对我国域名系统安全性的思考

本篇文章3536字，读完约9分钟

对我国域名系统安全性的思考 互联网信息网络是实施国家信息化建设和实现国家信息化战略的基础设施。域名系统是互联网上大多数服务和应用正常运行和实施的基石，是互联网上最关键的基础网络服务之一，关系到互联网乃至国家的稳定和安全，是国家信息化建设的重中之重。 互联网信息网络是实施国家信息化建设和实现国家信息化战略的基础设施。域名系统是互联网上大多数服务和应用正常运行和实施的基石，是互联网上最关键的基础网络服务之一，关系到互联网乃至国家的稳定和安全，是国家信息化建设的重中之重。

对域名系统的攻击和利用会造成极大的危害。伊拉克顶级域名失败事件和利比亚国家顶级域名失败事件都表明，对域名系统的控制已经成为网络之间的一种有效的战争手段，它可以在非常时期瘫痪一个国家的网络，导致信息孤岛、信息优势丧失和战争主动权丧失。域名系统已经成为网络大战中的一个重要目标。

由于根域名服务器无法控制和域名系统本身的脆弱性，我国域名系统存在巨大的安全风险。最近几年，发生的事件越来越频繁，对我的互联网使用和国家的社会、政治和经济产生了巨大的影响。因此，域名系统相关问题已经成为制约中国互联网发展的重要因素。

-互联网域名系统简介-

域名系统最重要的功能是完成对域名的分析，即把互联网上的一台计算机或一组计算机的名称翻译成其相应的IP地址，便于记忆。域名系统是一项非常重要的互联网基础服务。如果没有域名系统，互联网上的绝大多数应用程序，如网页浏览、电子邮件发送和接收，都不能正常使用，因为它们不知道通信对象的具体物理地址。

域名系统域名系统是从主机名解析方案发展而来的一种新的域名解析机制。域名系统是一个分布式分层系统，包括一个根域，用空标签()表示。根域的下一级是顶级域，例如，中国是cn，美国是美国，日本是jp。在顶级域名下，也可以根据需要定义次级域名，例如，com和net都是在中国顶级域名cn下建立的。图1是域名系统的典型层次。

域名根服务器由美国政府授权的互联网名称与号码分配机构管理。为了提高域名解析的效率，ICANN在全球部署了591个根服务器和镜像，每个根服务器和镜像都被分配到13个标签中的一个。其中，全球唯一的主根服务器设在美国，编号为A，Verisign公司负责美国的运营和维护管理。在北京部署了五个根服务器映像，两个编号为L，一个编号为F、I和J；在香港部署a、f、I、l和j根服务器映像。所有具有相同数量的根服务器采用相同的IP地址，并且可以通过任播技术在附近访问。编号为B到M的次根服务器和镜像定期从主根服务器同步更新全局域名信息，为全球互联网用户提供域名解析服务。

-域名系统安全问题-

从域名解析过程可以看出，当本地域名服务器缓存不能直接提供域名对应的IP地址时，解析过程必须经过域名根服务器或其镜像服务器。但是，所有辅助根服务器及其镜像都需要定期从主根服务器更新全局域名信息。从技术上讲，只需删除主根域名服务器的相关记录，就可以使其国家顶级域名失效，从而使一个国家从互联网上消失。

目前，全球互联网域名系统中唯一的主根服务器位于美国，美国政府授权互联网名称与数字地址分配机构(ICANN)对其进行控制。12个辅助根服务器中有9个位于美国，另外3个位于英国、瑞典和日本。由于其他根服务器和镜像的域名信息被复制到主根服务器，美国控制着世界上几乎所有国家和地区的域名解析，并有能力和条件将一个国家从互联网上抹去。

在与一个国家发生冲突的情况下，美国可以从技术上停止解析该国的域名，使其网站无法被外界访问。据报道，在伊拉克战争期间，美国终止了伊拉克的国家顶级域名。智商分析[2]；在塔利班政权统治阿富汗期间，美国转让了阿富汗的国家顶级域名。房颤的管理权被授予前流亡政府；2004年4月，利比亚的国家顶级域名是由顶级域名管理的分歧引起的。利比亚瘫痪了，从互联网上消失了3天。

目前，针对域名系统的攻击有很多种，主要包括以下三种类型:

一种是分布式拒绝服务攻击。域名系统协议由于其开放的系统、无认证、无连接和无状态，更容易受到分布式拒绝服务攻击。针对域名系统的分布式拒绝服务(DDOS)攻击主要基于正常的域名请求、反弹和严重的流量拥塞。

其次，DNS欺骗攻击通过技术手段将非法域名解析记录注入缓存域名服务器。当用户向被攻击的缓存域名服务器提交域名请求时，他们将返回攻击者预设的IP地址。

第三，域名劫持攻击[3]。在攻击者控制域名管理密码和域名管理邮箱后，他将域名的NS记录指向攻击者可以控制的域名解析服务器。然后，通过在DNS服务器上配置相应的域名记录，用户实际上指向了攻击者在访问域名时设置的主机。

——中国域名系统安全形势分析——

中国的域名管理呈现三层架构。自2002年以来，国务院发布了《中国互联网域名管理办法》和《中国互联网域名系统公告》等一系列指导性文件，以规范中国的域名注册和管理。目前，以工业和信息化部为首的三级域名管理和注册系统框架已经形成。

第一层是域名注册机构。中国互联网络信息中心(CNNIC)负责运行和维护中国互联网络域名根服务器，并有权监督和管理所有域名注册服务机构。

第二层是域名注册服务机构，目前有100多个经中国互联网络信息中心授权的机构，负责接受和审查用户和机构的域名申请。

第三层是域名注册机构，接受域名注册服务机构授权范围内的域名申请。就具体的域名解析服务而言，它们主要依赖于商业组织，如域名解析服务提供商和域名托管机构，它们负责提供与域名解析相关的特定设施和各种服务。

由于美国对互联网域名系统的实际控制，中国的域名系统一直处于非自愿和不可控的威胁之下。如果美国对伊拉克、利比亚和其他国家对我的域名系统进行类似的攻击，后果将非常严重。

通过阻止CN域，所有互联网用户将无法访问CN域。尽管获得国内根服务器的镜像控制权或构建替代根域名服务器等应急措施几乎无法维持国内用户对CN域的访问能力，但实施起来很困难，只能临时被动地处理，无法完全解决问题。网络域名一旦从互联网上消失，将会给中国的公共网络带来严重的后果，造成巨大的经济损失和社会影响。

根据2014年3月发布的《中国域名服务与安全现状报告》，从2010年5月到2014年2月，发生了20多起对域名的攻击，影响很大，影响到域名系统的各个层面。与网络欺诈和病毒攻击相比，域名系统故障的攻击方式更加隐蔽，更难防范，影响更大，损失更大。其中，2009年的暴风影音事件、2010年的百度域名劫持事件、2013年的CN域名攻击事件以及2014年1月21日在中国发生的大规模域名解析失败事件影响深远。

——关于提高我国域名系统安全性的建议

加强国家网络间安全的战略计划空

网络安全是一个必须高度重视的国家战略问题。

一是尽快制定网络国家安全战略。树立网络空自主、自控、自强的战略意识，加强网络空安全的战略规划和顶层设计，制定切实可行的国家网络空安全战略和计划。

二是建立和完善网络安全保护体系和机制。加强国内网络运维、开发和使用等各部门之间的沟通与合作，充分利用军队和地方的一切力量，提高互联网安全防护和应急响应能力。

第三，积极参与国际互联网治理。我们与立场相近的国家共同倡导多边、民主、透明的互联网治理机制，打破美国对域名等关键互联网系统的控制，鼓励和支持我们的企业和非政府组织加入互联网治理相关国际组织，并在制定互联网治理相关国际规则时争取发言权。

增强国家域名系统的安全保护能力

一是建立互联网安全应急替代机制。针对互联网被他人控制的现状，研究并建立了一套切实可行的应对机制，以增强互联网的安全性。特别是对于域名系统，为了防止CN域被根服务器删除，我们应该积极应对，建立根服务器替换机制，保证国内用户对CN域的正常访问。

二是开展应急演练，以国防和民用技术相结合的方式开展国家乃至国际级网络应急演练，摸清域名系统的影响力基础，验证应急技术和机制，提高全民意识和水平。

以网络技术发展为契机抓住机遇

首先，充分利用全球下一代网络的发展机遇，建立新的框架。在开发部署IPv6和物联网的同时，我要通过一系列创新方式积极参与新网络体系下域名解析系统的建设，抓住下一代互联网建设的第一个机遇，建立创新的网络协议体系和标准规范，构建有利于我国的域名体系框架。

二是充分利用新网络应用的发展，减少对现有域名系统的依赖，研究利用级联网络等新网络应用架构在现有框架内构建网络，使上层应用网络拥有自己的域名和寻址机制，从而降低风险。

数据中心节能软件定义的数据中心(SDDC)安全问题引起关注 随着业务从“云优先”设施转移到运营、性能和可扩展性，软件定义的数据中心(SDDC)的概念逐渐引起了IT决策者的注意。