摘要　域名系統(DNS)既是互聯網的基礎業務，又是互聯網基礎設施的重要組成部分。隨著IP技術向電信領域的滲透，一些電信業務也越來越依賴于DNS系統。 而現有DNS體系實際上是由美國間接控制的，存在一定的安全隱患。因此新型DNS系統的研究已經開始受到重視，本文提出了一種與現行DNS系統兼容的、新型的互聯網域名解析體系，以期提高DNS系統的安全性。

　　關鍵詞　域名系統　DNS　根服務器　安全隱患


1、探索新的DNS服務器管理機制與解析方式的必要性

　　1.1　根服務器的種類與分布

　　域名根服務器通常有三類：主服務器、從服務器、鏡像服務器。其中主服務器負責維護ROOTZONE文件，并主服務器定期向從服務器下發ROOTZONE文件。鏡像服務器是從服務器的鏡像，通常這些分布在各地的鏡像服務器與從服務器配置為一個IPv4的組播組或一個IPv6的任播組，這樣用戶可以就近獲得DNS解析服務，提高了域名解析的性能。另外，這種通過組播或任播技術組織起來的進行鏡像服務器可以一定程度上避免網絡單點故障，提高網絡的安全性。

　　目前，全球共有1個主根服務器(隱藏，網絡上不可見的)，13個從根服務器(邏輯)。這些邏輯上的從服務器又分別配置有若干具體的鏡像服務器，分布在全球10多個國家和地區。其中，以F根服務器的鏡像服務器最多，現在有21個，按照F根服務器的管理者ISC的規劃，到2005年全球的F根服務器的鏡像服務器要達到25個。I根服務器和J根服務器的鏡像服務器數目也較多，目前分別為9個和12個，并且這個數目正在增長。

　　上述所有根服務器均由美國政府授權的互聯網名字與編號分配機構(ICANN)統一管理，負責全球的域名根服務器、域名體系和IP地址的管理。ICANN的管理工作根據其與美國商務部達成的諒解備忘錄的內容進行。而對根服務器的具體管理與維護工作，則由ICANN以簽署協議的方式委托給一些組織或公司來完成。

　　1.2　現行互聯網域名解析機制存在的問題

　　在現行互聯網域名解析體系中，DNS根服務器扮演了十分重要的角色。所有本地DNS服務器不能解析的域名解析請求都要直接送到DNS根服務器去，而目前這些DNS根服務器的最終管理權與控制權在美國政府的手里，美國可以對DNS根服務器中的ROOTZONE文件的記錄進行修改，從而使得一些國家從互聯網世界中消失。據了解在美伊戰爭期間，伊拉克以外的國家不能訪問伊拉克的網站，所有訪問伊拉克ccTLD頂級域名服務器的域名解析請求都將返回“失敗(fail)”或“拒絕(denial)。另外，美國還可以對訪問DNS根服務的域名解析請求進行監測與分析，并可以采取諸如拒絕訪問、過濾或重定向等特殊處理。所有這些都使得許多國家在利用DNS系統來支撐一些重要的應用時存在安全性方面的擔憂，尤其是一些與美國的文化理念和意識形態方面存在差異的發展中國家。隨著互聯網向傳統電信領域的滲透，一些電信業務也越來越多地依賴于DNS解析系統，而且DNS域名的系統的功能也在不斷豐富之中(如新的記錄類型的增加，以支持ENUM，RFID等應用，現行DNS系統有向全球目錄服務系統演變的趨勢，這意味著DNS系統的重要性會越來越加強)，但是這些電信業務的管理權屬于各國主權范疇，各國的電信業務的開展需要依賴由美國管理與控制的DNS根服務器的現狀也使得一些國家產生了對本國電信業務安全性的擔憂。這一定程度上影響了ENUM，RFID等新型應用的快速開展。

　　所有的根服務器的具體管理權均屬于某個國家的某個公司，如果出現與根服務器有關的網絡糾紛甚至是網絡犯罪時，牽扯到的法律問題將會非常復雜。具體地講，DNS根服務器的帶來的安全隱患主要有：停止服務、虛假信息發布、重定向、信息監控、定點攻擊等方面。

　　(1)停止服務

　　由于目前國內的各級DNS服務器均缺省配置了互聯網根服務器的地址，當在本地不能完成域名解析時需要按照這個地址列表來訪問根服務器。當這些服務器對我國的DNS查詢停止提供服務時，則DNS查詢失敗。影響互聯網業務以及與DNS服務有關的電信業務的開展。

　　(2)虛假信息發布

　　存在這些國外的服務器向國內的服務器傳送虛假信息的可能。這些虛假信息使得與DNS服務相關的業務不能正常開展。

　　(3)訪問的重定向

　　虛假信息的發布除了可以使國內的域名解析服務不能正常進行以外，更為嚴重的是國外的服務器可以利用這些虛假信息實現訪問的重定向，從而破壞網絡和業務的安全，帶來嚴重的后果。

　　(4)消息篡改

　　由于對國外DNS服務器的查詢需要經過國外的網絡，因此這些消息也存在被捕獲并篡改的危險。通過對DNS查詢消息和DNS響應消息中有關字節的更改均可以實現前面所介紹的訪問重定向。

　　(5)信息監控

　　無論是本地DNS服務器采用遞歸工作方式還是非遞歸工作方式，只要是接收了缺省的對“.”根服務器的配置，則對于本地不能解析的域名(cache服務器中沒有緩存相應的信息)均需要查詢根服務器。而在DNS請求消息中就包含了本地DNS服務器或主機的相關信息，從而DNS根服務器可以對這些信息進行記錄、統計，并可以有選擇地長期對其進行監測，從中可以分析出這個DNS服務器或主機的網絡活動范圍，從而對其服務范圍內的用戶特性有所把握。這對于一些國家敏感部門的安全有一定的威脅。

　　(6)定點攻擊

　　在國外的DNS服務器獲得了國內一些重要DNS服務器的信息(所謂的重要DNS服務器是指其服務的用戶數量較大、用戶重要性較高)以后，其可以根據這些信息對這些服務器進行有針對性的攻擊。

2、國際上已經開展了對現行機制的替代方法的研究

　　考慮到DNS根服務器所存在的上述問題，目前國際上有兩種解決思路：一種是通過努力推動DNS根服務器監管的國際化，實現DNS根服務器最終管理與控制權從美國政府轉向國際組織(究竟是轉移到民間國際組織還是政府間國際組織，國際上爭論較大)。在這種思路下，DNS根服務器管理權問題解決以后，現行的域名解析體系可以維持不動。另一種思路是探索新型的域名解析體系，避免在域名解析過程中訪問被美國實際控制的DNS根服務器。

　　實際上，國際上已經開展了對現有域名解析體系的替代方案的研究，如美國紐約大學沃爾克·科茲博士通過互聯網域名系統與傳統的電信系統的比較，提出了一個會使ICANN失去其無可替代地位的備選系統。并已向電聯WSIS工作組提交了報告。Karl Auerbach通過研究完成了建立“Multiple DNS Roots”的報告。Kilnam Chon完成了“Issues for Next Generation Root Servers”的報告。目前，除了不同的組織、研究機構或個人提交了多個研究報告以外，一些試圖替代現行域名解析系統的試驗系統也投入了測試，如Open NIC，New.Net，Name.Space等。

　　2.1　AlterNIC系統

　　1998年4月計算機專家Eugene Kashpureff創建了AlterNIC，一種新域名解析系統，由跨北美的八臺計算機(根服務器)組成，運行新的根域名目錄。這些根域名服務器不但能支持新的TLDs，還能與“舊”的TLDs保持一致。最大成就是把尋求“正規”跟名稱服務器的互聯網用戶重新路由到他自己的新目錄。

　　2.2　eDNS系統

　　1997年4月，增強域名系統(“eDNS”)進入試驗階段，它是現有DNS系統的替代品。這種系統使用自己的域名架構。其復雜的注冊系統可以保證任何機構都不能控制10個以上的TLDs。與此類似，還有象New.Net這樣的替代性根服務器，以6種不同的語言創建了160多個替代性的擴展名，包括象TLDs的.法律，.學校，.藝術，.教會。按照ICANN自己的說法，除了上面提到的例子外，還有很多人和機構進行了替代根域名服務器的研究與試驗。

　　上述試驗均表明：現有的域名解析系統并不是不能替代的。

3、新機制的基本思路

　　目前存在的域名服務系統是樹形結構，其存在一個主根服務器，其下有13個從根域名服務器(這些根域名服務器可以存在多個鏡像)，根域名服務器之下有gTLD和ccTLD頂級域服務器，這些服務器分別管理gTLD和ccTLD頂級域；在gTLD和ccTLD域的管理中也是一個以gTLD和ccTLD頂級域服務器為根的樹。

　　3.1　基本思路

　　由于存在一個單一的根服務器，因此不能從根本上避免通過對單一根服務器的管理來控制整個域名解析系統的問題。對于這個問題，我們提出一種可行的解決方案。這種方案的核心思想是：改變現有域名解析系統的單一樹狀結構(見圖1)，建立新型的“網狀+樹狀”的體系(見圖2)，即在各個ccTLD頂級服務器與gTLD頂級域服務器之間建立“邏輯對等網”，而在ccTLD域和gTLD域中繼續維持樹狀結構。域名的解析不再需要訪問根域名服務器，而是通過ccTLD/gTLD服務器之間的對等網來實現。以ccTLD域名的解析為例，該方案最大的優點在于對ccTLDo域名的解析不再需要訪問根域名服務器，而是通過ccTLD服務器之間的對等網來實現。從而避免了單點故障對整個域名解析系統的致命影響。按照這個方案現有的擁有ccTLD頂級域的243個國家和地區都可以擁有一個屬于自己的ccTLD國家級服務器，在每個ccTLD國家級服務器中均包含243條ccTLD的A記錄或A6/AAAA記錄，這些記錄以某種方式(如以協議的方式)保持同步。某個國家和地區對與其相關的ccTLD頂級域記錄的更改均要提前報互聯網管理機構(聯合國下的某個組織)批準并備案，在某一時間內所有243個國家和地區同時進行相應的修改，從而保持信息的一致性。

圖1　“樹狀”結構

圖2　“網狀+樹狀”結構 ~

　　同時，在所有的靠近用戶一端的DNS服務器中將其自身不能解析的ccTLD域名解析請求重定向到本國的ccTLD國家級域名服務器(可以通過修改本地DNS服務器中的“根服務器列表”的方式來實現，即把現有的“根服務器列表”的內容改為本國的ccTLD國家級域名服務器地址)，通過本國的ccTLD域名國家級服務器來實現ccTLD域名的解析。

　　這種方式避免了對根域名服務器的訪問，提高了互聯網域名解析的安全性。可以聯合一些國家和地區進行運行試驗，進一步檢驗此解決方案或其它解決方案的可行性和有效性。

　　對于gTLD域名的解析也可以同樣辦理。上文談及的“網狀+樹狀”的域名解析結構應用于gTLD也是可行的。

　　3.2　優勢分析

　　這種“樹狀”結構向“網狀+樹狀”結構的轉變，可以帶來如下好處：

　　(1)解析體系的安全性提高

　　互聯網域名解析系統的對DNS根服務器沒有依賴度關系，單點故障的影響被弱化，在ccTLD域名解析中，某個國家的國家級域名服務器出現故障，只能影響與本國域名相關的服務，不會造成全球癱瘓。

　　(2)域名解析性能提高

　　與現有的基于“樹狀”結構的域名解析過程相比，“網狀+樹狀”結構下的域名解析真正實現了負載均攤，域名查詢響應速度將大大提高。同時，各國可以根據實際情況，通過“任播”等方式實現對本國國家級域名服務器訪問的負載均攤。

　　(3)便于各國對有害信息的管理與控制

　　對于包含恐怖主義、兒童色情、反宗教、反人類等有害信息的訪問請求可以在本國內被過濾掉，有利于互聯網網絡世界的凈化。同時也有利于對垃圾郵件的管理和控制。

　　(4)與現有機制兼容，便于平滑過渡

　　新型的域名解析體系可以和現行體系兼容，即用戶的域名查詢請求可以繼續按照“根服務器—頂級域名服務器—二級域名服務器”的模式來解析。同時，也可以按照“頂級域名服務器——二級域名服務器”的模式來解析。這種兼容性使得現有的根服務器可以繼續保留，一方面其可以按照原有的機制，為用戶提供域名解析服務，保證域名解析體系的平穩過渡；另一方面，對于沒有能力來自己維護本國國家頂級域名服務器的國家，可以繼續按照現有機制來工作，不必增加這些國家的管理和維護負擔。

　　(5)ISP可以自主選擇兩種機制中的一種來為其用戶提供服務，支持“雙軌制”

　　就運營商(ISP)來講，通過對本地DNS服務器中配置文件(以BIND9.2.1的DNS服務器為例。此文件為named.conf)內容的設置來選擇究竟利用何種方式進行域名解析。如在配置文件中保留“根服務器列表”，則在本地DNS服務器不能對用戶的請求進行解析時，可以按照列表所提供的IP地址來訪問根服務器，即采用原有的解析體系。如將配置文件中的“根服務器列表”替換成“本國國家頂級域服務器列表”，則本地DNS服務器在不能完成解析時，將訪問指定的本國的國家頂級域服務器，從而避免對根服務器的訪問，即采用新機制來完成域名解析。

　　(6)現有的DNS服務器軟件不需要改動

　　現有的DNS服務器軟件不需要升級，而只是將DNS服務器中的相應DNS配置文件進行修改即可，主要是修改現有的“根服務器列表”，將其改為“本國的國家頂級域服務器列表”。

　　3.3　具體實施策略(數據同步策略)

　　在采用新機制時，需要重點解決不同頂級域服務器之間的數據同步問題，因為在頂級域服務器中保存了其它頂級域服務器的記錄，當一個頂級域服務器的信息(如IP地址)發生改變時，需要其它頂級域服務器進行修改。這種情況下的同步機制的實現有兩種方式：

　　(1)先以ccTLD的域名解析為試點，同意采用這種機制的幾個國家可以在某種協議的基礎上形成伙伴關系，這些國家可以就域名的管理問題制訂相應的管理辦法，其中就包括各國ccTLD服務器信息變動時的數據同步方法。在試驗成功以后，可以逐步吸收更多的國家簽署加入此協議，也遵從相應的管理辦法。同時也可以考慮，在這些共同遵從某協議的國家的基礎上。形成一個以主權國家為基礎的國際互聯網域名管理組織。

　　(2)如果ICANN同意采用此種機制，可以繼續由ICANN在操作層面來完成不同頂級域服務器之間進行數據同步的協調工作。而這種協調工作的管理權，由聯合國下的某個組織來掌握。

4、具體配置方法與解析流程

　　以ccTLD的域名管理為例來說明新機制的具體配置方法。gTLD的域名管理與此相似，可以類比施行。

　　(1)本地DNS服務器將不能自己解析的域名請求缺省定向到本國的國家級頂級域服務器。

　　(2)在本國的國家級頂級域服務器中保存243個國家級頂級域服務器的記錄。

　　國家級頂級域的下一級域名數量是有限的(共約243個)，也是相對固定的，發生變動的頻率會很低，因此可以在本國國家級服務器中以配置文件的方式來保存其它國家的國家級頂級域服務器的記錄，這樣在域名解析時就完全可以不必依賴于現有的根服務器。也就是說，完全可以在域名解析時不訪問DNS根服務器。在上述配置環境下，www.mynet.uk域名解析過程如圖3、圖4所示。


圖3　新機制下的互聯網域名遞歸查詢流程


圖4　新機制下的互聯網域名迭代查詢流程

5、結束語

　　本文對DNS根服務器的安全隱患進行了分析，這些安全性隱患主要包括：停止服務、虛假信息發布、訪問的重定向、消息篡改、信息監控和定點攻擊等。在此基礎上，本文對研究現有互聯網域名解析機制的替代辦法的必要性進行了分析；同時介紹了國際上的一些類似研究成果與試驗；最后，提出了一種新型的互聯網域名解析體系。這種解析體系將現行根服務器的“樹狀”分布結構改變為“網狀+樹狀”結構，這樣，在進行域名解析時，可以避免對現有根服務器的訪問，從而減少了單點故障的影響、消除性能瓶頸、有利于有害信息的管理，并且這種新機制與現有域名解析體系兼容，支持域名解析的“雙軌制”(用戶可以自主選擇利用哪種機制)，從而可以實現域名解析體系的平滑過渡。