我们的域名系统真的安全吗?

  查询     |      2019-02-17 15:51

域名系统滥用是网络时代的通病。我相信我们每个人在生活中都遇到过这样的情况——明明进入了网站a,却跳转到了莫名其妙的网站B,有时网站B充斥着广告甚至是恶意软件,有时页面连续跳转,甚至最终导致死亡。黑客经常利用域名系统窃取用户密码,对计算机发起分布式拒绝访问攻击。

域名系统到底是什么?

域名系统(DomainNameSystem,简称DNS),是方便人们使用互联网而设计的系统。在互联网中,计算机、服务器、智能手机等网络设备通过IP地址来找到彼此,但由于IP地址往往是一串长数字,如192.0.32.7,人脑很难记忆。于是在互联网组建之初,科学家人为地规定,人使用字母记忆网络地址,如baidu.com、sina.com等,机器则依旧使用IP地址。在人和机器间采用域名系统进行“翻译”“转接”。

约翰·克莱恩告诉记者,域名本身由两部分组成,“点之前和点之后”。点的右侧,如“com”、“net”、“org”等,称为“顶级域名”。每个顶级域名都有一个注册中心,负责管理该顶级域名末尾的所有域名,并可以访问该名称下的完整域名列表以及与这些名称关联的IP地址。点前面的部分是用户注册要使用的域名(如网站、电子邮件等)。这些域名被大量的域名注册商出售。

互联网名称与数字地址分配机构(ICANN)和每个域名注册局都签订合同,同时还对注册商执行认证制度,普通人可以向这些注册商或注册局申请域名。这为域名系统提供了稳定一致的环境,从而为互联网提供全球稳定一致的环境。约翰·克雷恩总结称,域名系统提供了一种帮助人们寻找特定网站的互联网寻址系统。

image.png

同时这也是域名系统经常成为攻击的目标的原因,因为每一个人都依赖该系统去解析跟IP地址对应的容易记忆的名字。约翰·克雷恩继续谈到,通过扰乱域名服务,滥用者能够扰乱电子商务、公共服务、在线学习以及社交应用。滥用者还能欺骗蒙混用户导致用户声誉或者财产上的损失。域名系统滥用的常见形式包括钓鱼网站、垃圾邮件、散布恶意软件及拒绝服务攻击。

除了方便人们使用网络,域名系统的优点是,它可以快速、方便地改变一个特定域名之间的映射关系,一个特定的IP地址,所以一个特定域名不需要绑定到一个特定的计算机。通过不断更新域名系统基础设施,整个互联网可以在48小时内识别变化,使互联网变得非常灵活。

互联网技术在进步!

随着互联网的发展,每个人都可以通过自己的智能手机、平板电脑来实现网络生活,人们也越来越多地使用APP,但这并不意味着我们告别了域名系统滥用的威胁。克雷恩对记者说,当我们在智能手机的某个应用中点击某个按钮时,这个按钮要实现功能,背后依然需要域名系统来支持。

Crane告诉记者,随着整个互联网行业的发展,越来越多的人参与到域名系统的建设和维护中来。中国国家互联网应急响应中心是处理域名滥用问题的重要而积极的参与者。随着中国互联网行业的空前繁荣,许多中国工程师也在为域名系统的技术创新和改革做出贡献。例如,前几天我和一些中国开发者讨论了域名系统的新规则,如DNSSEC, DANE等。

他认为,现在的互联网环境与域名系统刚建立时完全不同。越来越多的设备,尤其是便宜的设备,被连接到互联网上。便宜的设备有时意味着不安全。我们也看到越来越多廉价互联网设备的网络攻击,例如2016年物联网家庭设备对Dyn发起的攻击,导致了美国。中国大规模的网络断开。目前,大量廉价的互联网设备被用于家庭和办公环境。当然,这是由于成本和市场等因素,但如果你比较一下过去几次的技术浪潮,互联网技术浪潮的规模扩张特征尤为明显,这加速了行业的发展,也带来了许多潜在的麻烦。

他补充说,世界各地的工程师一直在努力提高域名系统协议的安全性和抗攻击能力。虽然DNS的底层协议是1987年制定的,但与30多年前相比,今天的DNS协议和规则发生了巨大的变化。最简单的例子是,20多年前,注册域名只能应用于一家分销机构。现在,我们有数千个域名注册中心和域名注册商。在技术层面,我们去年推动了DNS安全扩展协议(DNSSEC)的部署。该协议可以增强DNS的安全性,保护DNS服务器不受特定的分布式拒绝服务攻击。ICANN还部署了“域名系统滥用报告系统”(DAAR),希望帮助各国执法部门、行业监管部门和注册处处长更有效地处理滥用问题。

编辑:会飞的鱼