對我國域名系統(tǒng)安全問題的思考

以互聯(lián)網為基礎的信息網絡是進行國家信息化建設和實現(xiàn)國家信息化戰(zhàn)略的基礎設施，域名系統(tǒng)是互聯(lián)網上大部分服務和應用正常運轉和實施的基石，是互聯(lián)網上最為關鍵的基礎網絡服務之一，事關互聯(lián)網乃至國家的穩(wěn)定和安全，是國家信息化建設的重中之重。

通過對域?名系統(tǒng)的攻擊和利用可以造成巨大危害。伊拉克頂級域?名失效事件、利比亞國家頂級域?名失效事件等都表明，對域?名系統(tǒng)的控制已成為一個有效的網絡空間作戰(zhàn)手段，可以在非常時期，癱瘓一個國家網絡，造成信息孤島，失去信息優(yōu)勢，喪失戰(zhàn)爭的主動權。域?名系統(tǒng)已成為網絡空間作戰(zhàn)的重要目標。

我國域?名系統(tǒng)由于根域?名服務器的不可控和域?名系統(tǒng)本身的脆弱性，存在巨大的安全隱患。近年來，更是事件頻發(fā)，對我互聯(lián)網使用以及國家社會、政治、經濟都造成了巨大的影響。因此域?名系統(tǒng)相關問題已成為制約我國互聯(lián)網發(fā)展的重要因素。

互聯(lián)網域?名系統(tǒng)簡介

域?名系統(tǒng)最主要的作用是完成對域名的解析，即把為便于記憶、用來標識互聯(lián)網上某臺計算機或一組計算機的名稱，翻譯轉換為與其對應的IP地址域名系統(tǒng)是非常重要的互聯(lián)網基礎服務。如果沒有域名系統(tǒng)，互聯(lián)網上絕大多數(shù)應用，如網頁瀏覽、電子郵件收發(fā)，就會因不知道通信對象具體物理地址，而無法正常使用。

域名系統(tǒng)DNS（Domain Name System）是由主機名解析方案發(fā)展出來的一種新的名字的解析機制。DNS域是一種分布式的層次結構系統(tǒng)，包括一個根域，以空標簽（“”）表示。根域的下一級是頂級域，如中國是cn，美國是us，日本是jp.在頂級域名下，還可以再根據需要定義次一級的域名，如在我國的頂級域名cn下又設立了com、net等。圖1為一個域名體系典型層次結構。

域名根服務器由美國政府授權的互聯(lián)網名稱與數(shù)字分配機構（ICANN）負責管理。為了提高域名解析效率，ICANN在全球部署了591臺根服務器及鏡像，他們每個都被賦予A到M共13個標號中的一個。其中，全球唯一的主根服務器設置在美國，標號為A，由美國Verisign公司負責運維管理；在北京部署有5臺根服務器鏡像，編號為L的有兩臺，編號為F、I、J的各一；在香港部署A、F、I、L、J共5臺根服務器鏡像。所有編號相同的根服務器都采用同一個IP地址，通過任播（Anycast）技術實現(xiàn)就近訪問。標號為B至M的輔助根服務器及鏡像定期從主根服務器同步更新全球域名信息，為全球互聯(lián)網用戶提供域名解析服務。

域名系統(tǒng)安全問題

從域?名解析過程可以看出，當本地域?名服務器緩存不能直接提供域名對應的IP地址時，解析過程必須經過域名根服務器或其鏡像服務器。而所有輔根服務器及其鏡像需定期從主根服務器同步更新全球域名信息。從技術上看，只需刪除主根域名服務器的相關記錄，使其國家頂級域名失效，即可實現(xiàn)讓一個國家從互聯(lián)網上消失。

當前，全球互聯(lián)網域名系統(tǒng)中，唯一的主根服務器設在美國，美國政府授權ICANN（The Internet Corporation for Assigned Names and Numbers，互聯(lián)網名稱與數(shù)字地址分配機構）進行控制；12個輔根服務器中9個設在美國，其他3個分別設在英國、瑞典和日本。由于其他根服務器及鏡像的域名信息均復制于主根服務器，因此美國事實上控制了全球所有國家和地區(qū)的域名解析，具備將一個國家從互聯(lián)網上“抹去”的能力和條件。

一旦與某國發(fā)生沖突，美國在技術上完全可以停止對該國域名的解析，使其網站無法被外界訪問。據報道，伊拉克戰(zhàn)爭期間，美國終止了伊拉克國家頂級域名。IQ的解析[2]；在塔利班政權統(tǒng)治阿富汗時期，美國將阿富汗國家頂級域名。AF的管理權授予前流亡政府；2004年4月，由于對頂級域名管理權問題發(fā)生分歧，導致利比亞國家頂級域名。LY癱瘓[4]，利比亞從互聯(lián)網上“消失”了3天。

當前針對域名系統(tǒng)的攻擊手段多種多樣，總結起來主要包括以下三類：

一是分布式拒絕服務攻擊（DDOS）。由于域名系統(tǒng)協(xié)議存在體系開放、無認證、無連接和無狀態(tài)等特點，使其更易受到分布式拒絕服務攻擊。針對域名系統(tǒng)的分布式拒絕服務攻擊主要采用基于正常域名請求、反彈式、大流量阻塞等三種途徑。

二是DNS欺騙攻擊，通過技術手段向緩存域名服務器注入非法域名解析記錄，當用戶向被攻擊的緩存域名服務器提交域名請求時，將會返回攻擊者預先設定的IP地址。

三是域名劫持攻擊[3]，攻擊者控制域名管理密碼和域名管理郵箱后，將該域名的NS紀錄指向到攻擊者可以控制的DNS服務器，然后通過在該DNS服務器上配置相應域名紀錄，使用戶訪問該域名時，實際指向攻擊者預先設定的主機。

我國域名系統(tǒng)的安全現(xiàn)狀分析

我國域名管理呈現(xiàn)三層體系架構。從2002年起，國務院下發(fā)了《中國互聯(lián)網域名管理辦法》、《中國互聯(lián)網域名體系公告》等一系列指導性文件，規(guī)范了我國域名注冊和管理工作，目前已形成由工業(yè)和信息化部主管的域名管理和注冊三層體系架構。

第一層是域名注冊管理機構，由中國互聯(lián)網信息中心（CNNIC）負責運行和維護CN域根服務器，授權監(jiān)督管理各域名注冊服務機構；

第二層是域名注冊服務機構，目前經過CNNIC授權的有上百家，負責面向用戶和代理機構受理和審核域名申請；

第三層是域名注冊代理機構，在域名注冊服務機構的授權范圍內接受域名申請。在具體的域名解析服務方面，主要依靠域名解析服務商、域名托管商等商業(yè)機構進行，他們負責具體提供域名解析相關的設施和各類服務。

由于美國對互聯(lián)網域?名系統(tǒng)的實際控制，使得我國域名系統(tǒng)始終處于不自主、不可控的威脅之下。如果美國對我域名系統(tǒng)實施類似針對伊拉克、利比亞等國家攻擊手段，造成的后果也將非常嚴重。

通過對CN域的屏蔽，將使所有互聯(lián)網用戶無法訪問CN域。雖然可通過獲取國內根服務器鏡像控制權或者構建替代根域?名服務器等應急措施，勉強維持國內用戶對CN域的訪問能力，但實現(xiàn)難度大，且只能臨時被動應對，無法全面解決問題。一旦CN域從因特網上“消失”，將給我國公眾網絡帶來嚴重后果，造成巨大經濟損失和社會影響。

根據2014 年3 月發(fā)布的《中國域名服務及安全現(xiàn)狀報告》，自2010 年5 月到2014年2 月之間，影響較大的域名攻擊事件多達二十余起，波及域名體系的各個層級。相比網絡欺詐和病毒攻擊等手段，域名系統(tǒng)故障的攻擊手段更為隱蔽且防范難度也越大，影響范圍更大、損失也更為慘重。其中，影響較大的有2009年發(fā)生的“暴風影音事件”、2010年發(fā)生的“百度域名劫持事件”、2013年發(fā)生的“CN域名攻擊事件”，以及2014年1月21日發(fā)生的“國內大范圍域名解析故障”等。

提高我國域名系統(tǒng)安全性的幾點建議

加強國家網絡空間安全的戰(zhàn)略謀劃

互聯(lián)網安全是國家戰(zhàn)略層面的問題，必需高度重視。

一是盡快制定網絡空間國家安全戰(zhàn)略。樹立網絡空間自主、自控、自強的戰(zhàn)略意識，加強網絡空間安全的戰(zhàn)略籌劃和頂層設計，制定切實可行的網絡空間國家安全戰(zhàn)略和規(guī)劃。

二是建立健全互聯(lián)網安全防護的體制機制。加強國內網絡運維、研制和使用等各部門之間的交流與合作，充分利用軍地各方力量，提高互聯(lián)網安全防護和應急處置能力。

三是積極參與國際互聯(lián)網治理。聯(lián)合立場相近國家，倡導多邊、民主、透明的互聯(lián)網治理機制，打破美對域?名等互聯(lián)網關鍵系統(tǒng)的控制，鼓勵和支持我企業(yè)和非政府機構加入互聯(lián)網治理相關國際組織，在互聯(lián)網治理相關國際規(guī)則制定中爭奪話語權。

增強國家域?名系統(tǒng)的安全防護能力

一是建立互聯(lián)網安全應急替代機制。針對當前互聯(lián)網受制于人的局面，研究建立切實可行的應對機制，以提升互聯(lián)網的安全性。尤其針對域名系統(tǒng)，為防止CN域被根服務器刪除，應主動應對，建立根服務器替代機制，保障國內用戶對CN域的正常訪問。

二是開展應急演練，以軍民融合的方式，進行國家甚至國際級的網絡應急響應演練，摸清域名系統(tǒng)影響底數(shù)、驗證應急響應技術和機制，增強全民應對意識和水平。

以網絡技術發(fā)展為契機，搶占先機

一是充分利用全球下一代網絡發(fā)展契機，建立新框架。我應在發(fā)展部署IPv6、物聯(lián)網的同時，通過一系列創(chuàng)新途徑，積極參與新網絡體制下域名解析體系的構建，在下一代互聯(lián)網建設中搶占先機，建立創(chuàng)新的網絡協(xié)議體系和標準規(guī)范，構建有利于我國的域名系統(tǒng)架構；

二是充分利用新型網絡應用的發(fā)展，降低對現(xiàn)有域名體系的依賴，研究利用層疊網等新的網絡應用架構，在現(xiàn)有框架內，構建網中網，使上層應用網絡有自己的域?名和尋址機制，從而降低風險。

標題名稱：對我國域名系統(tǒng)安全問題的思考
文章轉載：http://bm7419.com/news/102203.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網站、品牌網站制作、App開發(fā)、網站設計公司、ChatGPT、搜索引擎優(yōu)化

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)