名字服務器之前，存在大量用戶無法直接訪問到的解析器，這些解析器起到Cache的作用，能夠將歷史的解析結果緩存起來，以便提高解析結果。由于這些解析器大多由第三方機構管理，在部署和配置管理方面，沒有遵守最佳實踐原則，如RFC5452、RFC4697，因此存在許多安全隱患。

2.2 安全增強

對 DNS系統自身進行安全增強的研究成果主要包括：對DNS協議的安全擴充和對DNS系統的實現進行增強2個方面。

2.2.1 DNS協議增強

傳統 DNS協議安全的不足在于對信息缺乏真實性和保密性的保護，為了防止緩沖區投毒攻擊，DNSSEC和NSEC3被引入 DNS體系，DNSEC[33]是迄今最為著名的 DNS安全增強方案，以公鑰密碼機制作基礎，為DNS的資源記錄計算數字簽名，通過驗證數字簽名來確保解析結果的真實性。DNSEC在DNS的基礎上，擴展了一些重要的安全記錄，包括以下內容。1) DNSKEY記錄，用于記錄域名服務器的公開密鑰。2) RRSIG記錄，用于存儲對資源記錄集合（RRSet）計算的數字簽名。3) DS記錄，存儲DNSKEY的散列值，用于驗證DNSKEY的真實性，DS記錄存儲在上級域名服務器，因此，在驗證某域名服務器數字證書的真實性時，需要從上一級域名服務器獲取其DS記錄，這樣就形成了逐級認證的信任鏈。4) NSEC記錄，用于表示請求的域名不存在。DNSSEC在解析域名時，包括2個過程。一個是域名解析過程，與DNS解析過程一致，但域名解析的應答結果中，除了包含資源記錄（RR），還同時包含域名服務器對資源記錄的數字簽名（RRSIG）；另外一個過程是數字簽名驗證過程，該過程先通過逐級獲取DS記錄，驗證域名服務器的公鑰，然后進一步利用公鑰驗證數字簽名的正確性。與傳統的 DNS工作過程相比，由于DNSSEC增加了數字簽名的驗證過程，從而可以辨別DNS數據是否真實和完整。

DNSSEC的主要功能包括：1) 提供數據來源驗證；2) 提供數據完整性驗證；3) 提供否定存在驗證。文獻[34]對DNSEC和NSEC3安全能力進行了評估，重點測試DNSSEC對緩沖區投毒的抵抗，并給出了一些建議，以便最大限度發揮DNSSEC的能力。BIND在目前互聯網環境下被廣泛使用的開放源碼的DNS服務器軟件，在處理能力和安全性能方面都不夠理想。Nominum公司研制了一套新型的高性能安全 DNS系統[35]，能夠在毫秒級延遲的情況下，每秒處理100 000條查詢請求，并且完全兼容DNSSEC。

DNSSEC在最初被提出時，由于技術、成本、網絡性能等多方面因素的影響，一直未得到各方面的充分重視，部署進展緩慢。隨著DNS緩存投毒攻擊數量及其破壞程度逐年上升，DNSSEC開始受到廣泛重視，進入大規模部署階段，截至2016年12月6日，互聯網根區記錄中共有1 525個頂級域，其中1 376個完成部署[36]。

雖然 DNSSEC在理論上能夠很好地解決虛假域名信息的問題，但由于其部屬問題，導致在應用過程中并沒有取得理想的結果，此外，DNSSEC沒有辦法解決DNS隱私泄露問題。文獻[37]對DNSSEC在部署方式上的缺陷進行了評估，認為DNSSEC不適合采取漸進式部署，難以解決不同域之間的互操作和信息引用問題。例如，沒有部署 DNSSEC的域將無法解析攜帶數字簽名的資源記錄，而部署了DNSSEC的域依然無法判定未攜帶數字簽名的資源記錄的真實性。另外，要求DNSSEC在全球范圍內，一次性完成部署也是一個幾乎不可能實現的目標，尤其是在二級域（TLD）。由于使用了公鑰密碼體系，在計算和驗證數字簽名時，會引起額外的計算開銷和傳輸開銷，文獻[38]進一步測試了DNSSEC在計算數字簽名時對DNS系統功能產生的影響，發現當大量解析域名時，頻繁地驗證計算會增加域名服務器的響應延時，同時攜帶大量數字簽名的DNS應答消息也會占用大量的網絡帶寬資源。因此，DNSSEC更容易受到放大攻擊的威脅[39]。

由于DNSSEC無法解決傳輸層面臨的威脅，文獻[40]基于TCP和TLS設計實現了一套DNS系統T-DNS。傳統DNS系統基于UDP傳輸消息，由于 UDP無法限制解析器與服務器之間的會話關系，在抵御放大攻擊、拒絕服務攻擊、搭線竊聽等方面無能為力。T-DNS的主要原理是使用TCP和TLS協議替代UDP傳輸DNS消息，解析器與服務器首先需要建立TCP連接，然后在TCP會話的基礎上使用TLS協議對DNS消息的內容進行加密保護，防止內容泄露和惡意篡改。這種DNS的實現方式利用了TCP連接的數量限制機制，能夠防止惡意服務器主動推送虛假應答信息，同時由于TLS的安全傳輸機制，解決了內容泄露和惡意篡改問題。T-DNS嘗試借助傳輸層的安全增強機制來實現DNS安全，不需要修改DNS協議，類似地，文獻[41]以RFC草案的方式討論了基于TLS實現DNS的相關問題；文獻[42]提出DNS over DTLS的實現方案，利用 DTLS協議[43]傳輸DNS的請求和應答消息，實現信息的保密性。

雖然將加密技術引入 DNS系統是比較直觀的研究思路，但考慮到系統部署、處理性能等方面，依然存在許多問題。文獻[44]討論了在DNS系統實施加密技術時，可能存在的誤區，重點對隱私保護、跨域互操作效率和計算/通信開銷進行分析。實驗結果表明：1) 現有的許多基于加密技術的DNS增強系統沒有辦法提供隱私保護功能；2) 由于是漸進式部署，部分解決方案可能會造成不同域之間在互操作上存在問題；3) 端到端的加密方案會增加名字服務器的流量開銷。

2.2.2 FPG 繪制ROC曲線，FPG對2型糖尿病進行診斷的最佳切點為6.44 mmol/L，特異度為86.3%，靈敏度為89.0%；在43例FPG＜6.44 mmol/L患者中，IGT7例，NGT18例，IFG5例，IFG+IGT5例，DM7例；而在 FPG≥4.44 mmol/L61例患者中，IFG、IGT與NGT均為0例，IFG+IGT6例，DM56例。

除了基于密碼學理論來解決 DNS信息安全問題，也出現了一些輕量級的解決方案，這類方案的特色是不引入密碼學方法，同時也不需要修改DNS協議的實現，易于實現和部署，但無法提供嚴格的安全保護。例如，文獻[45]描述了一種新的、實用和簡單的技術，使DNS查詢更能抵抗投毒攻擊，其工作原理如下：在查詢中混合組成域名字母的大小寫，該方法要求中毒DNS緩存的攻擊者必須猜測查詢的混合大小寫編碼，以及DNS中毒攻擊所需的所有其他字段。這增加了攻擊的難度，被許多DNS供應商實施。

2.2.2 系統實現增強

通過修改DNS協議來提升系統的安全能力容易受到部署和兼容等問題的困擾，有學者提出，在實際構建DNS系統時進行安全增強，這類研究成果的研究思路是通過改善DNS生態系統的組成結構和實現方式來提升DNS系統的安全防護能力。

文獻[46]通過引入認證服務來阻止放大攻擊，該方法在域名解析過程中引入認證服務器，所有的域名解析器首先向認證服務器請求挑戰字，認證服務器收到請求后，根據域名解析器將要訪問的域名服務器為其分配挑戰字，并在本地保存相應的挑戰字。通過分配挑戰字，實現了域名解析器與域名之間對應關系的綁定。在后續的域名解析過程中，認證服務器進一步檢查解析請求與挑戰字之間的對應關系，并丟棄沒有綁定關系的解析請求。通過這種方式，杜絕惡意服務器通過仿冒源IP地址進行放大攻擊。

文獻[47]認為大量存在的開放式DNS解析器由于管理不夠規范，容易成為攻擊者的目標，對整個 DNS系統造成危害，因此，提出一種解決DNS解析器漏洞的方法，即完全刪除開放式DNS解析器，對用戶保留遞歸查詢服務，這樣的做法雖然可能導致DNS系統整體性能下降，但實驗結果表明，為了提升DNS系統的安全性，這種犧牲是可以接受的。

文獻[48]提出一種頂級匿名 DNS系統結構OnionDNS，用于阻止對頂級域名服務器的惡意攻擊。與傳統的DNS系統架構相比，OnionDNS引入了鏡像服務器，鏡像服務器位于域名解析器與域名服務器之間，所有的域名解析請求首先被發送到鏡像服務器，只有鏡像服務器才能獲得頂級域名服務器的真實IP地址，而域名解析器無法直接訪問頂級域名服務器。通過這種匿名的方式，實現對頂級域名服務器的保護。

2.3 診斷監控

對 DNA系統進行診斷監控不需要改變現有DNS協同的實現，具有良好的漸進部署能力，是安全增加解決方案的良好輔助手段。注冊惡意域名是許多攻擊行為在實施前的第一步，因此，盡早發現惡意域名或者惡意網絡域是檢測惡意行為的關鍵技術。

文獻[49]設計提出了一套惡意域名檢測系統Kopis，對高層DNS服務器之間的流量進行統計分析，通過觀察統計指標的變化來識別惡意域名，其主要原理如下：對于每個DNS的域名解析請求Qj以及相應的域名d和應答Rj，定義一個四元組Qj(d)= ＜Tj, Rj, d, IPsj＞，Tj用于指定時間單元，Kopis以一天為一個時間單元，Rj是發出Qj的主機 IP，d是要求被解析的域名，IPsj是應答信息中包含的IP地址集合。對于任何一個指定域名d，在指定的一段時間內，可以統計出一組數據Qj(d)，j = 1,…,m。根據這組統計數據，Kopis計算3組統計參數：請求者多樣性參數（RD），表示解析域名 d的主機的分布情況；請求者權重（RP），表示與請求者相對應的解析服務器的規模；目標IP信譽（IPR），表示被解析出來的IP的信譽值。以請求者多樣性參數為例，主要是根據給定的域名d和Qj(d)，先將請求者的IP映射到其所屬的BGP前綴、自治域編號（AS number）和國家編號（CC），然后計算其頻率分布情況，進一步計算均值、標準偏差和方差等。如圖1所示，解析惡意域名與解析良性域名請求者所在自治域的變化情況具有明顯的差異。

圖1 AS多樣性頻率分布

文獻[50]對全球600多個分布式遞歸解析器、超過260億個DNS查詢/響應消息進行了分析，發現在發給根服務器的查詢請求中，有50%的請求包含了對畸形TLD域名的解析，基于該事實，提出了一套以已知惡意域名為起點，根據 DNS查詢之間的相關性來搜索其他未知惡意域名的方法。文獻[51]通過分析域名解析記錄的變化以及域名相關的 DNS查詢模式，提出了一些典型的DNS解析行為特征，并以此為依據實現惡意域名的早期檢測。“Domain Fluxing”是一種通過不停改變和分配多個域名到一個或多個 IP地址的惡意行為，被許多僵尸網絡（如Conficker、Kraken、Torpig）用于進行資源獲取、控制服務器定位等，同時提高自身生存能力。文獻[52]針對“DomainFluxing”用于自動產生域名的算法進行分析，提出一種方法用于自動檢測由算法產生的惡意域名。文獻[53]設計一套大規模DNS流量被動監測系統FluxBuster，用于對惡意網絡進行早期發現。通過監控分布在不同地理位置的數百個不同網絡中的遞歸DNS（RDNS）服務器生成的DNS對流量跟蹤。

惡意解析行為檢測是 DNS診斷監控研究的另外一項重要研究內容。文獻[54]嘗試通過測量一些量化指標來分析用戶的行為模型，首先對用戶群體進行分類，然后通過收集DNS resolvers的日志，進行DNS的解析請求分析。針對不同群體的用戶分析其訪問域名的分布特征、訪問域名的數量和響應時間的變化情況、不同用戶查詢請求的交集來分析不同類型用戶的 DNS查詢行為之間的關聯性。當用戶終端產生的DNS解析請求沒有被直接發送到經過授權的DNS服務器，而是被中間人劫持了，用戶終端可能會受到虛假的解析應答，文獻[55]提出一種檢測技術，通過測量應答消息的返回時延來判斷當前應答是否來自授權服務器。文獻[56]利用DNS解析失敗來鑒別惡意軟件行為，如利用DNS通道控制僵尸網絡。文章通過分析典型惡意行為，利用DNS的工作機理，發掘了一些奇怪的DNS解析失敗特征，這些特征可以用于判定是否是惡意軟件行為。文獻[57]提出了一套監測系統，名為 EXPOSURE，對DNS進行大規模的流量監測，總結出15個重要的流量特征，并以此為依據對域名的使用方式進行分類，判定其是否被惡意使用。為了抑制惡意行為，文獻[58]提出一種用于DNS的動態信譽系統Notos，Notos針對正常使用域名和惡意使用域名的行為建立計算模型，并使用該計算模型結合DNS數據流進行信譽計算，通過信譽評價來約束惡意使用域名的惡行為。與基于密碼學的方法相比，建立信譽系統不會在域名解析過程中引起復雜的計算開銷，是一種輕量級的解決方案，但是，信譽系統具有滯后效應，難以提早發現惡意行為。

2.4 隱私保護

隨著越來越多的用戶切換到第三方 DNS解析器（如Google公共DNS和OpenDNS），用戶經常訪問的站點、感興趣的信息也可能在域名的解析過程中被泄露。DNS阻止（DNS blocking）是一種阻止用戶定位域名或站點的技術，最早于1997年被提出，用于阻止來自未知IP地址的垃圾郵件。隨著 DNS隱私保護需求的出現，DNS blocking技術開始用于這一方面。

文獻[59]對DNS解析的全過程進行了分析，對每個步驟可能存在的隱私泄露問題進行了歸納，并針對這些問題提出了一種簡單靈活的防隱私泄露查詢方案Range Query，該方案采取隨機算法將具體的查詢內容隱藏在一定的范圍中，能夠最大程度地降低隱私泄露的可能。文獻[60]利用隨機噪聲和隱私保護查詢（PIR）技術來解決DNS的隱私保護問題，文獻[61]進一步對這 2種解決方案進行了評估，評估結果表明，第一種方法的優點是簡單易于實現，缺點是增加了延遲和帶寬。而第二種方法需要對 DNS協議的標準實現進行修改，不具備兼容性。文獻[62]提出EncDNS，一種新穎的輕量級隱私保護名稱解析服務作為替代傳統的第三方解析器。EncDNS協議基于DNSCurve，將加密的消息封裝在符合標準的DNS消息中。通過利用常規 DNS解析器向EncDNS服務器提供發送者匿名的事實來保護用戶隱私。與諸如混合或洋蔥路由的傳統隱私保護技術不同，傳統隱私保護技術由于多跳路由消息而引入相當大的延遲，所以EncDNS架構僅引入一個附加服務器實現對現實對手足夠級別的保護。文獻[63]提出了一個隱私保護DNS（PPDNS，privacy-preserving DNS），在域名解析過程中提供隱私保護。PPDNS采用分布式散列表來取代傳統的層次結構，使用可計算隱私查詢方法（cPIR，computation PIR）。隱私查詢方法是指通過諸如同態變化的加密方式實現查詢信息對信息提供方保密的一種方法。

目前，解決DNS隱私保護的研究成果大多需要對現有DNS協議進行改造和擴充，不具備漸進部署的能力。

3 技術挑戰

針對DNS系統存在的安全問題，雖然已經涌現了大量的研究成果，但不斷發生的安全事件和新出現的攻擊行為表明DNS安全依然是一個亟待研究和解決的領域，基于對第2節的總結和分析，筆者認為DNS安全的研究目前在行為分析、漸進部署和開放系統等方面依然存在較多的技術挑戰。

3.1 行為分析

DNS系統在安全防護過程中，如何識別惡意行為依然是一個難點問題。現有關于DNS行為分析成果的研究大多通過流量監測的方式，結合歷史經驗來判別已知的攻擊行為，對于惡意行為對DNS系統可能造成的危害缺乏量化分析的技術手段。導致這一技術難題的原因包括3個方面。

1) DNS系統是互聯網的基礎設施，為多種應用提供支撐服務，用戶在解析域名過程中產生的DNS數據流具有多樣性、動態性和二義性等特點，因此，難以形成一組固定的具有普適性的評價標準。

2) 用戶發出的域名解析請求在到達域名服務器之前，往往會經過很多中間的解析器，這些解析器往往對用戶不可見，因此解析路徑難以跟蹤。

3) DNS協議缺乏對檢測應用行為的必要支持，如DNS協議不會記錄查詢請求在經過每個解析器和域名服務器時進行的處理動作。

3.2 漸進部署

如何設計支持漸進部署的解決方案，與現有DNS系統兼容運行是DNS安全研究的一個關鍵問題。DNS系統在最初被設計時，沒有過多考慮安全性問題，經過多年的發展已經形成了一套規模龐大、結構復雜的生態系統。在這種情況下，任何不符合 DNS協議規范的解決方案在實際部署時，都將面臨如何與老系統共生共存的問題。例如，DNSSEC基于公鑰密碼技術實現了資源記錄的完整性和真實性保護，能夠有效防止緩沖區投毒攻擊，是目前最完善的DNS安全解決方案。然而，由于掌握了DNS根區管理權和絕大多數根域名服務器都在美國，如果DNSSEC在全球范圍部署，這將導致互聯網關鍵資源控制權的嚴重不平等。另外，目前很多針對DNS安全增強的解決方案都需要修改DNS協議的實現，且無法和傳統的DNS系統兼容運行，這也為研究成果的推廣造成了障礙。事實上，截至 2016年 12月，雖然DNSSEC在頂級域的部署率達到了89%，但是在二級域的部署率僅為3%[64]。

3.3 開放系統

如何有效管理和控制開放的DNS系統，使它們正常、安全地運行，避免成為攻擊者的工具是DNS系統安全管理面臨的技術挑戰。在目前的互聯網環境中，存在大量的開放式 DNS服務提供商，這些DNS服務提供商的存在，提高了互聯網域名解析的響應速度，但與此同時，由于這些DNS系統的服務器缺乏統一的安全管理規范和準入控制機制，很容易被惡意攻擊者控制，發起放大攻擊、緩沖區投毒攻擊、拒絕服務攻擊等惡意行為。因此，如果規劃建成整個互聯網 DNS系統的組成，在提高性能的同時，保證整體系統的安全性依然是迫切需要研究的問題。

4 結束語

DNS的安全運行對互聯網的長期健康運行具有舉足輕重的作用。本文從脆弱分析、安全增強、診斷監控和隱私保護等方面對DNS安全的相關研究成果進行了分析和總結，并且列舉了DNS安全研究中的一些具有挑戰性的問題，為進一步的深入研究提供參考。

[1] BARNES R, SCHNEIER B, JENNINGS C, et al. Confidentiality in the face of pervasive surveillance: a threat model and problem statement[S]. IETF RFC 7624, 2015.

[2] 王垚, 胡銘曾, 李斌, 等. 域名系統安全研究綜述[J]. 通信學報, 2007, 28(9): 91-103. WANG Y, HU M, LI B, et al. Survey on domain name system security[J]. Journal on Communications, 2007, 28(9): 91-103.

[3] 單既如, 羅萬明. 互聯網域名系統安全管理的現狀及研究進展[J]. 數據通信, 2009, 2009(2): 17-19. SHAN J, LUO W. The present situation and research progress of internet domain name system security management[J]. Data Communications, 2009, 2009(2): 17-19.

[4] 柳青, 我國互聯網域名系統的安全問題[J], 現代電信科技, 2010, 2010(4):9-11. LIU Q. The security issues of Chinese DNS[J]. Modern Science & Technology of Telecommunications, 2010, 2010(4):9-11.

[5] MOCKAPETRIS P. Domain names concepts and facilities[S]. IETF RFC 1034, 1987,11.

[6] DNS RFC [EB/OL]. https://www.isc.org/community/rfcs/dns/.

[7] DNS Ecosystem[EB/OL]. https://www.nsrc.org/workshops/ 2016/ nsrc-nicsn-aftld-iroc/documents/prezo/DNS_Org.pdf.

[8] LEVINE J. DNS blacklists and whitelists[S]. IETF RFC 5782, 2010.

[9] LEIGHTON T. Improving performance on the Internet[J]. Commu-nications of the ACM, 2009, 52(2):44-51.

[10] 2016 Dyn cyberattack[EB/OL]. https://en.wikipedia.org/wiki/2016_ Dyn_cyberattack.

[11] Turkey DNS[EB/OL]. https://blog.radware.com/security/2015/12/ turkey-dns-servers-under-attack/.

[12] China DNS[EB/OL]. http://www.scmp.com/news/china/article/1410423/ major-internet-outage-hits-millions-china-cyberattacks-suspected.

[13] Chinese CN[EB/OL]. http://www.computerworld.com/article/2484097/ internet/major-ddos-attacks--cn-domain--disrupts-internet-in-china.html.

[14] ATKINS D. Threats analysis of the domain name system (dns)[S]. IETF RFC 3833, 2004.

[15] DNS threat analysis[EB/OL]. https://www.nlnetlabs.nl/downloads/ se-consult.pdf.

[16] Towards improving DNS security, stability, and resiliency[EB/OL]. https://www.internetsociety.org/sites/default/files/bp-dnsresiliency-201201-en_0.pdf .

[17] SCHOMP K, CALLAHAN T, RABINOVICH M, et al. Assessing DNS vulnerability to record injection[C]//The International Conference on Passive and Active Measurement. 2014:214-223.

[18] Black Ops 2008: It’s the end of the cache as we know it[EB/OL]. https://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Kamins ky/BlackHat-Japan-08-Kaminsky-DNS08-BlackOps.pdf.

[19] DAGON D, PROVOS N, LEE C, et al. Corrupted DNS resolution paths: the rise of a malicious resolution authority[C]//The Network and Distributed System Security Symposium(NDSS 2008). 2008.

[20] XU K, BUTLER P, SAHA S, et al. DNS for massive-scale command and control[J]. IEEE TDSC, 2013, 10(3):143-153.

[21] MOHAISEN A. Evaluation of privacy for DNS private exchange[S]. IETF Internet Draft, 2015-05.

[22] BORTZMEYER S. DNS privacy considerations[S]. IETF RFC7626, 2015.

[23] ROSSEBO J, CADZOW S, SIJBEN P, et al. A threat, vulnerability and risk assessment method and tool for europe[C]//The International Conference on Availability, Reliability and Security. 2007:925-933.

[24] KONINGS B, BACHMAIER C, SCHAUB F, et al. Device names in the wild: Investigating privacy risks of zero configuration networking[C]//The International Conference on Mobile Data Management. 2013:51-56.

[25] KRISHNAN S, MONROSE F. DNS prefetching and its privacy implications: when good things go bad[C]//The 3rd USENIX Conference on Large-scale Exploits and Emergent Threats: Botnets, Spyware, Worms, and More. 2010:10.

[26] BANSE C, Herrmann D, FEDERRATH H. Tracking users on the Internet with behavioral patterns: evaluation of its practical feasibility[M]//Information Security and Privacy Research. Berlin Heidelberg: Springer, 2012:235-248.

[27] OpenDNS[EB/OL]. http://www.opendns.com/technology.

[28] Google Public DNS[EB/OL]. https://developers.google.com/speed/ public-dns/docs/performance.

[29] SCHOMP K, CALLAHAN T, RABINOVICH M, et al. On measuring the client-side DNS infrastructure[C]//The Conference on Internet Measurement Conference. 2013:77-90.

[30] PANG J, AKELLA A, SHAIKH A, et al. On the Responsiveness of DNS-based Network Control[C]//The 4th ACM Sigcomm Conference on Internet Measurement 2004. 2004:21-26.

[31] CALLAHAN T, ALLMAN M, RABINOVICH M. On modern DNS behavior and properties[J]. ACM Sigcomm Computer Communication Review, 2013, 43(3):7-15.

[32] SHULMAN H, WAIDNER M. Towards security of Internet naming infrastructure[C]//Computer Security-ESORICS 2015. 2015.

[33] ATENIESE G, MANGARD S. A new approach to DNS security (DNSSEC)[C]//The 8th ACM conference on Computer and Communications Security. 2001:86-95.

[34] BAU J, MITCHELL J. A security evaluation of DNSSEC with NSEC3[C]//Network and Distributed System Security Symposium(NDSS 2010). 2010.

[35] VantioTM AuthServe. Authoritative DNS [EB/OL]. http://www. nominum.com/product/vantio-authserve/.

[36] ICANN Research[EB/OL]. http://stats.research.icann.org/dns/tld_ report/.

[37] HERZBERG A, SHULMAN H. DNSSEC: security and availability challenges[C]//Communications and Network Security. 2013: 365-366.

[38] LIAN W, RESCORLA E, SHACHAM H, et al. Measuring the practical impact of DNSSEC deployment[C]//USENIX Security 2013. 2013: 573-588.

[39] US-CERT[EB/OL].https://www.us-cert.gov/ncas/alerts/TA13-088A.

[40] ZHU L, HU Z, HEIDEMANN J, et al. Connection-oriented DNS to improve privacy and security[C]//ACM Conference on Sigcomm. 2015:379-380.

[41] HU Z, ZHU L. HEIDEMANN J, et al. DNS over TLS: initiation and performance considerations[S]. IETF Internet Draft, 2015.

[42] REDDY T, WING , PATIL P. DNS over DTLS (DNSoD)[S]. IETF Internet Draft, 2015.

[43] RESCORLA E. Datagram transport layer security version 1.2[S]. IETF RFC6347, 2012.

[44] SHULMAN H. Pretty bad privacy: pitfalls of DNS encryption[C]//The Workshop on Privacy in the Electronic Society. 2014:191-200.

[45] DAGON D, ANTONAKAKIS M, VIXIE P, et al. Increased DNS forgery resistance through 0x20-bit encoding[C]//ACM CCS’08. 2008:211-222.

[46] HERZBERG A, SHULMAN H. DNS authentication as a service: preventing amplification attacks[C]//ACM ACSAC’14. 2014: 356-365.

[47] SCHOMP K, ALLMAN M, RABINOVICH M. DNS resolvers considered harmful[C]//ACM Workshop on HotNets. 2014:1-7.

[48] SCAIFE N, CARTER H, TRAYNOR P. OnionDNS: a seizure-resistant top-level domain[C]//Communications and Network Security. 2015:379-387.

[49] ANTONAKAKIS M, PERDISCI R, LEE W, et al. Detecting malware domains at the upper DNS hierarchy[C]//The 20th USENIX Conference on Security. 2011:21-27.

[50] GAO H, YEGNESWARAN V, CHEN Y, et al. An empirical reexamination of global DNS behavior[J]. ACM Sigcomm Computer Communication Review, 2013, 43(4):267-278.

[51] HAO S, FEAMSTER N, PANDRANGI R. Monitoring the initial DNS behavior of malicious domains[C]//ACM Sigcomm Conference on Internet Measurement. 2011:269-278.

[52] YADAV S, REDDY A, RANJAN S, et al. Detecting algorithmically generated malicious domain names[C]//ACM Sigcomm Conference on Internet Measurement 2010. 2010:48-61.

[53] PERDISCI R, CORONA I, GIACINTO G. Early detection of malicious flux networks via large-scale passive DNS traffic analysis[J]. IEEE Transactions on Dependable and Secure Computing, 2012, 9(5): 714-726.

[54] SCHOMP K, RABINOVICH M, ALLMAN M. Towards a model of DNS client behavior[C]//PAM 2016. 2016:263-275.

[55] JONES B, FEAMSTER N, PAXSON V, et al. Detecting DNS root manipulation[M]//Passive and Active Measurement. Berlin: Springer. 2016.

[56] LUO P, TORRES R, ZHANG Z, et al. Leveraging client-side DNS failure patterns to identify malicious behaviors[C]// Communications and Network Security. 2015:406-414.

[57] BILGE L, KIRDA E, KRUEGEL C, et al. EXPOSURE: Finding malicious domains using passive DNS analysis[C]//The Network and Distributed System Security Symposium(NDSS 2011). 2011.

[58] ANTONAKAKIS M, PERDISCI R, DAGON D, et al. Building a dynamic reputation system for DNS[C]//Usenix Security. 2010: 18-36.

[59] ZHAO F, HORI Y, SAKURAI K. Analysis of privacy disclosure in DNS query[C]//The International Conference on Multimedia and Ubiquitous Engineering. 2007:952-957.

[60] ZHAO F, HORI Y, SAKURAI K. Two-servers PIR based DNS query scheme with privacy-preserving[C]//IEEE International Conference on Intelligent Pervasive Computing. 2007: 299-302.

[61] CASTILLO-PEREZ S, GARCIA-ALFRO J. Evaluation of two privacy preserving protocols for the DNS[C]//The International Conference on Information Technology: New Generations. 2009: 411-416.

[62] HERRMANN D, FUCHS K, LINDEMANN J, et al. EncDNS: a lightweight privacy-preserving name resolution service[C]// Computer Security-ESORICS 2014. 2014:37-55.

[63] LU Y, TSUDIK G. Towards plugging privacy leaks in the domain name system[C]//IEEE 10th International Conference on Peer-to-Peer Computing. 2010:1-10.

[64] DNSSEC deployment report[EB/OL]. http://rick.eng.br/dnssecstat/.

Issues and challenges of Internet DNS security

HU Ning1, DENG Wen-ping1, YAO Su2
(1. School of Computer, National University of Defense Technology, Changsha 410073, China; 2. School of Electronics and Information Engineering, Beijing Jiaotong University, Beijing 100044, China)

The domain name system is a critical component of the Internet infrastructure, which maps host names to IP ad-dresses and is involved in most Internet transactions. DNS security has a profound effect on the overall security of Internet and it is also a vital research content of Internet security. In order to improve the security capability of DNS, many enhanced protocols, monitoring mechanisms and best practices were proposed. But recent DNS attack events indicate there are still many recent major research challenges of DNS security problems. The existing achievements and challenges were summarized and discussed, which included security enhanced, behavior monitoring and privacy protection.

DNS security, DNS monitor, DNS privacy reserve, Internet security

TP393

A

10.11959/j.issn.2096-109x.2017.00154

胡寧（1972-），男，湖南長沙人，博士，國防科技大學研究員，主要研究方向為網絡與系統安全、計算機網絡體系結構、網絡管理技術。

鄧文平（1981-），男，湖南耒陽人，博士，國防科技大學助理研究員，主要研究方向為網絡與系統安全、計算機網絡體系結構、高性能路由與交換技術。

姚蘇（1986-），男，安徽舒城人，北京交通大學博士生，主要研究方向為網絡與系統安全、網絡安全標準應用技術。

2016-12-15；

2017-01-28。通信作者：胡寧，huning@nudt.edu.cn

國家自然科學基金資助項目（No.61202486）

Foundation Item: The National Natural Science Foundation of China (No.61202486)