构建安全可信的DNS服务体系

　　6月3日消息　在刚刚闭幕的HostingCon2016全球主机大会上，中国互联网络信息中心（CNNIC）高级产品经理张鑫出席了本次大会，并发表了题为《DNS面临的安全威胁和应对策略》的演讲。演讲中他详细介绍了国际、国内DNS服务现状和安全形势，并全面分析了“互联网域名技术国家工程实验室”（简称：NATLab）的技术成果和应对策略。

 

　　DNS安全形势严峻

　　据张鑫介绍， 域名系统（DNS）被誉为互联网的“中枢神经”，它是一个分布式的域名解析系统，并通过缓存技术、树状分层授权结构实现域名与IP地址及邮件服务等的相互转换。随着互联网的飞速发展和技术的滥用，DDoS攻击、DNS系统漏洞攻击、域名劫持、僵尸网络攻击等针对DNS的攻击已成为影响互联网安全的最严重威胁之一。

　　完整的域名解析由根域名解析、顶级域名解析、二级（包括二级以下）权威解析和递归解析四个层次构成。首先，根和顶级域名解析的管理机构都是专业机构，其中聚集了域名领域的专业人才，也有足够的资源来建设，所以一般安全是有保障的。但也有事故发生，如在2009年10月13日，瑞典国家域名管理人员因为配置错误，使全部瑞典国家域名的90万个网站在互联网上消失。其次，在递归解析环节中的服务，由运营商、ISP等基础网络运营商提供。这个环节面临最大的问题是分布式拒绝服务攻击和缓存中毒。最后,二级和二级以下域名服务主要由各网站自建和注册服务商免费提供，是目前出现问题最多的环节，各类攻击和劫持的后果最致命。

 

　　企业外部域名服务存在诸多问题

　　域名服务的安全性很大程度上受域名解析服务器所用软件类型及版本的影响。NATLab定期对重要域名所使用的解析服务器软件版本类型信息进行安全扫描和统计，发现52.63%的域名服务器采用了境外开源的ISC BIND软件，且在采用ISC BIND的域名服务器中有16.43%以上的BIND版本过低。开源软件本身存在严重的安全隐患，漏洞较多，较易被黑客利用，性能也不能达到理想的状态。

　　张鑫指出：“从2014年开始，针对我国域名系统的流量规模达1Gbps以上的拒绝服务攻击事件日均约187起，约为2013年的3倍，攻击目标上至国家顶级域名系统，下至CDN服务商的域名解析系统。”

　　此外，DNSSEC、IPv6、IDN等新技术的应用已是大势所趋，这对于企业域名系统来说意味着新的挑战。企业原有域名系统如果无法支持下一代互联网技术，将意味着企业网站在新的网络平台上无法使用。因此如何让当前的域名系统适应下一代互联网平台，是企业需要站在长远角度思考的问题。

 

　　实践创新全面布局，护航DNS安全

　　据了解，互联网域名技术国家工程实验室（NATLab）由中国互联网络信息中心（CNNIC）牵头组建，该实验室是我国互联网域名领域的第一个国家工程实验室，旨在通过名址协议、域名数据管理、域名安全服务、互联网应用分析等技术研究，加快网络与信息安全技术创新，促进互联网行业发展。

　　近期，基于NATLab一系列技术研究成果，SDNS云解析平台完成了一次重大的升级，海外多节点的BGP+AnyCast技术实现用户多维度的区域划分，全球用户解析就近响应。此外，每个节点均改造为由几十台设备组成的DNS服务集群，抗攻击能力大幅提升。

　　“DNS是一个非常庞大、复杂的互联网基础服务设施，牵一发而动全身，不是某一个点做好就可以高枕无忧。”张鑫感慨地说：“我们有一个比较宏大的目标，要依托于‘互联网域名技术国家工程实验室’这个国家级创新平台，构建一个安全可信的DNS服务体系。我们在.CN的运行管理上做了很多积累，应该把好的经验和技术推广到更大的领域，服务全行业，包括递归、权威以及整个DNS体系。”

　　近年来，为不断强化国家域名系统基础设施的建设，CNNIC联合NATLab推出了一系列产品和服务，完成从根技术研究，到新顶级域名服务，再到二级及二级以下域名服务的整体产业布局，自主研发的SDNS云服务平台已成为国内知名的商用DNS解析托管服务平台；域名解析专用服务器设备也成为国产设备采购的首选品牌。SDNS系列产品与服务目前在金融、广电、政府等重要行业中广泛应用，尤其是最新推出的DNS高性能解决方案，可大幅提高DNS服务器的安全性和解析性能，特别适用于对网络信息安全要求较高的注册局和IDC。