全球根域名管理機(jī)構(gòu)主席澄清關(guān)于根服務(wù)器若干傳言

來(lái)源: 時(shí)間:2020-08-26


Fred Baker
ICANN 根服務(wù)器系統(tǒng)咨詢(xún)委員會(huì)(RSSAC)主席
前IETF主席

  根服務(wù)器的管理機(jī)構(gòu)可輕易修改根區(qū)文件內(nèi)容甚至可移除特定的頂級(jí)域?目前全世界僅有13個(gè)根服務(wù)器?此類(lèi)針對(duì)根域名服務(wù)器的傳言一直不休,在日前舉行的2020年北京網(wǎng)絡(luò)安全大會(huì)上,根服務(wù)器系統(tǒng)咨詢(xún)委員會(huì)(Root Server System Advisory Committee ,RSSAC)主席Fred Baker回應(yīng)了這些問(wèn)題。

  Fred Baker表示,關(guān)于互聯(lián)網(wǎng)域名系統(tǒng)的根服務(wù)器,目前流傳著許多不同版本的傳言,但這些傳言都不準(zhǔn)確。

  根服務(wù)器系統(tǒng)及相關(guān)機(jī)構(gòu)

  Fred Baker在報(bào)告中重申了域名系統(tǒng)的運(yùn)行原理:先從根服務(wù)器節(jié)點(diǎn)獲得域名頂級(jí)域(如“.cn”)信息的索引。而通過(guò)頂級(jí)域的權(quán)威服務(wù)器可獲得二級(jí)域名的索引。其后,在二級(jí)域名的權(quán)威服務(wù)器上,可獲得各個(gè)域名所對(duì)應(yīng)的服務(wù)器IP地址,或者是域名所屬的子域名。

  根服務(wù)器系統(tǒng)在運(yùn)行過(guò)程中,首先需要獲得根區(qū)文件,然后將其分發(fā)到根服務(wù)器的運(yùn)行管理機(jī)構(gòu),根服務(wù)器節(jié)點(diǎn)將對(duì)全球域名服務(wù)器所發(fā)起的查詢(xún)請(qǐng)求進(jìn)行響應(yīng)。全球目前可能分布著超過(guò)一萬(wàn)臺(tái)域名解析服務(wù)器。根區(qū)文件維護(hù)者(Root Zone Maintainer)根據(jù)從互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA)獲取的文件提供根區(qū)數(shù)據(jù)。

  目前,一共有12家相互獨(dú)立的企業(yè)或者組織機(jī)構(gòu)在負(fù)責(zé)管理運(yùn)行域名系統(tǒng)根服務(wù)器節(jié)點(diǎn)。其中的一些組織實(shí)際上隸屬于美國(guó)軍方,它們不屬于公司或企業(yè),這類(lèi)組織需要區(qū)別對(duì)待。例如,美國(guó)國(guó)防部網(wǎng)絡(luò)信息中心(Network Information Center,NIC),它是負(fù)責(zé)運(yùn)行管理根服務(wù)器節(jié)點(diǎn)的機(jī)構(gòu)之一。此外,還有一些組織機(jī)構(gòu)分布在斯德哥爾摩、阿姆斯特丹以及東京,主要是歐洲技術(shù)社群,而WIDE項(xiàng)目管理著日本的根服務(wù)器節(jié)點(diǎn)。

  1983年,IETF的RFC 882和RFC 883兩個(gè)文檔對(duì)互聯(lián)網(wǎng)域名系統(tǒng)DNS進(jìn)行了描述與定義。1984-1985年,早期根域名系統(tǒng)于美國(guó)建成,該系統(tǒng)由四臺(tái)服務(wù)器組成,它們分別使用四個(gè)獨(dú)立的IP地址。此后,隨著互聯(lián)網(wǎng)的發(fā)展,根服務(wù)器的數(shù)量經(jīng)歷了多次增加。1987年,新增三臺(tái)服務(wù)器,1991年新增一臺(tái),1993年又增加一臺(tái),1998年再增四臺(tái)。至此,根服務(wù)器系統(tǒng)增加至13臺(tái),并各自擁有1個(gè)IP地址。

  當(dāng)時(shí),分發(fā)根域名服務(wù)器地址的人是 Jon Postel (注:被譽(yù)為互聯(lián)網(wǎng)之神),他邀請(qǐng)不同機(jī)構(gòu)共同運(yùn)維根域名服務(wù)器,并長(zhǎng)期負(fù)責(zé)管理互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(Internet Assigned Numbers Authority,IANA)。Jon Postel去世(1998年)之后,沒(méi)人了解該如何新增根服務(wù)器的入口,或如何修改變動(dòng)根服務(wù)器。

  在此情況下,根服務(wù)器系統(tǒng)咨詢(xún)委員會(huì)RSSAC運(yùn)行管理根域名服務(wù)器系統(tǒng)將近20年。

  期間面臨一個(gè)非常重要問(wèn)題是:如何設(shè)計(jì)完善運(yùn)行流程,以轉(zhuǎn)變DNS系統(tǒng)面臨的困難局面。經(jīng)過(guò)多次討論和實(shí)踐,根服務(wù)器系統(tǒng)不斷演進(jìn),最終形成當(dāng)前規(guī)模。截至2020年8月1日,DNS根服務(wù)器系統(tǒng)共有1086個(gè)根服務(wù)器節(jié)點(diǎn)。

  引入數(shù)字簽名技術(shù)

  在過(guò)去十幾年中,互聯(lián)網(wǎng)工程任務(wù)組(The Internet Engineering Task Force,IETF)已經(jīng)對(duì)根區(qū)文件的信息做出了一系列優(yōu)化與改進(jìn)。其中一項(xiàng)極為重要的變化是,使用數(shù)字簽名技術(shù)來(lái)保障域名系統(tǒng)的安全性,即DNS安全擴(kuò)展(Domain Name System Security Extensions,DNSSEC)的引入。目前幾乎所有頂級(jí)域均已支持DNSSEC,并且其中有許多頂級(jí)域?qū)λ亩?jí)域名進(jìn)行簽名,許多二級(jí)域名進(jìn)一步對(duì)其子域名進(jìn)行簽名。

  數(shù)字簽名的主要功能是驗(yàn)證用戶(hù)所接收的信息是否準(zhǔn)確。當(dāng)某個(gè)客戶(hù)端發(fā)起域名查詢(xún)請(qǐng)求時(shí),可能會(huì)被劫持或轉(zhuǎn)發(fā)到未經(jīng)授權(quán)的根服務(wù)器管理者,導(dǎo)致域名響應(yīng)的內(nèi)容與互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA)所提供的信息不一致,造成所謂的DNS偽造攻擊。

  如何檢測(cè)這類(lèi)攻擊?如何才能知道應(yīng)答響應(yīng)的內(nèi)容是否合法?解決方案是對(duì)數(shù)字簽名的內(nèi)容進(jìn)行校驗(yàn)。如果數(shù)字簽名是偽造的,就意味著應(yīng)答內(nèi)容是非法的。通常,域名解析服務(wù)器負(fù)責(zé)驗(yàn)證數(shù)字簽名記錄。除了域名解析服務(wù)器之外,任何發(fā)起域名查詢(xún)的設(shè)備、系統(tǒng)均有權(quán)利,RSSAC也強(qiáng)烈建議其去校驗(yàn)DNSSEC的數(shù)字簽名記錄。

  根域名系統(tǒng)管理的十一項(xiàng)原則

  2014年,Steve Crocker(ICANN董事會(huì)主席)曾向RSSAC提出一個(gè)問(wèn)題:該如何解決Jon Postel先生去世之后管理根區(qū)文件規(guī)范流程的缺失?

  2015年,RSSAC委員會(huì)相聚在工作組討論這一問(wèn)題,并從當(dāng)年9月開(kāi)始,召開(kāi)了一系列的研討會(huì),最終形成了一份技術(shù)報(bào)告,也即RSSAC037文檔。該報(bào)告內(nèi)容可在網(wǎng)上查閱,其中的一項(xiàng)重要內(nèi)容是提出管理根服務(wù)器系統(tǒng)所應(yīng)依據(jù)的11條原則,具體內(nèi)容如下:

  (1)為了維護(hù)一個(gè)全球性的互聯(lián)網(wǎng),需要一個(gè)全球統(tǒng)一的域名系統(tǒng),從而使用戶(hù)在不同地區(qū)或使用不同域名解析服務(wù)器時(shí),對(duì)于相同索引內(nèi)容總能獲得相同解析結(jié)果。

  (2)IANA是DNS根數(shù)據(jù)的來(lái)源。

 ?。?)根服務(wù)器系統(tǒng)必須是穩(wěn)定可靠、富有彈性的平臺(tái),能夠?yàn)樗杏脩?hù)提供域名解析服務(wù)。

 ?。?)根服務(wù)器操作的多樣性是整個(gè)系統(tǒng)的優(yōu)勢(shì)。如果所有人都使用完全相同的軟件,當(dāng)域名系統(tǒng)出現(xiàn)故障時(shí),所有人都會(huì)遇到此類(lèi)故障,將導(dǎo)致非常嚴(yán)重的安全事故。因此,多樣性是一項(xiàng)基本的設(shè)計(jì)原則:需要操作不同的DNS軟件,使用不同的硬件設(shè)備,使用不同的網(wǎng)絡(luò)獲取數(shù)據(jù)。多樣性是加強(qiáng)系統(tǒng)健壯性的重要因素。

 ?。?)體系結(jié)構(gòu)的變化應(yīng)該來(lái)自于技術(shù)的發(fā)展和已證明的技術(shù)需求。

 ?。?)IETF定義DNS協(xié)議的技術(shù)操作。所有改變的驅(qū)動(dòng)力都應(yīng)源自技術(shù)層面,而技術(shù)上的推陳出新多由互聯(lián)網(wǎng)工程任務(wù)組(IETF)發(fā)起。

  剩余的五項(xiàng)原則均直接面向根服務(wù)器系統(tǒng)的運(yùn)行管理機(jī)構(gòu)(RSOs)。

  (7)RSOs必須以誠(chéng)信正直的精神來(lái)維護(hù)互聯(lián)網(wǎng)的共同利益。

 ?。?)RSOs必須保持透明。作為一個(gè)互聯(lián)網(wǎng)組織機(jī)構(gòu),要保持透明,能夠說(shuō)到做到。

 ?。?)RSOs必須與利益相關(guān)方合作,并鼓勵(lì)其參與。在IETF和ICANN的組織架構(gòu)下,RSOs不僅需要與客戶(hù)以及合作者積極溝通,也需要吸引并鼓勵(lì)技術(shù)社群中的利益相關(guān)方一起參與。

 ?。?0)RSOs必須保持自身的自主性和獨(dú)立性。不應(yīng)受到任何一個(gè)派別的操控。根服務(wù)器系統(tǒng)的運(yùn)行管理機(jī)構(gòu)其實(shí)是高度獨(dú)立的。盡管其中一些機(jī)構(gòu)屬于美國(guó)政府,但是并非由政府來(lái)運(yùn)作的。

 ?。?1)RSOs必須保持中立與公正,并提供必要的(從IANA獲取的)信息。

  關(guān)于根服務(wù)器系統(tǒng)的不實(shí)傳言

  Fred Baker表示,關(guān)于互聯(lián)網(wǎng)域名系統(tǒng)的根服務(wù)器,目前流傳著許多不同傳言,但這些傳言都不準(zhǔn)確。

  一種說(shuō)法是,域名系統(tǒng)根服務(wù)器可以控制互聯(lián)網(wǎng)流量的轉(zhuǎn)發(fā)路徑。但事實(shí)并非如此,根服務(wù)器不會(huì)控制任何其他事項(xiàng),它只負(fù)責(zé)分發(fā)根區(qū)文件的信息。數(shù)據(jù)包轉(zhuǎn)發(fā)的過(guò)程路徑信息是由互聯(lián)網(wǎng)路由器所決定的。

  第二種說(shuō)法是,根服務(wù)器的管理機(jī)構(gòu)可以輕易地修改根區(qū)文件的內(nèi)容,甚至可移除特定的頂級(jí)域。假如服務(wù)器通過(guò)修改配置,拒絕響應(yīng)用戶(hù)所發(fā)起的查詢(xún)請(qǐng)求,上述說(shuō)法某種程度上可算是成立的。但通過(guò)驗(yàn)證DNSSEC的數(shù)字簽名,可輕易發(fā)現(xiàn)此類(lèi)篡改行為。一旦DNSSEC校驗(yàn)失敗,便可得知解析結(jié)果并非源自互聯(lián)網(wǎng)號(hào)碼分配機(jī)構(gòu)(IANA),被篡改的內(nèi)容也會(huì)被直接拋棄。因此,盡管理論上而言,根服務(wù)器節(jié)點(diǎn)可修改根區(qū)文件數(shù)據(jù),但修改后無(wú)法通過(guò)DNSSEC數(shù)字簽名的校驗(yàn)。

  第三種說(shuō)法認(rèn)為,管理根區(qū)文件數(shù)據(jù)和提供解析服務(wù)是一樣的。但二者并不相同,管理主要涉及數(shù)據(jù)存儲(chǔ)和使用規(guī)則的制定等,而解析則是對(duì)數(shù)據(jù)內(nèi)容的響應(yīng)。

  第四種說(shuō)法認(rèn)為,某些特定的根服務(wù)器比其它根服務(wù)器更為重要。這種說(shuō)法也不正確。實(shí)際上所有的根服務(wù)器的運(yùn)行管理機(jī)構(gòu)是完全平等的。用戶(hù)可以向其中任意一個(gè)發(fā)起域名查詢(xún)請(qǐng)求,最終得到的結(jié)果也將完全相同。

  第五種說(shuō)法是,目前僅存在13個(gè)根服務(wù)器。實(shí)際上,全球共有超過(guò)1000個(gè)根服務(wù)器節(jié)點(diǎn),但是這些根服務(wù)器節(jié)點(diǎn)共享13個(gè)名稱(chēng)(identities),分別對(duì)應(yīng)著負(fù)責(zé)運(yùn)行管理的組織機(jī)構(gòu)。

  第六種說(shuō)法認(rèn)為,ICANN控制了所有根服務(wù)器運(yùn)行管理機(jī)構(gòu)。顯然不是這樣。因?yàn)楦?wù)器的管理機(jī)構(gòu)比ICANN存在的時(shí)間還要長(zhǎng)。而且根服務(wù)器管理單位RSSAC也僅有少數(shù)人從屬于ICANN。

  Fred Baker表示,根服務(wù)器系統(tǒng)的運(yùn)行管理機(jī)構(gòu),必須以誠(chéng)信正直的精神來(lái)維護(hù)互聯(lián)網(wǎng)的共同利益。同時(shí),根服務(wù)器的運(yùn)行管理機(jī)構(gòu),必須保持自身的獨(dú)立性,他們不應(yīng)當(dāng)受到任何一個(gè)派別的操縱。

  “根服務(wù)器系統(tǒng)的運(yùn)行管理是高度獨(dú)立的,盡管其中一些機(jī)構(gòu)屬于美國(guó)政府,但他們并不是由政府來(lái)運(yùn)作旳。” Fred Baker表示。

 ?。ū疚恼碜訤red Baker在2020年北京網(wǎng)絡(luò)安全大會(huì)上的報(bào)告)

  相關(guān)背景:

  根服務(wù)器系統(tǒng)咨詢(xún)委員會(huì)(Root Server System Advisory Committee,RSSAC)是ICANN技術(shù)社群的10個(gè)技術(shù)委員會(huì)之一,其成員主要為互聯(lián)網(wǎng)域名系統(tǒng)根服務(wù)器的創(chuàng)始者。該委員會(huì)的使命是成為聯(lián)系技術(shù)社群、董事會(huì)以及域名根服務(wù)器利益相關(guān)方的溝通渠道,主要負(fù)責(zé)提供與域名系統(tǒng)根服務(wù)器相關(guān)的咨詢(xún)和建議。因此,RSSAC重點(diǎn)關(guān)注根服務(wù)器系統(tǒng)的工作機(jī)制,以及如何更好地服務(wù)ICANN技術(shù)社群等問(wèn)題。

  RSSAC由負(fù)責(zé)運(yùn)行全球根服務(wù)的組織的代表組成。

  2013年7月18日,ICANN董事會(huì)批準(zhǔn)了RSSAC的初始成員和領(lǐng)導(dǎo)層,并于2014年6月26日任命了新的代表。(詳情見(jiàn)https://www.icann.org/groups/rssac )