以網際網路為基礎的資訊網絡是進行國家資訊化建設和實作國家資訊化戰略的基礎設施,域名系統是網際網路上大部分服務和應用正常運轉和實施的基石,是網際網路上最為關鍵的基礎網絡服務之一,事關網際網路乃至國家的穩定和安全,是國家資訊化建設的重中之重。
通過對域名系統的攻擊和利用可以造成巨大危害。伊拉克頂級域名失效事件、利比亞國家頂級域名失效事件等都表明,對域名系統的控制已成為一個有效的網絡空間作戰手段,可以在非常時期,癱瘓一個國家網絡,造成資訊孤島,失去資訊優勢,喪失戰争的主動權。域名系統已成為網絡空間作戰的重要目标。
我國域名系統由于根域名伺服器的不可控和域名系統本身的脆弱性,存在巨大的安全隐患。近年來,更是事件頻發,對我網際網路使用以及國家社會、政治、經濟都造成了巨大的影響。是以域名系統相關問題已成為制約我國網際網路發展的重要因素。
網際網路域名系統簡介
域名系統最主要的作用是完成對域名的解析,即把為便于記憶、用來辨別網際網路上某台計算機或一組計算機的名稱,翻譯轉換為與其對應的ip位址域名系統是非常重要的網際網路基礎服務。如果沒有域名系統,網際網路上絕大多數應用,如網頁浏覽、電子郵件收發,就會因不知道通信對象具體實體位址,而無法正常使用。
域名系統dns(domain name
system)是由主機名解析方案發展出來的一種新的名字的解析機制。dns域是一種分布式的層次結構系統,包括一個根域,以空标簽(“”)表示。根域的下一級是頂級域,如中國是cn,美國是us,日本是jp.在頂級域名下,還可以再根據需要定義次一級的域名,如在我國的頂級域名cn下又設立了com、net等。圖1為一個域名體系典型層次結構。
域名根伺服器由美國政府授權的網際網路名稱與數字配置設定機構(icann)負責管理。為了提高域名解析效率,icann在全球部署了591台根伺服器及鏡像,他們每個都被賦予a到m共13個标号中的一個。其中,全球唯一的主根伺服器設定在美國,标号為a,由美國verisign公司負責運維管理;在北京部署有5台根伺服器鏡像,編号為l的有兩台,編号為f、i、j的各一;在香港部署a、f、i、l、j共5台根伺服器鏡像。所有編号相同的根伺服器都采用同一個ip位址,通過任播(anycast)技術實作就近通路。标号為b至m的輔助根伺服器及鏡像定期從主根伺服器同步更新全球域名資訊,為全球網際網路使用者提供域名解析服務。
域名系統安全問題
從域名解析過程可以看出,當本地域名伺服器緩存不能直接提供域名對應的ip位址時,解析過程必須經過域名根伺服器或其鏡像伺服器。而所有輔根伺服器及其鏡像需定期從主根伺服器同步更新全球域名資訊。從技術上看,隻需删除主根域名伺服器的相關記錄,使其國家頂級域名失效,即可實作讓一個國家從網際網路上消失。
目前,全球網際網路域名系統中,唯一的主根伺服器設在美國,美國政府授權icann(the internet corporation for
assigned names and
numbers,網際網路名稱與數字位址配置設定機構)進行控制;12個輔根伺服器中9個設在美國,其他3個分别設在英國、瑞典和日本。由于其他根伺服器及鏡像的域名資訊均複制于主根伺服器,是以美國事實上控制了全球所有國家和地區的域名解析,具備将一個國家從網際網路上“抹去”的能力和條件。
一旦與某國發生沖突,美國在技術上完全可以停止對該國域名的解析,使其網站無法被外界通路。據報道,伊拉克戰争期間,美國終止了伊拉克國家頂級域名。iq的解析[2];在塔利班政權統治阿富汗時期,美國将阿富汗國家頂級域名。af的管理權授予前流亡政府;2004年4月,由于對頂級域名管理權問題發生分歧,導緻利比亞國家頂級域名。ly癱瘓[4],利比亞從網際網路上“消失”了3天。
目前針對域名系統的攻擊手段多種多樣,總結起來主要包括以下三類:
一是分布式拒絕服務攻擊(ddos)。由于域名系統協定存在體系開放、無認證、無連接配接和無狀态等特點,使其更易受到分布式拒絕服務攻擊。針對域名系統的分布式拒絕服務攻擊主要采用基于正常域名請求、反彈式、大流量阻塞等三種途徑。
二是dns欺騙攻擊,通過技術手段向緩存域名伺服器注入非法域名解析記錄,當使用者向被攻擊的緩存域名伺服器送出域名請求時,将會傳回攻擊者預先設定的ip位址。
三是域名劫持攻擊[3],攻擊者控制域名管理密碼和域名管理郵箱後,将該域名的ns紀錄指向到攻擊者可以控制的dns伺服器,然後通過在該dns伺服器上配置相應域名紀錄,使使用者通路該域名時,實際指向攻擊者預先設定的主機。
我國域名系統的安全現狀分析
我國域名管理呈現三層體系架構。從2002年起,國務院下發了《中國網際網路域名管理辦法》、《中國網際網路域名體系公告》等一系列指導性檔案,規範了我國域名注冊和管理工作,目前已形成由工業和資訊化部主管的域名管理和注冊三層體系架構。
第一層是域名注冊管理機構,由中國網際網路資訊中心(cnnic)負責運作和維護cn域根伺服器,授權監督管理各域名注冊服務機構;
第二層是域名注冊服務機構,目前經過cnnic授權的有上百家,負責面向使用者和代理機構受理和稽核域名申請;
第三層是域名注冊代理機構,在域名注冊服務機構的授權範圍内接受域名申請。在具體的域名解析服務方面,主要依靠域名解析服務商、域名托管商等商業機構進行,他們負責具體提供域名解析相關的設施和各類服務。
由于美國對網際網路域名系統的實際控制,使得我國域名系統始終處于不自主、不可控的威脅之下。如果美國對我域名系統實施類似針對伊拉克、利比亞等國家攻擊手段,造成的後果也将非常嚴重。
通過對cn域的屏蔽,将使所有網際網路使用者無法通路cn域。雖然可通過擷取國内根伺服器鏡像控制權或者建構替代根域名伺服器等應急措施,勉強維持國内使用者對cn域的通路能力,但實作難度大,且隻能臨時被動應對,無法全面解決問題。一旦cn域從網際網路上“消失”,将給我國公衆網絡帶來嚴重後果,造成巨大經濟損失和社會影響。
根據2014 年3 月釋出的《中國域名服務及安全現狀報告》,自2010 年5 月到2014年2
月之間,影響較大的域名攻擊事件多達二十餘起,波及域名體系的各個層級。相比網絡欺詐和病毒攻擊等手段,域名系統故障的攻擊手段更為隐蔽且防範難度也越大,影響範圍更大、損失也更為慘重。其中,影響較大的有2009年發生的“暴風影音事件”、2010年發生的“百度域名劫持事件”、2013年發生的“cn域名攻擊事件”,以及2014年1月21日發生的“國内大範圍域名解析故障”等。
提高我國域名系統安全性的幾點建議
加強國家網絡空間安全的戰略謀劃
網際網路安全是國家戰略層面的問題,必需高度重視。
一是盡快制定網絡空間國家安全戰略。樹立網絡空間自主、自控、自強的戰略意識,加強網絡空間安全的戰略籌劃和頂層設計,制定切實可行的網絡空間國家安全戰略和規劃。
二是建立健全網際網路安全防護的體制機制。加強國内網絡運維、研制和使用等各部門之間的交流與合作,充分利用軍地各方力量,提高網際網路安全防護和應急處置能力。
三是積極參與國際網際網路治理。聯合立場相近國家,倡導多邊、民主、透明的網際網路治理機制,打破美對域名等網際網路關鍵系統的控制,鼓勵和支援我企業和非政府機構加入網際網路治理相關國際組織,在網際網路治理相關國際規則制定中争奪話語權。
增強國家域名系統的安全防護能力
一是建立網際網路安全應急替代機制。針對目前網際網路受制于人的局面,研究建立切實可行的應對機制,以提升網際網路的安全性。尤其針對域名系統,為防止cn域被根伺服器删除,應主動應對,建立根伺服器替代機制,保障國内使用者對cn域的正常通路。
二是開展應急演練,以軍民融合的方式,進行國家甚至國際級的網絡應急響應演練,摸清域名系統影響底數、驗證應急響應技術和機制,增強全民應對意識和水準。
以網絡技術發展為契機,搶占先機
一是充分利用全球下一代網絡發展契機,建立新架構。我應在發展部署ipv6、物聯網的同時,通過一系列創新途徑,積極參與新網絡體制下域名解析體系的建構,在下一代網際網路建設中搶占先機,建立創新的網絡協定體系和标準規範,建構有利于我國的域名系統架構;
二是充分利用新型網絡應用的發展,降低對現有域名體系的依賴,研究利用層疊網等新的網絡應用架構,在現有架構内,建構網中網,使上層應用網絡有自己的域名和尋址機制,進而降低風險。
作者:佚名
來源:51cto