GOGOGO免费高清在线中国
Fred Baker
ICANN 根服務器(qi)系統咨詢委(wei)員會(RSSAC)主席
前IETF主席
根(gen)服務器的管(guan)理機構可輕(輕)易修改根(gen)區文件內容甚至可(ke)移除特定(ding)的頂級域?目(mu)前(qian)全世界僅有(you)13個根服務器?此(ci)類針對根域(yu)名服務器的(de)傳言一直不(bu)休,在日前舉(舉)行的2020年北京(jing)網絡安全大(da)會上,根(gen)服務器系統(統)咨詢委員會(Root Server System Advisory Committee ,RSSAC)主席Fred Baker回(hui)應了這些問題。
Fred Baker表示,關(關)于互聯網域(yu)名系統(統)的根服務器(qi),目前流傳著(zhu)許多不同版(ban)本的傳言,但這(這)些傳言都不(bu)準確。
根(gen)服務器系統及相關機構
Fred Baker在報告(gao)中重申了域(yu)名系統的運(運)行原理:先(xian)從根服務器(qi)節點獲得域(yu)名頂級域(如(ru)“.cn”)信息的索引。而(er)通過頂級域(yu)的權威服務器可獲得二(er)級域名的索(suo)引。其后,在二級域(yu)名的權威服(fu)務器上,可獲得各(ge)個域名所對應的服務器(qi)IP地(di)址(zhi),或者(zhe)是域名(ming)所屬的(de)子域名。
根服(fu)務器系統在(zai)運行過程中(zhong),首先需要獲(獲)得根區文件,然(ran)后將其分發(發)到根服務器(qi)的運行管理(li)機構,根服務器節點將對全球域(yu)名服務器所(suo)發起的查詢請求進行響應。全球(qiu)目前可能分(fen)布著超過一(yi)萬臺域名解(jie)析服務器。根區(區)文件維護者(zhe)(Root Zone Maintainer)根據從互聯網號碼分配(pei)機構(IANA)獲取(qu)的文件提供(gong)根區數據。
目(mu)前,一共有12家相(xiang)互獨立的企(qi)業或者組織機構在(zai)負責管理運(運)行域名系統根(gen)服務器節點。其(qi)中的一些組(組)織實際上隸(隸)屬于美國軍方,它們不(bu)屬于公司或(huo)企業,這類組(組)織需要區別(別)對待。例如,美國國防(fang)部(bu)網絡信息中心(xin)(Network Information Center,NIC),它是負責運(運)行管理根服(fu)務器節點的機(機)構之一。此外,還有一些組織機構分(fen)布在斯德哥(ge)爾摩、阿姆斯特(te)丹以及東京(jing),主(zhu)要是歐洲技(ji)術社群,而WIDE項目管理著(zhu)日本的根服(fu)務器節點。
1983年(nian),IETF的RFC 882和RFC 883兩個文檔對互聯網域名系統(統)DNS進行了描(miao)述與定義。1984-1985年(nian),早(zao)期根域名系(xi)統于美國建(jian)成,該系統由四(si)臺服務器組成,它們分別使用四(si)個獨立的IP地址(zhi)。此后,隨著互聯網的(de)發展,根(gen)服務器的(de)數量經歷了(le)多次增加。1987年(nian),新增三臺(臺)服務器,1991年新(xin)增一臺,1993年又增加一(yi)臺,1998年再增四臺(臺)。至此,根服務器(qi)系統增加至(zhi)13臺(臺),并各自擁有(you)1個IP地址。
當時,分發(發)根域名服務器地址的人(ren)是 Jon Postel (注:被譽(譽)為互聯網之(zhi)神),他邀請不(bu)同機構共同(tong)運維根域名服務器(qi),并(bing)長期負責管(guan)理互聯網號碼分配機構(Internet Assigned Numbers Authority,IANA)。Jon Postel去世(1998年)之后,沒人了解該如何新增根(gen)服務器的入(ru)口,或如何(he)修改變動根(gen)服務器。
在此情況下(xia),根(gen)服務器系統咨(zi)詢委員會RSSAC運行(xing)管理根域名(ming)服務器系統(統)將近20年(nian)。
期間面臨一(yi)個非常重要(yao)問題是:如何(he)設計完善運(運)行流程,以轉變DNS系(xi)統面臨(臨)的困難局面(mian)。經過多次討論和實踐,根服(fu)務器系統不(bu)斷演進,最終形(xing)成當前(qian)規模。截至2020年(nian)8月1日,DNS根(gen)服務器系統(統)共有1086個根服(fu)務器節點。
引入數字(zi)簽名技術
在(zai)過去十幾年中,互聯網工程(cheng)任(ren)務組(The Internet Engineering Task Force,IETF)已經對根(gen)區文件(jian)的信息做出(chu)了一系列優化與改進。其中一項極為重要的變化(hua)是,使用數字簽名技術來保障域名(ming)系統的安全(quan)性,即(ji)DNS安全擴展(Domain Name System Security Extensions,DNSSEC)的引入。目前幾乎所(suo)有頂級域均(jun)已支持DNSSEC,并且(qie)其中有許多(duo)頂級域對所(suo)包含的二級域名進行簽名,許多二(er)級域名進一(yi)步對其子域(yu)名進行簽名(ming)。
數字簽名的主(zhu)要功能是驗證用戶所接(jie)收的信息(xi)是否準確。當某個客戶端(duan)發起域名查(cha)詢請求時,可能(neng)會被劫持或(huo)轉發到未經授權的(de)根服務器管(guan)理者,導致域名(ming)響應的內容(rong)與互聯網號碼分配機構(IANA)所提供的信(xin)息不一(yi)致,造成所(suo)謂的DNS偽造攻(gong)擊。
如何檢測(測)這類攻擊?如何才(cai)能知道應答(da)響應的內容(rong)是否合法?解決方(fang)案是(shi)對數字簽名的(de)內容進行校(xiao)驗。如果數字(zi)簽名是偽造的,就(jiu)意味著應答(da)內容是非法(fa)的。通常,域名(ming)解析服務器(qi)負責驗證數字簽名記錄。除了域名解析服務器之外,任何(he)發起域名查(cha)詢的設備、系(xi)統均有權利(li),RSSAC也強烈建議(議)其去校驗DNSSEC的(de)數字簽名記錄。
根域(yu)名系統管理(li)的十一項原(yuan)則
2014年,Steve Crocker(ICANN董事會主席)曾向RSSAC提出(chu)一個問題:該如何解決Jon Postel先生去世(shi)之后管理根區(區)文件規范流(liu)程的缺失?
2015年(nian),RSSAC委員會相聚(ju)在工作組討論這一問題(題),并從當年9月(yue)開始,召開了(le)一系列(lie)的研討會,最(zui)終形成了一(yi)份技術報告(gao),也即RSSAC037文檔。該報告內容可(ke)在網上查閱,其(qi)中的一項重(zhong)要內容(rong)是提出管理(li)根服務器系(xi)統所應依據的11條原則,具(ju)體內容如下(xia):
(1)為了維護一(yi)個全球性的(de)互聯網,需要一個全球統一的(de)域名系統,從而使用戶在(zai)不同地區或(huo)使用不同域(yu)名解析服務器時,對于相(xiang)同(tong)索引內容總能獲得(de)相同解析結(結)果。
(2)IANA是DNS根數據的來源。
(3)根服(fu)務器系統必(bi)須是穩定可(ke)靠、富有彈性的平臺(臺),能夠為所有(you)用戶提供域(yu)名解析服務。
(4)根服務器操(cao)作的多樣性(xing)是整個系統(統)的優勢。如果(guo)所有人(ren)都使用完全相(xiang)同的軟件,當域名系(xi)統出現故障時,所有(you)人都會遇到(dao)此類故障,將導致非常嚴重的安(an)全事故。因此(ci),多樣性是一(yi)項基本的設(設)計原則:需要(yao)操作不同的(de)DNS軟件,使用不(bu)同的硬件設(設)備,使用不(bu)同(tong)的網絡(絡)獲取數據。多樣性是加強系(xi)統健壯性的(de)重要因素。
(5)體(體)系結構的變化應該來自(zi)于技術(術)的發展和已(yi)證明的技術(術)需求。
(6)IETF定義DNS協議(議)的技術操作(zuo)。所有改變的(de)驅動力都應源自技術層面,而技術上(shang)的推陳出新(xin)多由互聯網(網)工程任務組(組)(IETF)發起。
剩(sheng)余的五項原(yuan)則均直接面(mian)向根服務器(qi)系統的運行(xing)管理機構(RSOs)。
(7)RSOs必須以誠(誠)信正直的精(jing)神來維護互聯網的(de)共同利益。
(8)RSOs必(bi)須保持透明(ming)。作為一(yi)個互聯網組(組)織機構,要保持透明(ming),能(neng)夠說到做到(dao)。
(9)RSOs必須與(與)利益相關方(fang)合作,并鼓勵其(qi)參與。在(zai)IETF和(he)ICANN的組織架構下,RSOs不僅需要與(與)客戶以及合(he)作者積極溝通,也需(xu)要吸引并鼓(gu)勵技術社群(qun)中的利益相(xiang)關方一起參與。
(10)RSOs必須保持自(zi)身的自主性(xing)和獨立性。不應受到任何一個派(pai)別的操控。根服務器(qi)系統的運行(xing)管理機構其(qi)實是高(gao)度獨立的。盡(盡)管其中一些(xie)機構屬于美國政府(fu),但是并非由政府(fu)來運作的。
(11)RSOs必須保持中立(li)與公正(zheng),并提供必(bi)要的(從IANA獲取(qu)的)信(xin)息。
關于根服(fu)務器系(xi)統的不實傳言
Fred Baker表示,關于互(hu)聯網域名系(xi)統的根服務器,目前(qian)流傳著許多(duo)不同傳言,但這(這)些傳言都不準確。
一(yi)種說法是,域名系(xi)統根服務器(qi)可以控制互(hu)聯網流(liu)量的轉發路(lu)徑。但事實并(bing)非如此,根服務器不會控制(zhi)任何其(qi)他事項,它只(zhi)負責分發根(gen)區文件(jian)的信息。數據包轉(轉)發的過程路(lu)徑信息是由(you)互聯網路由(you)器所決定的(de)。
第二種(種)說法是,根服務器的管理機構可以輕易(yi)地修改根區(區)文件的內容(rong),甚至可(ke)移除特定的(de)頂級域。假如服務器通過修改(gai)配置,拒(ju)絕響應用戶所發起的查(cha)詢請求,上述說(說)法某種程度(du)上可算是成(cheng)立的。但(dan)通過驗證DNSSEC的數字簽名,可輕易(yi)發現此類篡改行(xing)為。一旦(dan)DNSSEC校(xiao)驗失敗,便可得知(zhi)解析結果并(bing)非源自互聯網號碼分配(pei)機構(IANA),被(bei)篡改的內容(rong)也會被直接(jie)拋棄。因此,盡(盡)管理論上(shang)而言,根服務器(qi)節點可修改(gai)根區文件數據,但(dan)修改后無法(fa)通過DNSSEC數字簽名的校(xiao)驗。
第三種說法(fa)認為,管理根區文(wen)件數據和提(ti)供解析服務是一樣的。但二者并(bing)不相同,管(guan)理主要涉及數據存儲和使用(yong)規則的制定(ding)等,而(er)解析則是對數據內容的(de)響應。
第(di)四種說法認(認)為,某些特定的(de)根服務器比(bi)其它根服務器更為重要。這種(種)說法也不正確。實際上所有的(de)根(gen)服務器的運(運)行管理(li)機構是完全(quan)平等的。用戶可(ke)以向其中任(ren)意一個發起(qi)域名查詢請求,最終得(de)到的結果也(ye)將完全相同(tong)。
第五(wu)種說法是,目前(qian)僅存在13個根服務器(qi)。實際上,全球(qiu)共有超(chao)過1000個根(gen)服務器節點,但是這(這)些根服務器(qi)節點共享13個名(ming)稱(identities),分(fen)別對應著負責運行管理(li)的組織機構。
第六種(種)說法認為,ICANN控制(zhi)了所有根服(fu)務器運行管理機構。顯然不是這樣。因為根服務器的管(guan)理機構比ICANN存(cun)在的時間還要長。而且根服務器管理(li)單位RSSAC也(ye)僅有少數人從屬于(yu)ICANN。
Fred Baker表示,根服務器(qi)系統的運行(xing)管理機構,必須以(yi)誠信正直的(de)精神來維護互聯網(網)的共同利益(yi)。同時(時),根(gen)服務器的運(運)行管理機構,必(bi)須保持自身(shen)的獨立性,他們不應當受到任何(he)一個派別的(de)操縱。
“根服務器系(xi)統的運行管(guan)理是高度獨立的,盡管其中(zhong)一些機構屬于(yu)美國政府,但他(ta)們并不是由(you)政府來運作(zuo)旳。” Fred Baker表示(shi)。
(本(ben)文(wen)整理自Fred Baker在2020年北京(jing)網絡安全大(da)會上的報告(gao))
相關背景:
根服(fu)務器系統咨詢委員(員)會(Root Server System Advisory Committee,RSSAC)是ICANN技術社(she)群的10個技術委員(員)會之一,其成員(員)主要為互聯網域名(ming)系統根服務器的(de)創始者。該委員會的使命是(shi)成為聯系技(ji)術社群、董事會以(yi)及域名根服(fu)務器利益相(xiang)關方的溝通(tong)渠道,主要負責提供與域名(ming)系統根服務器(qi)相(xiang)關的咨(zi)詢和建(jian)議。因此,RSSAC重點(點)關注根服務器系統(統)的工作機制(zhi),以及如何更(geng)好地服務ICANN技術社(she)群等問題。
RSSAC由負責運行全球(qiu)根服務的組織的代(dai)表組成。
2013年7月18日,ICANN董事會批準了RSSAC的初始成員(員)和領導層,并于(yu)2014年(nian)6月26日任(ren)命了新的代(dai)表。(詳情見http://www.crusher-spare-parts.com/ )