您好!今天是:2025年-4月23日-星期三
牟承晉:環環相扣,步步緊逼,美國強化和深化因特網控制指揮 ——EDNS“執行日”的辨析
點擊:2801 作者:牟承晉 來源:昆侖策網【原創】 發布時間:2019-01-09 09:26:39
一、網絡術語簡介
DNS,Domain Name System的簡稱,中文稱“域名系統”。上世紀80年代初美國開發的因特網(Internet)域名和IP地址相互映射的服務器系統,是將域名轉換成為網絡可以識別的IP地址的系統。
EDNS,“域名系統擴展機制”的英文簡稱。由于基本域名系統協議中可用的幾個標志位、返回代碼和標簽類型的字段限制,阻礙了對某些期望功能的支持,1999年,美國因特網工程任務組(IETF)建議擴展域名系統以允許新的標志和響應代碼,并保持兼容性。IETF在1999年發布建議標準RFC2671,2013年4月修改后出臺正式標準RFC6897。
DNSSES,“域名系統安全擴展”的英文簡稱。專指IETF制定的一系列域名系統安全認證的機制(RFC2535),提供了域名系統來源鑒定和域名系統數據完整性的擴展,但是并不能夠保障可用性、加密性和證實域名不存在。北京時間2018年10月12日零點,美國因特網域名與數字地址分配機構(ICANN)主導,實施了因特網歷史上第一次域名根區密鑰(KSK,密鑰簽名密鑰)翻轉,更換了用于驗證DNSSES響應一致性的單一信任根。
BIND,域名解析的系統軟件英文簡稱(統稱)。美國國防部國防高級研究計劃局(DARPA)1980年資助加州大學伯克利分校的4個研究生開發,后由美國因特網系統聯盟(ISC)接管。BIND已成為因特網域名系統應用的“事實標準”(de facto Standard),并主導著因特網域名系統應用的軟件市場。
二、“執行日”之前先配換鑰匙
1999年,美國因特網工程任務組就建議擴展域名系統,要求定義、區別和監控偽資源記錄(Pseudo-RR),應用目的主要是實現域名系統安全擴展EDNS,以及用于向域名解析服務器發送用戶終端的地理位置信息等。
2016年3月,由美國商務部隸屬的國家通信與信息管理局(NTIA)、因特網域名與數字地址分配機構(ICANN)和全球最大的提供智能信息基礎設施服務企業Verisign作為域名根區管理者,牽頭完成“域名根區KSK(密鑰簽名密鑰)更換計劃”。
2018年10月12日,ICANN主導實施的域名根區密鑰(KSK,密鑰簽名密鑰)翻轉,是因特網歷史上的第一次。盡管美國宣布以后每年都要進行翻轉,許多人仍認為不過是“虛驚一場”,不以為然。
更有人認為,“互聯網的關鍵核心技術是互聯網體系結構”,“互聯網離開DNS,仍然可以正常工作”,“互聯網‘DNS根服務器’不是‘核按鈕’”等。
上圖顯示“域名應用的DNS潛在漏洞”。域名系統指揮控制網絡運行的過程中,面臨網絡結構無處不在、隨時可能發生的潛在漏洞。就好像一棟已經交付使用的摩天大廈,“四面漏縫、八方透風”。域名系統DNS在網絡中發揮著支撐全網運行的核心、樞紐作用,是控制全網“水、電和通道”的指揮、引導系統,牽一發動全局,堵一處亂全樓。顯然,確保域名系統DNS的安全運行、可靠指揮、嚴密控制,在網絡基礎設施的整體結構中至為關鍵、重要。
DNS的架構是層次化的;DNS的應用既是網絡信令,對用戶又是透明的。2008年,DNS緩存受到“投毒”攻擊的事件曾引發全球的高度關注。此后,又發生一系列針對DNS(如放大攻擊)或利用DNS(如指揮控制)頻發的網絡安全事件,并逐漸成為網絡安全事件的主流趨勢。通過利用在DNS中存在的漏洞與相關技術的結合,攻擊者已經大大縮短了劫持DNS過程的任一步驟所需的時間,從而可以快速地取得對DNS會話的控制以實施某種惡意操作。例如,故意引導或誘使用戶進入攻擊者自己設立的欺騙性網站,利用不可逆的“篩子漏洞”效應,收集用戶的賬戶和密碼等。
“篩子漏洞”示意圖:
攻擊DNS能夠成功的原因,主要是由于DNS應用無法驗證所收到的請求和響應信息的真實性。DNSSEC利用密碼技術,提供了一種可以驗證應答信息真實性和完整性的機制,即可以驗證所收到的應答(包括域名不存在的應答)是否來自于真實的服務器,或者是否在傳輸過程中被篡改過。也就是說提供了DNSSEC用于驗證信息真實性和完整性的一連串專用鑰匙,為了防止鑰匙被偷換、仿制,還將定期或不定期地更換鑰匙。
為了達到DNSSEC之目的,必須在從根區域到最終域名(例如,www. isc. Org)的遞歸和迭代過程中的每一步都部署該項技術。對根區域進行簽名(在根區域部署DNSSEC)是整個過程中的必要步驟。需要說明的是,該技術并不對DNS數據進行加密,只是驗證所訪問的站點地址是否有效。
DNSSEC驗證過程(“自右向左”)示意圖:
請注意,當前的DNS和應用程序“向后兼容”,即不會更改因特網尋址系統所基于的現有協議。
這樣的層次結構也意味著,跨所有域名完全部署DNSSEC將是一個相當耗時的過程,因為每個域都需要由其各自的運營商進行簽名,以便完成特定的信任鏈。對根區域進行簽名僅是一個起點。相應地,通用頂級域名(gTLD) 和國家/地區頂級域名(ccTLD)運營商已經加快了在其區域部署DNSSEC的工作,其他運營商也必須這樣做,以保持DNS系統自上而下的一致性、完整性。
DNSSEC將一系列數字簽名結合到DNS層次結構中,并使每個層次都擁有自己的簽名生成密鑰。就是說,在驗證過程中,DNSSEC沿著該信任鏈一直追溯到根區域,并自動使用該路徑上的“父”密鑰驗證“子”密鑰。每個密鑰都可以由它上面的一個密鑰進行驗證,驗證整個域名系統所必須的唯一密鑰,是最頂層的“父”密鑰(即根區密鑰)。
正因為此,在DNS體系中的任何一個層次的域名解析器都必須更新根域名區翻轉的密碼,否則就會出現域名解析錯誤,或網絡斷服現象。ICANN強調,“沒有理由再繼續拖延DNSSEC密鑰翻轉”,另一方面則表示:“我們無法完全確保每位網絡運營商都能正確設置其‘解析器’。假設一切按計劃進行,我們預計絕大多數用戶將可以訪問根區。”
正因為此,美國因特網域名與數字地址分配機構(ICANN)主導實施的域名根區密鑰(KSK,密鑰簽名密鑰)翻轉,是強化、深化和細化因特網(Internet)所有權、指揮權、控制權的重大關鍵戰略行動。這一過程中,美國進一步落實、完善、加強了“終止開關”、“核按鈕”的設置。
請注意,雖然授權和遞歸DNS服務器沒有部署DNSSEC,暫不受域名根區密鑰翻轉的影響,全面部署DNSSEC已是網絡通信的主流趨勢,10月12日(零點)只是個開端。鑰匙給你了,你不收著,不保存好,一定沒辦法開鎖。鎖在哪里?鎖頭也更換嗎?答案是肯定的!
三、環環相扣,EDNS“執行日”來了!
域名系統擴展機制EDNS“執行”之日,就是更換鎖頭之時。
請注意,更換鎖頭的不是美國因特網域名與數字地址分配機構ICANN,而是美國因特網工程任務組IETF。這很重要。
2018年3月,美國“域名系統運營分析和研究中心”(DNS-OARC)報告表明,EDNS“執行日”定于2019年2月。5月16日,歐洲因特網協調中心(RIPE)第76 次年會上公布,EDNS“執行日”為2019年2月1日。
2018年6月1日,日本網絡信息中心(JPNIC)通報EDNS“執行日”(下圖):
拉美地區網絡信息中心(LACNIC)通報EDNS“執行日”(下圖):
2018 年10 月11 日,亞太地區網絡信息中心(APNIC)發布和介紹了EDNS“執行日”(下圖):
2018年10月17日,歐洲因特網協調中心(RIPE)第77次年會再次要求為2019年2月1日的EDNS“執行日”做好準備(下圖):
2018年11月4日,因特網工程任務組(IETF)將EDNS“執行日”作為相當于“美國國旗紀念日”的“協議政策”,并披露EDNS“執行日”的主要支持企業包括美國因特網系統聯盟ISC、谷歌、思科、IBM服務的Quad9等(下圖):
捷克網絡信息中心(CZNIC)代表歐洲因特網協調中心(RIPE)所作的EDNS“執行日”通報指出:
1)明確存在的問題,是DNS應用軟件“不合規”(Non-compliance)即仍在使用被廢棄的DNS軟件版本;
2)將造成的后果,是DNS請求處理超時(Timeout)以及DNS數據包丟失(Packet Loss);
3)強調在EDNS“執行日”之后不一定支持變通方法(Workarounds);
4)對EDNS請求不予響應的域名服務器,將被作為“死機(Dead)”;
5)解決方案:下載和使用最新的DNS軟件版本,或使用公共的DNS遞歸服務(如IBM、Cloudflaer等)。
一句話,要么乖乖地吃下IETF開的“藥”,要么乖乖地接受IETF指定者的管轄與控制,別無選擇,后果自負。
EDNS“執行日”倒計時,兵臨城下、環環相扣、咄咄逼人,世界各國如臨大敵。可是,中國互聯網絡信息中心(CNNIC)等我國網信領域的主管、監管部門卻對此悄然無聲。
究竟是“這里的黎明靜悄悄”,還是“黎明前的黑暗”?是“胸有成竹”,還是“心中無數”?是擺開了“誅仙陣”,還是在唱“空城計”。
難道我們只能任憑美國擺布么?
難道那么多追隨美國因特網的中國的院士、專家,就沒有一個“權威”站出來說說“為什么”、“怎么辦”、一旦有事誰能負責解決么?
為了做好EDNS“執行日”的準備,以及了解域名狀態的合規性,因特網系統聯盟(ISC),即DNS軟件BIND的屬主,提供了一個在線EDNS的合規性以及EDNS“執行日”對用戶域名影響的測試工具:
https://ednscomp.isc.org/ednscomp。
千萬注意,最好不要輕易使用這個測試工具,如果因此被植入新的木馬,被竊取和修改了數據和數據路徑,可能后悔莫及!
專業人員使用這個工具測試了國家頂級域名“.cn”和權威域名“.gov.cn”,結果堪憂:有問題的服務器,頂級域名“.cn”有 1個,權威域名“.gov.cn”有2個。
測試失敗將立即獲得警告:如果不解決已標識的存在問題, 則可能無法使用擴展的DNS,尤其是可能導致用戶端與DNS服務器之間的斷服(中斷服務)。
域名系統擴展機制EDNS的“執行日”這一天,是中國的農歷臘月二十七,正是千家萬戶除夕前采購、趕大集的忙碌日子,三天后,開始春節放大假。
一旦有事(出現局部或大部中斷服務),誰來應對處置?有沒有能力及時應對處置?
一兩個小時的沉寂或許還能承受,三五天甚至更長時間的“死機”,將會產生什么樣的后果?誰來承擔責任?
四、BIND是“鉸鏈”
域名解析的系統軟件 BIND,是1980年美國國防部國防高級研究計劃局DARPA)資助加州大學伯克利分校的4個研究生開發、1984年發布技術報告,后由美國因特網系統聯盟(ISC)接管。目前,BIND 已成為因特網域名應用“事實上的標準”(de facto Standard),并主導著因特網域名應用的軟件市場,或是“軟件定義互聯互通”的一個范例。
圖示:因特網的“可信根”以及“從右到左”域名解析規則的篩子漏洞
如上圖所示,DNS應用驅動遞歸服務器,由遞歸域名服務器與域名解析系統交互完成三次不可逆的域名解析迭代。
所謂“篩子型”漏洞,就是指在上述交互過程中,雖然是“從右到左”的域名解析規則,但是遞歸域名服務器的每次請求域名信息是完全相同的,因而可能在此過程中的任何一個環節被竊聽、竊取、篡改或轉移,還可能被分級服務商“合法鏡像”后作為相互的“安全信息交換”。
早已經普遍存在的BIND固化于DNS服務器的現狀,說明美國國防部國防資助BIND開發研究,既是為了利用BIND“綁架”DNS域名系統,“只許州官放火。不許百姓點燈”;也是為了從“軟、硬”兩方面緊密融合,牢牢掌握、控制住域名系統DNS的所有權、指揮權、控制權和決策權。BIND作為因特網最重要的核心步驟和戰略部署,早在上世紀80年代從美國軍用阿帕網(ARPAnet)向因特網(Internet)演進時就著手了。
“亡羊補牢,猶未晚也?”也許真的晚了。至少在屈指可數的“執行日”到來之時,想擺脫“鉸鏈”+鎖頭+密鑰,肯定是來不及了。我們怎能就這樣束手就擒、坐以待斃?
事關我國網絡空間主權和安全的全局、大局,事關每個中國用戶和網民的切身利益,我們必須積極應對,我們不能不盡全力積極應對。
調整追隨戰略,從根本上改變被美國“牽著鼻子跑”的被動,徹底澄清糊涂觀念,重新從基礎研究、基礎理論、基礎結構開始正確、全面、客觀地認識因特網,從關鍵重要基礎設施的關鍵重要部位果斷切入,在現有條件下堅持最大限度和最大力度的自主可控制衡舉措,“以其人之道,還治其人之身”,我國主權網絡的建設發展還可以有重大轉機。
(作者系南京華氘網絡科技有限公司總裁,中國移動通信聯合會國際戰略研究中心主任;來源:昆侖策網【原創】)
【昆侖策研究院】作為綜合性戰略研究和咨詢服務機構,遵循國家憲法和法律,秉持對國家、對社會、對客戶負責,講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現中華民族偉大復興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網》,網址:
http://www.kunlunce.cn
http://www.jqdstudio.net
責任編輯:紅星
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
? 昆侖專題 ?
? 十九大報告深度談 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
圖片新聞
