【摘 要】對“斷網(wǎng)”討論的一個重點被聚焦在域名根服務(wù)器,一些“科普”的方式,某些“腦補”的形式,眾口一詞地認為“不用擔心”。其信誓旦旦的理由是:“我國已擁有域名根鏡像服務(wù)器”。事實上,這是一個悖逆科學(xué)真相的嚴重認知誤區(qū)。換句話說,應(yīng)對“斷網(wǎng)”的風(fēng)險和隱患,鏡像的域名根服務(wù)器不僅無濟于事,而且于事無補。本文可供網(wǎng)絡(luò)信息領(lǐng)域的專業(yè)技術(shù)人員、從業(yè)人員和監(jiān)管、監(jiān)察、審計、執(zhí)法人員作為科學(xué)論證的依據(jù)與參考。
一、概 述
習(xí)近平總書記在2020年9月的科學(xué)家座談會上指出:我國面臨的很多“卡脖子”技術(shù)問題,根子是基礎(chǔ)理論研究跟不上,源頭和底層的東西沒有搞清楚。域名空間是一個生態(tài)系統(tǒng)(ecosystem),其服務(wù)體系如圖1所示,其中“遞歸域名解析服務(wù)器”是域名空間的入口:雖然域名根服務(wù)器在域名解析服務(wù)中是一個重要的環(huán)節(jié),但在域名空間中僅當各個環(huán)節(jié)相互依存,方能構(gòu)成一個能夠可靠運行的生態(tài)系統(tǒng)。反之,任何一個環(huán)節(jié)出現(xiàn)安全問題,都可能導(dǎo)致域名解析服務(wù)中斷(“斷服”),或是網(wǎng)絡(luò)癱瘓(“斷網(wǎng)”)。據(jù)美國國防部術(shù)語詞典的定義,“供應(yīng)鏈”(Supply Chain)是:從原材料到向最終用戶提供成品和服務(wù)相關(guān)聯(lián)的(人的)活動。域名空間的生態(tài)系統(tǒng)可以被簡化為一個“供應(yīng)鏈”(圖2)。從圖1 和圖2 可見,域名空間是一個復(fù)雜的生態(tài)系統(tǒng)。而應(yīng)對“斷網(wǎng)”的風(fēng)險和隱患的本質(zhì)是:供應(yīng)鏈的安全和保障問題。因此,有必要澄清域名空間供應(yīng)鏈中的五個重要的關(guān)聯(lián)事實:事實1:鏡像的域名根服務(wù)器不能替代13個域名根系統(tǒng);事實2:鏡像的域名根服務(wù)器采集的數(shù)據(jù)絕大多數(shù)是“垃圾”;事實3:鏡像的域名根服務(wù)器采集的是不完整和不確定數(shù)據(jù);事實4:鏡像的域名根服務(wù)器沒有指揮和控制的能力;事實5:鏡像的域名根服務(wù)器受制于服務(wù)系統(tǒng)軟件。
結(jié)論:域名空間的應(yīng)用和服務(wù)是網(wǎng)絡(luò)通信的本源及指揮和控制的中樞,一旦發(fā)生“斷服”,即是“斷網(wǎng)”。應(yīng)對“斷服”的風(fēng)險和隱患,鏡像的域名根服務(wù)器不僅無濟于事,而且于事無補。
二、事實1:基于域名空間生態(tài)系統(tǒng)的基本配置,鏡像的域名根服務(wù)器不能替代13個域名根系統(tǒng)。
1)根提示文件(Root Hints File):當前,最終用戶設(shè)備通常將所有DNS查詢發(fā)送到遞歸解析服務(wù)器,該解析服務(wù)器在加入網(wǎng)絡(luò)時通過DHCP配置。或者,用戶可以將其設(shè)備配置為利用公共遞歸域名解析服務(wù)器(例如Google的8.8.8.8服務(wù)器)。遞歸域名解析服務(wù)器查詢授權(quán)的域名服務(wù)器,使用所謂的“根提示文件”引導(dǎo)查找授權(quán)域名服務(wù)器的過程。根提示文件包含所有13個命名的授權(quán)域名根服務(wù)器的列表,它們表示為a-root到m-root。對于每個命名的根,文件都包括域名服務(wù)器(NS記錄),以及域名服務(wù)器的IPv4地址(A記錄)和IPv6 地址(AAAA 記錄)。因此,根提示文件共有39個條目,大約3KB(3000字節(jié))。例如,A 根:有了這些信息,遞歸解析服務(wù)器可以從根開始查詢過程,并按照DNS響應(yīng)中的指示進行。例如,來自根名稱服務(wù)器的響應(yīng)將指示遞歸解析服務(wù)器聯(lián)系指定的頂級域名(TLD)服務(wù)器。根提示文件中的每個記錄的緩存時間(TTL)為360萬秒(約42天)。該文件在很大程度上是靜態(tài)的,但在某些情況下確實會發(fā)生變化,并且遞歸解析程序應(yīng)在根提示文件緩存時間到期后獲得一個新副本。分析表明,大量的遞歸域名解析服務(wù)器不會及時地更新其根提示文件。2)根區(qū)文件(Root Zone File):每個域名根服務(wù)器均根據(jù)根區(qū)文件的副本響應(yīng)查詢。該副本由因特網(wǎng)域名與數(shù)字地址分配機構(gòu)(ICANN)官方提供,由Verisign公司分發(fā)。域名根服務(wù)器不會直接響應(yīng)查詢請求,而是會將域名查詢的請求引導(dǎo)向頂級域名服務(wù)器,以獲取查詢域名中頂級域名的主機。例如,對“www.ccb.com”的查詢請求,域名根服務(wù)器將請求引導(dǎo)向“.com”的授權(quán)頂級域名服務(wù)器,繼而將請求引導(dǎo)向“ccb.com”的權(quán)威域名服務(wù)器。自2009年4月28日以來,研究人員每天在根區(qū)文件中存檔一個記錄。圖3顯示了每月15號在根區(qū)中的記錄數(shù)。該圖顯示,經(jīng)過一段時間的穩(wěn)定之后,根區(qū)文件中的記錄數(shù)量在2014年初至2017年初之間增長了五倍。這是由于頂級域名(TLD)數(shù)量增加所致,而2013年6月15日為317個TLD在2017年6月15日達到1,534個TLD。經(jīng)過這段時期的增長,規(guī)模已穩(wěn)定到大約22,000個。當前的根區(qū)文件大約為2.1MB(兆字節(jié))。目前, 根區(qū)文件中的NS,A和AAAA記錄的TTL為兩天(172,800秒)。因此,遞歸解析服務(wù)器可以緩存來自域名根服務(wù)器的響應(yīng),并在兩天之內(nèi)繼續(xù)使用,以響應(yīng)來自終端用戶設(shè)備的域名查詢請求,而無須訪問頂級域名服務(wù)器,故不存在所謂的域名解析服務(wù)的“加速”(speed up)。根區(qū)文件是公開的,可以下載(約2.1兆字節(jié))。其中的頂級域名(TLD)包括:國家/地區(qū)頂級域名(ccTLD),通用頂級域名(gTLD),新通用頂級域名(ngTLD),會經(jīng)常發(fā)生變化,或更改域名服務(wù)器集(域名或IP地址)。相應(yīng)的問題是:如何確定根區(qū)文件是更新的?此外,DNSSEC規(guī)范的主要作用是,當對根區(qū)文件中的所有記錄進行驗證時,需要一個根區(qū)DNSSEC密鑰的副本,密鑰隨著時間而改變。故另一個問題是:如何確保根區(qū)文件內(nèi)容的真實性?因此,獲取根區(qū)文件并不難,而重要的是:根區(qū)文件內(nèi)容的合規(guī)性和可用性受到驗證和約束,不允許“為所欲為”。雖然只有13個命名的授權(quán)域名根服務(wù)器系統(tǒng), 但是每個命名的域名根服務(wù)器系統(tǒng)都通過任播(Anycast)路由設(shè)置,由多個“副本”(設(shè)置的站點和節(jié)點)組成。在2019年5月15日,統(tǒng)計了985個域名根服務(wù)器節(jié)點。圖4顯示了自2015年3月以來每個月15日的節(jié)點數(shù)量。由e-根和f-根引起的節(jié)點數(shù)量有幾次大跳躍:(a)在2016年1月至2月之間,e-根增加了45個節(jié)點,
(b)在2017年4月至5月之間f-根添加了81 個節(jié)點,(c)在2017年11月至12月之間,e-根添加了85個節(jié)點,f-根添加了43個節(jié)點。
除了這些大的跳躍之外,該圖還表明:伴隨域名根服務(wù)器節(jié)點的數(shù)量增加,成本也隨著時間的推移穩(wěn)步增長。域名根系統(tǒng)的“副本”由“站點”(Site)和“節(jié)點”(Instance)組成,在同一個“站點”中可以有多個“節(jié)點”。例如:a-域名根系統(tǒng)有16個“站點”及53個“節(jié)點”。截至2020年12月21日,13個域名根系統(tǒng)在全球共有1143個“站點”,1367個“節(jié)點”。請注意,由十二個不同的機構(gòu)或企業(yè)運營的13個域名根服務(wù)器,每個機構(gòu)或企業(yè)都有各自設(shè)置站點(和節(jié)點)的策略和意圖。同時,在全球各地設(shè)置的“站點”和“節(jié)點”,需要滿足“前提條件”,以及受到簽署和承諾的相關(guān)協(xié)議條款的約束,而并不是所屬地的“自治系統(tǒng)”(即不是域名根系統(tǒng)的所屬權(quán)被轉(zhuǎn)移或讓渡)。因此,在中國大陸不斷增加域名根系統(tǒng)的“站點”(和“節(jié)點”),在應(yīng)用上有助于提高因特網(wǎng)域名根系統(tǒng)的穩(wěn)定性和可用性,也以增加自身的成本為因特網(wǎng)作出了貢獻,但是作為“副本”沒有替代域名根的可能性。
三、事實2:基于對域名根服務(wù)器數(shù)據(jù)流量的研究和分析,域名根服務(wù)器鏡像的數(shù)據(jù)絕大多數(shù)是“垃圾”。
相關(guān)的研究和分析表明,在到達域名根服務(wù)器的查詢請求中有95%以上是虛假的。例如,在2008年,專家們研究了八個域名根服務(wù)器的服務(wù)數(shù)據(jù),分析結(jié)論是:只有1.8%的域名查詢請求是有效的。國際計算機科學(xué)研究院(ICSI,位于美國加利福尼亞州伯克利,是一個獨立的非營利性研究機構(gòu)),在2019年10月對該結(jié)論進行了驗證。為此,利用了由j-根提供的數(shù)據(jù)集:分布在世界各地的142個j-根的節(jié)點,2018年4月11日的24小時流量。雖然這個分析僅是13個根服務(wù)器系統(tǒng)之一的數(shù)據(jù),但之前大量研究和分析表明,到達域名根系統(tǒng)的數(shù)據(jù)流量類型在各個域名根系統(tǒng)之間是相當一致(均勻)的。● j-根在24小時內(nèi)接收了約57億個域名查詢請求,即平均每秒約有6.6萬個域名查詢請求。● 域名查詢請求來自410萬個遞歸解析服務(wù)器(不同的IP地址)。但是有72.3萬個遞歸解析服務(wù)器僅查詢虛假的頂級域名,這意味著最多只有340萬遞歸解析服務(wù)器進行有用的工作。● 與之前的研究結(jié)論相同,分析發(fā)現(xiàn)大部分請求都是“垃圾”,有35億條是虛假頂級域名查詢,占比61.0%。此外,假設(shè)遞歸解析服務(wù)器具有理想的緩存(故,遞歸解析服務(wù)器對同一頂級域名的查詢請求在24小時的數(shù)據(jù)集中僅應(yīng)出現(xiàn)一次),所以另外的22億條查詢請求(占比38.4%)是無效的。這種情況下,虛假的查詢(61.0%)和無效的請求(38.4%),表明有效的域名查詢請求僅有0.5%。● 如果放寬對理想緩存的假設(shè),而是允許遞歸解析服務(wù)器每15分鐘可以重復(fù)對相同頂級域名的有效查詢請求,則無效請求的數(shù)量為20億條(35.7%)。在這種情況下,對虛假的查詢(61.0%)和無效的請求(35.7%),表明有效的域名查詢請求僅有3.3%。或,在57億條域名查詢請求中,僅有1.87億條域名查詢請求是有效的。這意味著,j-根的每個節(jié)點平均每秒處理大約15個有效域名查詢請求。
這證明了,之前多源研究的結(jié)論仍然成立:到達域名根服務(wù)器(包括所設(shè)置的站點和節(jié)點)的絕大多數(shù)數(shù)據(jù)流量都是垃圾(junk)。
四、事實3:基于域名解析的不可逆過程,鏡像的域名根服務(wù)器采集的是不完整和不確定數(shù)據(jù)。
如事實1所述,遞歸域名解析服務(wù)器配置了根提示文件(Root Hints File),并根據(jù)具體(或不同的)算法,在13個根域名系統(tǒng)(及其站點和節(jié)點)之間輪詢。這就是說,域名根服務(wù)器所接收的域名查詢請求,來自于遞歸域名解析服務(wù)器(圖1),也是域名空間的入口。根據(jù)對全球因特網(wǎng)公共(遞歸)域名服務(wù)器的監(jiān)測統(tǒng)計,截至2020年12月21日(4:03),中國大陸擁有公共遞歸域名解析服務(wù)器(僅僅監(jiān)測和統(tǒng)計53端口/UDP)的數(shù)量為768,103臺,占全球總數(shù)的40.35%。而且,這個數(shù)量是在動態(tài)變化的,例如:10月22日的數(shù)量為1,106,552臺,占全球總數(shù)的46.18%。因此,不得不必須面對一個嚴峻的事實:中國域名空間的入口是完全敞開的,處于良莠不齊的混沌狀況和監(jiān)管缺失的狀態(tài)。是誰以及為誰提供如此(異常)大規(guī)模及動態(tài)變化的公共遞歸域名解析服務(wù)?換句話說,鏡像的域名根服務(wù)器的響應(yīng)和服務(wù)是被動的(依賴于遞歸域名解析服務(wù)),在開放的域名空間入口,有多少有效的域名查詢請求會指向鏡像的域名根服務(wù)器,完全未知;因而其采集(和存儲)的是不完整和不確定數(shù)據(jù),故其作為應(yīng)急備份也是盲目的!那么,為“公共”服務(wù)的動機和意圖又是什么?
五、事實4:基于域名解析的層次化結(jié)構(gòu),鏡像的域名根服務(wù)器沒有指揮和控制的能力。
域名根服務(wù)器的應(yīng)用功能是,按“根區(qū)文件”(Root Zone File)把接收到的域名查詢請求,推送(referral)到頂級域名服務(wù)器(圖1)。根據(jù)中國信息通信研究院的報告(信通院2020-6),截至2019年12月,我國域名注冊市場規(guī)模為5,108.8萬個,其中,國家頂級域“.CN”域名2,300萬個;“.COM”域名1,566萬個;合計占我國域名市場的75.7%。活躍域名數(shù)量分布:從圖5可見,我國活躍域名的解析超過91%依賴于境外服務(wù)。其中,運營頂級域名“.COM,.NET,.CC,.TV,.NAME”的Verisign公司,也是管理域名根A和J 的運營商,并且是作為美國國家電信和信息管理局(NTIA)管理域名空間的合約代理商。這就是說,在應(yīng)急響應(yīng)時,鏡像的域名根服務(wù)器不得不把絕大多數(shù)接收到的有效域名查詢請求,“推送”到境外的頂級域名服務(wù)器(如.COM)。顯然,假設(shè)境外的域名根服務(wù)器對中國“斷服”了,而頂級域名服務(wù)器卻仍然提供對中國的“服務(wù)”,怎么可能?近乎荒謬。所以,鏡像的域名根服務(wù)器沒有實用性和實戰(zhàn)性!
六、事實5:基于經(jīng)驗和教訓(xùn)以及現(xiàn)狀,鏡像的域名根服務(wù)器受制于服務(wù)系統(tǒng)軟件。
據(jù)了解,中國大陸的域名系統(tǒng)(DNS)服務(wù)軟件以采用開源和免費的模式為主,包括以“自研代碼”包圍“開源代碼”的“馬甲”(workaround)式二次開發(fā)。最近,“太陽風(fēng)”(Solarwinds)網(wǎng)管軟件被認為遭到“供應(yīng)鏈攻擊”,迫使全球各國重新認識在網(wǎng)信安全領(lǐng)域中的“供應(yīng)鏈安全”。雖然“供應(yīng)鏈”的表面形式是有形的物(包括技術(shù)),但是其本質(zhì)和實質(zhì)是人的因素(包括政治和意識形態(tài)使然)。以開源和免費的DNS軟件BIND為例。2000年由美國國土安全部資助開發(fā)的BIND版本9(BIND9),從2004年1月28日的第一個版本(BIND 9.0.0)到2020年9月17日(BIND 9.17.5),共計發(fā)布了634個版本,其中2020年(至9月17日)發(fā)布了15個版本。BIND軟件版本的生命周期一般為1年。但是,已知國內(nèi)有相當多的單位和企業(yè)仍然在使用已被廢棄的BIND軟件版本,甚至所使用的BIND軟件(數(shù)年前)版本號仍在網(wǎng)絡(luò)中裸露著。另一方面,BIND軟件版本不斷地被發(fā)現(xiàn)高危的安全漏洞,僅2019年公開發(fā)布的漏洞補丁(CVE)就是17個,不包括一般性的代碼錯誤。如果沒有及時下載補丁,等同于開放被入侵的大門。但是,投入和花費資源維護“免費”DNS 軟件的單位和企業(yè)卻并不多見。必要和必須的技術(shù)、行政、執(zhí)法監(jiān)管普遍不及時、不完善、不嚴謹或原本就不落實。尤其是,并不能排除軟件中固有的“暗樁”、尚未公開的漏洞,或在下載開源軟件的過程中被植入或夾帶了病毒。在這樣的域名應(yīng)用和服務(wù)環(huán)境中,鏡像的域名根服務(wù)器怎么可能“獨善其身”!綜上,從知彼(和對標)的角度,2014年7月,美國國家安全局(NSA)發(fā)起了“安全的科學(xué)”(簡稱SOS)計劃,持續(xù)至今。SOS計劃明確界定:網(wǎng)信安全領(lǐng)域是一門新興的、跨學(xué)科的、整體的知識體系,旨在作為一項持續(xù)發(fā)展的長期研究工作。因此,(網(wǎng)信)“安全的科學(xué)”既沒有唯一的路徑,也沒有任何捷徑。科學(xué)是證偽的過程。所述的五個事實都可以充分證明,鏡像的域名根服務(wù)器,不能也無法應(yīng)對潛在的“斷服”(或“斷網(wǎng)”)風(fēng)險。重新審視應(yīng)對“斷服”(“斷網(wǎng)”)的方案和措施,對于堅持維護國家主權(quán)、安全、發(fā)展利益十分迫切、至關(guān)重要。悖逆科學(xué)事實和常識的“鏡像替代”論,“早有準備”和“不用擔心”說,當休矣!(作者:邱實,網(wǎng)絡(luò)信息安全和工程技術(shù)專家;牟承晉,中國移動通信聯(lián)合會國際戰(zhàn)略研究中心主任,昆侖策研究院高級研究員,浙江省北斗未來網(wǎng)際網(wǎng)絡(luò)空間研究院首席研究員。來源:昆侖策網(wǎng)【原創(chuàng)】)
【本公眾號所編發(fā)文章歡迎轉(zhuǎn)載,為尊重和維護原創(chuàng)權(quán)利,請轉(zhuǎn)載時務(wù)必注明原創(chuàng)作者、來源網(wǎng)站和公眾號。閱讀更多文章,請點擊微信號最后左下角“閱讀原文”】
【昆侖策研究院】作為綜合性戰(zhàn)略研究和咨詢服務(wù)機構(gòu),遵循國家憲法和法律,秉持對國家、對社會、對客戶負責(zé),講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現(xiàn)中華民族偉大復(fù)興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網(wǎng)》,網(wǎng)址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學(xué)習(xí)參考;
2、本站屬于非營利性網(wǎng)站,如涉及版權(quán)和名譽問題,請及時與本站聯(lián)系,我們將及時做相應(yīng)處理;
3、歡迎各位網(wǎng)友光臨閱覽,文明上網(wǎng),依法守規(guī),IP可查。
戴旭談馬云:最終結(jié)局令人不寒而栗!
喬新生:中國應(yīng)當修建更多的水壩
唐大振:打通“三門”、不負人民
