《北向文集 面向2021》 13期 文森峰论坛 | 段海新-DNS安全的前世今生——互联网安全的演进实例

北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议，历届北向峰会的行业趋势探索以及战略性指导意义，使其成为安全行业别具一格的风向标。

面向2021，北向峰会以【极光论坛】、【山海论坛】、【都江堰论坛】、【文森峰论坛】四个模块，深入研讨了安全行业战略发展之路。嘶吼作为会议承办方，全力支持与扩展峰会对行业发展的战略性意义。根据【北向峰会2020】重要内容，嘶吼安全产业研究院与北向峰会共同编撰成《北向文集》，文集将以连载的方式在“嘶吼专业版”独家发布，向大家分期呈现，每日更新，敬请关注！

13期 文森峰论坛

DNS安全的前世今生——互联网安全的演进实例

DNS安全的前世今生

DNS是互联网重要的基础设施。作为互联网最基础的服务之一，DNS一开始是不存在的。1982年因为电子邮件的普及才使DNS需求变得迫切。南加州大学Paul Mockapetris和Jon Postel教授领导制定了DNS最早的协议，并开发了第一个DNS软件。早期根域名服务器的管理权和顶级域名的申请分配也是Jon Postel负责分配的。

1983年制定了最早的DNS体系结构，它由三部分组成：域名空间、权威服务器和解析器。最早的解析器只是终端电脑上的一个进程，没有专门的递归服务器或缓存服务器。名字空间从最初个位数的顶级域名拓展到现在1500多个，字符集也从最初只支持ASCII字符扩展到支持多国语言即国际化域名（IDN）。根据我们的研究，中、日、韩申请的IDN最多。互联网上每一个新生事物都可能带来新的风险，IDN域名带来意想不到的风险是对同形异义的域名进行“钓鱼”。

DNS组成部分中，权威服务服务器最重要的是根，早期13个根域名服务器使用了13个IP地址。随着AnyCast技术的普及，2020年12月3日全球公开的根结点数量是1341个。2015年提出把根服务器上的根区副本保存在递归解析服务器上，这个措施既可以降低延迟、增加可靠性，也保护了用户的隐私。

DNS第三个组成部分解析服务器在发展过程中经历了很大的变化。首先是从端到端的模式演变成增加了共享的缓存节点，即递归解析服务器（通常都有缓存功能）。增加缓存引入的最有可能的问题是数据不一致问题，一个典型实例就是我们发现的出现幽灵域名（被删除的域名可以永远存活），即权威服务器中删除的记录，却在递归解析服务器的缓存中永远存在。我们在网络安全国际顶会NDSS 2012上发布了这一发现，然后有十个DNS厂商紧急发布安全补丁；美国的国家漏洞库也收录了该漏洞，美国联邦通信局也把这个漏洞写入了当年的安全工作手册。日本国家域名注册局把我们的论文翻译成日文，在日本互联网运营领域产生重要影响，这是作为研究者令我感到自豪的地方。

除上述的数据不一致的问题，DNS面临更大的问题是缓存污染——攻击者恶意操控缓存里的数据，把用户的访问转向自己控制的节点。虽然1995年IETF就提出了DNSSEC通过数字签名解决缓存污染，但这个看似简单的技术的发展、成熟和部署过程及其漫长，目前即便是在美国，DNSSEC验证部署率只有20%多，指望DNSSEC保护防止缓存污染是很困难的。2008年由于Dan Kaminsky 发现了一种缓存攻击的有效方法，DNS领域主要通过随机数的方法把攻击复杂度从2的16次方提高到2的32次方。我们最近发现了两种缓存污染的攻击方法，一种是利用UDP分片的方法污染普遍存在的转发服务器（如WiFi路由器），另一种是和美国加州大学钱老师共同发现的，使用侧信道的方法猜测UDP的源端口号，从而使攻击复杂度降低到2的16次方。DNS缓存污染的攻击和防范发展的历史告诉我们，类似密码技术这种完美、彻底的解决方案需要多年的测试、部署，在这个过程中，类似随机数这样的不那么彻底的缓解技术可能短期内可以有效提高防御能力。

最后是关于解析上的劫持。即使权威服务器到递归服务器或缓存服务上所有的安全问题都解决了，在最后一公里的用户电脑到解析服务器的路径上，仍然可以被劫持。不止在中国，通过对全球DNS解析路径上的劫持做大规模测量发现，7.36%的运营商存在劫持行为，这种现象非常普遍，比如针对谷歌的劫持在中国有27.9%，即将近30%的解析都被劫持了。对抗劫持的行为是DNS加密，针对DNS加密有两套标准已经正式发布，分别是DNS-over-TLS和DNS-over-HTTPS。我们2019年发表在互联网测量会议（IMC）上的论文是国际上关于加密DNS的最早的大规模测量研究，那时的部署很少，而且存在不少问题。2020年8月我们又做了一遍测量，发现加密DNS的部署量大大提高，而且比较集中在中、美、德三国。加密的DNS给用户隐私带来很大的好处，但对运营商和监管提出新的挑战，也大大改变着DNS的生态。

总结DNS发展的历史，有助于理解今天看到的一些问题。就像这次会议的主题——凡是过往、皆为序章。我们可以看到互联网并非起源于一个宏伟的蓝图，刚开始它的设计并不完美，安全是在一次又一次的攻击基础上变得更加强壮。很多人说互联网体系结构并不安全，所以要重新制定新的体系结构，但是整个互联网安全就是在打补丁过程中逐渐发展的，无法让互联网推倒重新来，所以在技术创新时，一定要慎言什么颠覆性的革命，特别是针对互联网的基础设施。

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布