互联网域名系统安全管理的现状及研究进展.doc

互联网域名系统安全管理的现状及研究进展 【发布时间:2010年02月05日】 【来源：信息安全协调司】 【字号： HYPERLINK /13011670.html 大? HYPERLINK /13011670.html 中? HYPERLINK /13011670.html 小】?　　互联网域名系统DNS（Domain Name System）在诞生后的十几年中，一直为全球互联网的正确运行提供了关键性的基础服务，其重要性也与日俱增。各种基于域名的Web网站访问、电子邮件系统、文件共享系统等都依靠DNS的支持而得以正常开展。因此，对互联网核心基础设施DNS的安全管理研究对于确保全球互联网稳定、提高互联网性能具有十分重要的意义。 　　一、互联网域名系统概述 　　DNS由3个主要部分组成：（1）域名空间和资源记录RR（Resource Record），它提供了树形结构的名字空间和与其关联的数据的规范，目前共有58种RR。（2）名字服务器（name servers），它提供该树形结构的名字空间中的部分信息。如果该服务器拥有某区域的完整信息，则成为授权服务器。授权信息组织成“区域”（zones），存储在区域文件中。（3）解析器（Resolvers），负责接收客户端请求并查询域名服务器。解析器通常位于系统级，可以被用户的应用程序直接调用。 　　DNS资源记录数据被存储在一个树形结构的分布式数据库中。每个授权域名服务器负责域名空间层次树中的一部份。域名解析过程一般由客户端应用程序向本地域名服务器发起的查询（query）开始，如果查询失败，则向根服务器查询直至得到所要查询的域名的IP地址为止。为了提高域名服务器的响应速度和性能，树形结构中的每级域名服务器均应缓存已经解析获得的域名与IP地址的对应信息（根服务器和.com等顶级域名服务器除外）。 　　二、研究现状 　　对DNS系统的有效管理是建立稳定高效的DNS系统的前提和基础。然而，DNS现有的管理、配置和规划机制，以及保护自己免受各种攻击的安全机制都非常有限，甚至还很初级。例如目前，全球DNS系统主要依赖多点镜像、负载均衡等方法???应对流量突发访问，以及遭受DDOS攻击时保持正常运行。对DNS的管理、配置和规划则主要依赖管理者的实际经验，缺乏统一的模型与科学方法，另一方面，随着各种新技术如IPv6、多语种域名和DNSSEC等在DNS系统中的逐步部署，对DNS系统的管理、配置和规划提出了更高的要求。 　　相关研究人员已经做了不少探索，例如，DNS技术创始人、美国计算机学会ACM终身成就奖获得者Paul Mockapetris领导的Nominum公司研发了一种新的DNS系统“Foundation”。但该系统主要是为了解决目前普遍使用的开放源码的DNS服务器软件BIND在处理查询能力和安全性能不高方面的问题，并没有提供专业化的管理帮助系统。其他类似的研究还包括利用本地DNS和远程DNS协同提高解析效率的CoDNS、基于P2P结构的DDNS等，这些研究主要围绕DNS系统本身的不足进行的，不涉及现有DNS系统的管理规划问题。Pappas等人则针对DNS全球分布式的特点，提出了一种分布式的解决方案，用以识别DNS配置错误。另外的多数DNS帮助软件包主要用于帮助域名空间中的区域管理、进行区域文件扫描（zonefile scanning），找出区域配置错误等，在提供一定的用户使用接口的同时，提供一些简单的网络故障诊断工具，如检查网络联通性的Ping、Traceroute，检查DNS服务器解析功能的dig、nslookup等。在惠普公司和IBM公司开发的网管系统OpenView、Tivoli中也附带了一些诊断DNS错误的功能，但都十分有限。 　　与此同时，不少研究人员对DNS的运行性能进行了大量的测量与分析研究，试图为有效管理DNS系统提供有价值的参考数据。例如，有人分析了本地和授权DNS服务器的负载分布、可用性和部署模式。Pappas通过长达半年时间的测量，详细研究了DNS运行错误对其鲁棒性的负面影响。Jung等在美国麻省理工学院和韩国KAIST (Korea Advanced Institute of Science and Technology)的本地DNS服务器测量了DNS性能，并评价了DNS缓存的有效性。通过详细分析收集到的DNS跟踪文件(trace file)，测量了客户端观察到的DNS性能。基于跟踪文件的仿真，发现降低类型A纪录的TTL值到几百秒对缓存命中率影响很小，而缓存NS纪录