2021-02-21 分類: 網(wǎng)站建設(shè)
以互聯(lián)網(wǎng)為基礎(chǔ)的信息網(wǎng)絡(luò)是進(jìn)行國(guó)家信息化建設(shè)和實(shí)現(xiàn)國(guó)家信息化戰(zhàn)略的基礎(chǔ)設(shè)施,域名系統(tǒng)是互聯(lián)網(wǎng)上大部分服務(wù)和應(yīng)用正常運(yùn)轉(zhuǎn)和實(shí)施的基石,是互聯(lián)網(wǎng)上最為關(guān)鍵的基礎(chǔ)網(wǎng)絡(luò)服務(wù)之一,事關(guān)互聯(lián)網(wǎng)乃至國(guó)家的穩(wěn)定和安全,是國(guó)家信息化建設(shè)的重中之重。
通過對(duì)域?名系統(tǒng)的攻擊和利用可以造成巨大危害。伊拉克頂級(jí)域?名失效事件、利比亞國(guó)家頂級(jí)域?名失效事件等都表明,對(duì)域?名系統(tǒng)的控制已成為一個(gè)有效的網(wǎng)絡(luò)空間作戰(zhàn)手段,可以在非常時(shí)期,癱瘓一個(gè)國(guó)家網(wǎng)絡(luò),造成信息孤島,失去信息優(yōu)勢(shì),喪失戰(zhàn)爭(zhēng)的主動(dòng)權(quán)。域?名系統(tǒng)已成為網(wǎng)絡(luò)空間作戰(zhàn)的重要目標(biāo)。
我國(guó)域?名系統(tǒng)由于根域?名服務(wù)器的不可控和域?名系統(tǒng)本身的脆弱性,存在巨大的安全隱患。近年來,更是事件頻發(fā),對(duì)我互聯(lián)網(wǎng)使用以及國(guó)家社會(huì)、政治、經(jīng)濟(jì)都造成了巨大的影響。因此域?名系統(tǒng)相關(guān)問題已成為制約我國(guó)互聯(lián)網(wǎng)發(fā)展的重要因素。
互聯(lián)網(wǎng)域?名系統(tǒng)簡(jiǎn)介
域?名系統(tǒng)最主要的作用是完成對(duì)域名的解析,即把為便于記憶、用來標(biāo)識(shí)互聯(lián)網(wǎng)上某臺(tái)計(jì)算機(jī)或一組計(jì)算機(jī)的名稱,翻譯轉(zhuǎn)換為與其對(duì)應(yīng)的IP地址域名系統(tǒng)是非常重要的互聯(lián)網(wǎng)基礎(chǔ)服務(wù)。如果沒有域名系統(tǒng),互聯(lián)網(wǎng)上絕大多數(shù)應(yīng)用,如網(wǎng)頁(yè)瀏覽、電子郵件收發(fā),就會(huì)因不知道通信對(duì)象具體物理地址,而無法正常使用。
域名系統(tǒng)DNS(Domain Name System)是由主機(jī)名解析方案發(fā)展出來的一種新的名字的解析機(jī)制。DNS域是一種分布式的層次結(jié)構(gòu)系統(tǒng),包括一個(gè)根域,以空標(biāo)簽(“”)表示。根域的下一級(jí)是頂級(jí)域,如中國(guó)是cn,美國(guó)是us,日本是jp.在頂級(jí)域名下,還可以再根據(jù)需要定義次一級(jí)的域名,如在我國(guó)的頂級(jí)域名cn下又設(shè)立了com、net等。圖1為一個(gè)域名體系典型層次結(jié)構(gòu)。
域名根服務(wù)器由美國(guó)政府授權(quán)的互聯(lián)網(wǎng)名稱與數(shù)字分配機(jī)構(gòu)(ICANN)負(fù)責(zé)管理。為了提高域名解析效率,ICANN在全球部署了591臺(tái)根服務(wù)器及鏡像,他們每個(gè)都被賦予A到M共13個(gè)標(biāo)號(hào)中的一個(gè)。其中,全球唯一的主根服務(wù)器設(shè)置在美國(guó),標(biāo)號(hào)為A,由美國(guó)Verisign公司負(fù)責(zé)運(yùn)維管理;在北京部署有5臺(tái)根服務(wù)器鏡像,編號(hào)為L(zhǎng)的有兩臺(tái),編號(hào)為F、I、J的各一;在香港部署A、F、I、L、J共5臺(tái)根服務(wù)器鏡像。所有編號(hào)相同的根服務(wù)器都采用同一個(gè)IP地址,通過任播(Anycast)技術(shù)實(shí)現(xiàn)就近訪問。標(biāo)號(hào)為B至M的輔助根服務(wù)器及鏡像定期從主根服務(wù)器同步更新全球域名信息,為全球互聯(lián)網(wǎng)用戶提供域名解析服務(wù)。
域名系統(tǒng)安全問題
從域?名解析過程可以看出,當(dāng)本地域?名服務(wù)器緩存不能直接提供域名對(duì)應(yīng)的IP地址時(shí),解析過程必須經(jīng)過域名根服務(wù)器或其鏡像服務(wù)器。而所有輔根服務(wù)器及其鏡像需定期從主根服務(wù)器同步更新全球域名信息。從技術(shù)上看,只需刪除主根域名服務(wù)器的相關(guān)記錄,使其國(guó)家頂級(jí)域名失效,即可實(shí)現(xiàn)讓一個(gè)國(guó)家從互聯(lián)網(wǎng)上消失。
當(dāng)前,全球互聯(lián)網(wǎng)域名系統(tǒng)中,唯一的主根服務(wù)器設(shè)在美國(guó),美國(guó)政府授權(quán)ICANN(The Internet Corporation for Assigned Names and Numbers,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu))進(jìn)行控制;12個(gè)輔根服務(wù)器中9個(gè)設(shè)在美國(guó),其他3個(gè)分別設(shè)在英國(guó)、瑞典和日本。由于其他根服務(wù)器及鏡像的域名信息均復(fù)制于主根服務(wù)器,因此美國(guó)事實(shí)上控制了全球所有國(guó)家和地區(qū)的域名解析,具備將一個(gè)國(guó)家從互聯(lián)網(wǎng)上“抹去”的能力和條件。
一旦與某國(guó)發(fā)生沖突,美國(guó)在技術(shù)上完全可以停止對(duì)該國(guó)域名的解析,使其網(wǎng)站無法被外界訪問。據(jù)報(bào)道,伊拉克戰(zhàn)爭(zhēng)期間,美國(guó)終止了伊拉克國(guó)家頂級(jí)域名。IQ的解析[2];在塔利班政權(quán)統(tǒng)治阿富汗時(shí)期,美國(guó)將阿富汗國(guó)家頂級(jí)域名。AF的管理權(quán)授予前流亡政府;2004年4月,由于對(duì)頂級(jí)域名管理權(quán)問題發(fā)生分歧,導(dǎo)致利比亞國(guó)家頂級(jí)域名。LY癱瘓[4],利比亞從互聯(lián)網(wǎng)上“消失”了3天。
當(dāng)前針對(duì)域名系統(tǒng)的攻擊手段多種多樣,總結(jié)起來主要包括以下三類:
一是分布式拒絕服務(wù)攻擊(DDOS)。由于域名系統(tǒng)協(xié)議存在體系開放、無認(rèn)證、無連接和無狀態(tài)等特點(diǎn),使其更易受到分布式拒絕服務(wù)攻擊。針對(duì)域名系統(tǒng)的分布式拒絕服務(wù)攻擊主要采用基于正常域名請(qǐng)求、反彈式、大流量阻塞等三種途徑。
二是DNS欺騙攻擊,通過技術(shù)手段向緩存域名服務(wù)器注入非法域名解析記錄,當(dāng)用戶向被攻擊的緩存域名服務(wù)器提交域名請(qǐng)求時(shí),將會(huì)返回攻擊者預(yù)先設(shè)定的IP地址。
三是域名劫持攻擊[3],攻擊者控制域名管理密碼和域名管理郵箱后,將該域名的NS紀(jì)錄指向到攻擊者可以控制的DNS服務(wù)器,然后通過在該DNS服務(wù)器上配置相應(yīng)域名紀(jì)錄,使用戶訪問該域名時(shí),實(shí)際指向攻擊者預(yù)先設(shè)定的主機(jī)。
我國(guó)域名系統(tǒng)的安全現(xiàn)狀分析
我國(guó)域名管理呈現(xiàn)三層體系架構(gòu)。從2002年起,國(guó)務(wù)院下發(fā)了《中國(guó)互聯(lián)網(wǎng)域名管理辦法》、《中國(guó)互聯(lián)網(wǎng)域名體系公告》等一系列指導(dǎo)性文件,規(guī)范了我國(guó)域名注冊(cè)和管理工作,目前已形成由工業(yè)和信息化部主管的域名管理和注冊(cè)三層體系架構(gòu)。
第一層是域名注冊(cè)管理機(jī)構(gòu),由中國(guó)互聯(lián)網(wǎng)信息中心(CNNIC)負(fù)責(zé)運(yùn)行和維護(hù)CN域根服務(wù)器,授權(quán)監(jiān)督管理各域名注冊(cè)服務(wù)機(jī)構(gòu);
第二層是域名注冊(cè)服務(wù)機(jī)構(gòu),目前經(jīng)過CNNIC授權(quán)的有上百家,負(fù)責(zé)面向用戶和代理機(jī)構(gòu)受理和審核域名申請(qǐng);
第三層是域名注冊(cè)代理機(jī)構(gòu),在域名注冊(cè)服務(wù)機(jī)構(gòu)的授權(quán)范圍內(nèi)接受域名申請(qǐng)。在具體的域名解析服務(wù)方面,主要依靠域名解析服務(wù)商、域名托管商等商業(yè)機(jī)構(gòu)進(jìn)行,他們負(fù)責(zé)具體提供域名解析相關(guān)的設(shè)施和各類服務(wù)。
由于美國(guó)對(duì)互聯(lián)網(wǎng)域?名系統(tǒng)的實(shí)際控制,使得我國(guó)域名系統(tǒng)始終處于不自主、不可控的威脅之下。如果美國(guó)對(duì)我域名系統(tǒng)實(shí)施類似針對(duì)伊拉克、利比亞等國(guó)家攻擊手段,造成的后果也將非常嚴(yán)重。
通過對(duì)CN域的屏蔽,將使所有互聯(lián)網(wǎng)用戶無法訪問CN域。雖然可通過獲取國(guó)內(nèi)根服務(wù)器鏡像控制權(quán)或者構(gòu)建替代根域?名服務(wù)器等應(yīng)急措施,勉強(qiáng)維持國(guó)內(nèi)用戶對(duì)CN域的訪問能力,但實(shí)現(xiàn)難度大,且只能臨時(shí)被動(dòng)應(yīng)對(duì),無法全面解決問題。一旦CN域從因特網(wǎng)上“消失”,將給我國(guó)公眾網(wǎng)絡(luò)帶來嚴(yán)重后果,造成巨大經(jīng)濟(jì)損失和社會(huì)影響。
根據(jù)2014 年3 月發(fā)布的《中國(guó)域名服務(wù)及安全現(xiàn)狀報(bào)告》,自2010 年5 月到2014年2 月之間,影響較大的域名攻擊事件多達(dá)二十余起,波及域名體系的各個(gè)層級(jí)。相比網(wǎng)絡(luò)欺詐和病毒攻擊等手段,域名系統(tǒng)故障的攻擊手段更為隱蔽且防范難度也越大,影響范圍更大、損失也更為慘重。其中,影響較大的有2009年發(fā)生的“暴風(fēng)影音事件”、2010年發(fā)生的“百度域名劫持事件”、2013年發(fā)生的“CN域名攻擊事件”,以及2014年1月21日發(fā)生的“國(guó)內(nèi)大范圍域名解析故障”等。
提高我國(guó)域名系統(tǒng)安全性的幾點(diǎn)建議
加強(qiáng)國(guó)家網(wǎng)絡(luò)空間安全的戰(zhàn)略謀劃
互聯(lián)網(wǎng)安全是國(guó)家戰(zhàn)略層面的問題,必需高度重視。
一是盡快制定網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略。樹立網(wǎng)絡(luò)空間自主、自控、自強(qiáng)的戰(zhàn)略意識(shí),加強(qiáng)網(wǎng)絡(luò)空間安全的戰(zhàn)略籌劃和頂層設(shè)計(jì),制定切實(shí)可行的網(wǎng)絡(luò)空間國(guó)家安全戰(zhàn)略和規(guī)劃。
二是建立健全互聯(lián)網(wǎng)安全防護(hù)的體制機(jī)制。加強(qiáng)國(guó)內(nèi)網(wǎng)絡(luò)運(yùn)維、研制和使用等各部門之間的交流與合作,充分利用軍地各方力量,提高互聯(lián)網(wǎng)安全防護(hù)和應(yīng)急處置能力。
三是積極參與國(guó)際互聯(lián)網(wǎng)治理。聯(lián)合立場(chǎng)相近國(guó)家,倡導(dǎo)多邊、民主、透明的互聯(lián)網(wǎng)治理機(jī)制,打破美對(duì)域?名等互聯(lián)網(wǎng)關(guān)鍵系統(tǒng)的控制,鼓勵(lì)和支持我企業(yè)和非政府機(jī)構(gòu)加入互聯(lián)網(wǎng)治理相關(guān)國(guó)際組織,在互聯(lián)網(wǎng)治理相關(guān)國(guó)際規(guī)則制定中爭(zhēng)奪話語(yǔ)權(quán)。
增強(qiáng)國(guó)家域?名系統(tǒng)的安全防護(hù)能力
一是建立互聯(lián)網(wǎng)安全應(yīng)急替代機(jī)制。針對(duì)當(dāng)前互聯(lián)網(wǎng)受制于人的局面,研究建立切實(shí)可行的應(yīng)對(duì)機(jī)制,以提升互聯(lián)網(wǎng)的安全性。尤其針對(duì)域名系統(tǒng),為防止CN域被根服務(wù)器刪除,應(yīng)主動(dòng)應(yīng)對(duì),建立根服務(wù)器替代機(jī)制,保障國(guó)內(nèi)用戶對(duì)CN域的正常訪問。
二是開展應(yīng)急演練,以軍民融合的方式,進(jìn)行國(guó)家甚至國(guó)際級(jí)的網(wǎng)絡(luò)應(yīng)急響應(yīng)演練,摸清域名系統(tǒng)影響底數(shù)、驗(yàn)證應(yīng)急響應(yīng)技術(shù)和機(jī)制,增強(qiáng)全民應(yīng)對(duì)意識(shí)和水平。
以網(wǎng)絡(luò)技術(shù)發(fā)展為契機(jī),搶占先機(jī)
一是充分利用全球下一代網(wǎng)絡(luò)發(fā)展契機(jī),建立新框架。我應(yīng)在發(fā)展部署IPv6、物聯(lián)網(wǎng)的同時(shí),通過一系列創(chuàng)新途徑,積極參與新網(wǎng)絡(luò)體制下域名解析體系的構(gòu)建,在下一代互聯(lián)網(wǎng)建設(shè)中搶占先機(jī),建立創(chuàng)新的網(wǎng)絡(luò)協(xié)議體系和標(biāo)準(zhǔn)規(guī)范,構(gòu)建有利于我國(guó)的域名系統(tǒng)架構(gòu);
二是充分利用新型網(wǎng)絡(luò)應(yīng)用的發(fā)展,降低對(duì)現(xiàn)有域名體系的依賴,研究利用層疊網(wǎng)等新的網(wǎng)絡(luò)應(yīng)用架構(gòu),在現(xiàn)有框架內(nèi),構(gòu)建網(wǎng)中網(wǎng),使上層應(yīng)用網(wǎng)絡(luò)有自己的域?名和尋址機(jī)制,從而降低風(fēng)險(xiǎn)。
標(biāo)題名稱:對(duì)我國(guó)域名系統(tǒng)安全問題的思考
文章轉(zhuǎn)載:http://www.rwnh.cn/news/102203.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供靜態(tài)網(wǎng)站、品牌網(wǎng)站制作、App開發(fā)、網(wǎng)站設(shè)計(jì)公司、ChatGPT、搜索引擎優(yōu)化
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容