域名空間治理與域名協(xié)議安全的演進(jìn)

1、域名空間治理與域名協(xié)議安全的演進(jìn)技術(shù)創(chuàng)新，變革未來為什么關(guān)注DNS安全？根域名的歷史和域名空間擴(kuò)展DNS協(xié)議攻擊和協(xié)議安全的演進(jìn)DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)映射的數(shù)據(jù)庫8CDN基于DNS提供內(nèi)容分發(fā)和負(fù)載均衡DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)映射的數(shù)據(jù)庫應(yīng)用層的路由CDN基于DNS提供內(nèi)容分發(fā)、負(fù)載均衡DNS 控制內(nèi)容路由、負(fù)載均衡DNS作為信任的基礎(chǔ)支持郵件服務(wù)器的驗(yàn)證DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)映射的數(shù)據(jù)庫應(yīng)用層的路由CDN基于DNS提供內(nèi)容分發(fā)、負(fù)載均衡電子郵件的路由 (MX)DNS 作為信任的基礎(chǔ)郵件服務(wù)器驗(yàn)證（SPF）,防垃圾郵件發(fā)送方郵件服務(wù)器接收方郵

2、件服務(wù)器1. 我要發(fā)郵件給你DNS作為信任的基礎(chǔ)支持公鑰證書申請(qǐng)DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)映射的數(shù)據(jù)庫應(yīng)用層的路由CDN基于DNS提供內(nèi)容分發(fā)、負(fù)載均衡電子郵件的路由 (MX)DNS 作為信任的基礎(chǔ)郵件服務(wù)器驗(yàn)證（SPF），防垃圾郵件公鑰證書申請(qǐng)中的驗(yàn)證申請(qǐng)證書驗(yàn)證你是否擁有這個(gè)域名？DNS作為公鑰基礎(chǔ)設(shè)施（PKI）DNS 是互聯(lián)網(wǎng)重要的基礎(chǔ)服務(wù)映射的數(shù)據(jù)庫應(yīng)用層的路由CDN基于DNS提供內(nèi)容分發(fā)、負(fù)載均衡電子郵件的路由 (MX)DNS 作為信任的基礎(chǔ)郵件服務(wù)器驗(yàn)證（SPF）,防垃圾郵件公鑰證書申請(qǐng)中的驗(yàn)證DNS 作為公鑰基礎(chǔ)設(shè)施PKIDNSSEC：DS, RRSIGN,DNSSKEYTL

3、SA：關(guān)聯(lián)Web服務(wù)器的TLS證書（RFC 6698,2012）查詢TLSA記錄：這個(gè)證書、CA是你信 任的嗎？DNS相關(guān)的攻擊常導(dǎo)致互聯(lián)網(wǎng)大規(guī)模癱瘓DNS 作為攻擊目標(biāo)DNS作為DDoS攻擊工具Spamhause DNS reflection，2013Dyn 攻擊事件， 2016域名的濫用：地下黑產(chǎn)和網(wǎng)絡(luò)犯罪利用域名搭建蜘蛛池，實(shí)現(xiàn)搜索引 擎污染，推廣賭博、毒品等違法網(wǎng)站偽裝成合法域名進(jìn)行釣魚攻擊.locale.rebor DNS是互聯(lián)網(wǎng)治理的焦點(diǎn)伊拉克戰(zhàn)爭期間，在美國政府授意下，伊拉克頂級(jí)域名“.iq”的申請(qǐng)和解析工作被終止，所有網(wǎng)址以 “.iq”為后綴的網(wǎng)站從互聯(lián)網(wǎng)蒸發(fā)中國部署了4臺(tái)IP

4、v6根域名服務(wù)器。打破壟斷、突破封鎖，中國徹底打破了沒有根服務(wù)器的困境。DNS是互聯(lián)網(wǎng)治理的焦點(diǎn)，涉及技術(shù)標(biāo)準(zhǔn)、國際政治、法律經(jīng) 濟(jì)等各種糾紛關(guān)于伊拉克國家域名IQ被刪除的事件:關(guān)于IPv6試驗(yàn)根項(xiàng)目:為什么關(guān)注DNS安全？根域名的歷史和域名空間擴(kuò)展DNS協(xié)議攻擊和協(xié)議安全的演進(jìn)DNS早期的歷史1970s，APARNET創(chuàng)立之初，SRI-NIC負(fù)責(zé)維護(hù)HOSTS.TXT1980+， Jon Postel & Paul Mockapetris DNS協(xié)議和軟件，運(yùn)行第一個(gè)Root Server1985年4個(gè)根域名服務(wù)器, 1990年擴(kuò)展到7個(gè)1985年，4個(gè)root server1990年，7個(gè)

5、root server1990s：DNS隨互聯(lián)網(wǎng)擴(kuò)大和商業(yè)化迅速發(fā)展域名注冊(cè)轉(zhuǎn)到NSI公司（后被VeriSign收購），引發(fā)域名的戰(zhàn)爭互聯(lián)網(wǎng)在全球迅速發(fā)展，歐洲、日本部署了兩個(gè)根繼續(xù)擴(kuò)展受 DNS 消息大小限制（512字節(jié))，無法部署更多1995年，改名a-i.，壓縮后可支持13個(gè)根Root Servers, 1991Renaming of Root Servers, 1995Jon Postel: 互聯(lián)網(wǎng)之神Jon Postel領(lǐng)導(dǎo)的IANA 負(fù)責(zé)Root DNS管理選擇Root server托管組織的原則2需要：對(duì)根服務(wù)器有需求連通：內(nèi)部和外部都有廣泛的連接共識(shí)：來自社區(qū)內(nèi)部的廣泛支持不做

6、過濾：承諾對(duì)于發(fā)出和收到的流量都不做過濾國家域名（ccTLD）的分配主要考慮：有技術(shù)能力、可信、公正（RFC 1591，1994）例：IQ在1997分配給美國公司，負(fù)責(zé)人2002年被捕，2005由ICANN重 新分配給伊拉克通信管理局1https:/reports/2005/iq-report-05aug2005.pdf https:/en/system/files/files/rssac-023-04nov16-en.pdf關(guān)于域名的戰(zhàn)爭和互聯(lián)網(wǎng)治理早期的歷史在互聯(lián)網(wǎng)成立之初，美國政府對(duì)互聯(lián)網(wǎng)DNS根的控制幾 乎是不存在的大多數(shù)政策問題上，政府相信技術(shù)社區(qū)在域名管理問題上，技術(shù)社區(qū)相信Jon

7、 Postel從根上治理互聯(lián)網(wǎng)：互聯(lián)網(wǎng)治理與網(wǎng)絡(luò)空間的馴化美 Milton L. Mueller著，段海新 胡泳 譯Throughout its entire history, the Internet systemhas employed a central Internet Assigned Numbers Authority (IANA)-V. Cerf, RFC 11741998年ICANN之后的根域名管理ICANN/IANA仍是根區(qū)數(shù)據(jù)的權(quán)威VeriSign只負(fù)責(zé)根區(qū)文件分發(fā)DNSSEC 簽名保證根區(qū)數(shù)據(jù)完整性2013年 斯諾登事件爆發(fā)2013年 ICANN等組織蒙得維的亞聲明2針對(duì)

8、美國大規(guī)模網(wǎng)絡(luò)監(jiān)控的憂慮強(qiáng)調(diào)全球一致，反對(duì)國家層面上的互聯(lián)網(wǎng)分裂加快ICANN/IANA的國際化2016年IANA監(jiān)管權(quán)移交后，根區(qū)文件修改不再需要美國政府批準(zhǔn)1 /committees/gac/gac-cctldprinciples-23feb00.htm. 2 https:/news/announcement-2013-10-07-zh根域名服務(wù)器的擴(kuò)展Anycast Instance(RFC 3258, 2002)2013年346個(gè)，全球延遲不均衡2019/08/15：全球1011個(gè)鏡像中國大陸已部署至少8個(gè)本地根區(qū)鏡像（RFC 7706，2015）全球各大洲到13個(gè)根域名服務(wù)器的解析延

9、遲IPv6網(wǎng)絡(luò)中的Root 和 AAAA記錄2008至今，所有Root Server都是IPv4/IPv6雙棧2018年，98%的TLD有IPv6Google 統(tǒng)計(jì)：24個(gè)國家IPv6流量超過15%奇安信 PDNS 統(tǒng)計(jì)：中國用戶AAAA查詢次數(shù)奇安信 PDNS 統(tǒng)計(jì)：中國訪問的IPv6服務(wù)器數(shù)量客戶端的數(shù)量大量增長IPv6的服務(wù)器增長相對(duì)較慢名字空間的擴(kuò)展：國際化域名IDN國際化域名(IDN)1996年開始研究和討論2003年，非ASCII (RFC3490)2009年 Root 開始iTLD我們關(guān)于IDN域名的研究收集1.5億域名com, net, org,53個(gè)iTLD抽取1.4M ID

10、N(1%)惡意域名黑名單(VirusTotal等)同形異義（homographic） IDN域名釣魚攻擊研究者真實(shí)的攻擊同形異義域名的檢測、生成相似度檢測同形異義IDN域名像G的IDN域名有些域名已被列入黑名單，有些是保護(hù)性注冊(cè)的可以批量生成攻擊域名，絕大多數(shù)沒有被注冊(cè)為什么關(guān)注DNS安全？根域名的歷史和域名空間擴(kuò)展DNS協(xié)議攻擊和協(xié)議安全的演進(jìn)DNS協(xié)議相關(guān)的安全問題拒絕服務(wù)攻擊DoS緩存的污染鏈路的劫持流量的竊聽/注入利用DNS查詢行為 分析用戶隱私信息DoS緩存污染鏈路監(jiān)聽、 隱私泄露Dan Kaminsky 緩存污染攻擊及其防范(2008)請(qǐng)求受攻擊域名，偽造響應(yīng)，成功率本來：1/23

11、2，但是：Src port： 可預(yù)測TXID : 16 bit成功率：1/216防范措施Source Port:216TXID Random: 2160X20 encoding(2008)成功率：232+lengthRecursive ResolverQ: ?A: Q: ?UDP HeaderDNS MSGSrc portdst port(53)lengthChecksumTXIDQuestion: 另一種緩存污染方法： UDP分片(Fragment)服務(wù)器和網(wǎng)絡(luò)設(shè)備可能會(huì)將DNS報(bào)文分片第一個(gè)分片中含有隨機(jī)值Checksum算法過于簡單攻擊方法：讓權(quán)威分片,覆蓋第二個(gè)例：攻擊CA的DNS（C

12、CS2018)Recursive ResolverQ: ?Src portdst port(53)lengthChecksumTXIDQ: A: A: 分片1分片2攻擊 者的 分片緩存污染方法： UDP分片(Fragment)Recursive ResolverQ: ?Src portdst port(53)lengthChecksumTXIDQ: A: A: 分片1分片2攻擊者 的分片Src portdst port(53)lengthChecksumTXIDQ: A: 分片1攻擊者的 分片服務(wù)器和網(wǎng)絡(luò)設(shè)備可能會(huì)將DNS報(bào)文分片第一個(gè)分片中含有隨機(jī)值Checksum算法過于簡單攻擊方法：讓權(quán)

13、威分片,覆蓋第二個(gè)例：攻擊CA的DNS（CCS2018)新的緩存污染方法清華-奇安信聯(lián)合實(shí)驗(yàn)室發(fā)現(xiàn)的新型DNS緩存污染攻擊：構(gòu) 造超大的DNS請(qǐng)求，強(qiáng)迫服務(wù)器分片DNSSEC 驗(yàn)證的比例中美三個(gè)行業(yè)權(quán)威服務(wù)器DNSSEC部署情況2018年8月測試結(jié)果2019年8月測試結(jié)果域名類別數(shù)量/比例配置正確率數(shù)量/比例配置正確率中國國內(nèi)銀行0/0NA0/0NA美國國內(nèi)銀行15/13%100%19/17%74%中國政府0/002/0.1%50%美國政府gov1162/21%99.05%1141/21%97%中國教育32/0.4%0*61/2.6%61%美國教育edu150/2%98.70%174/2.5%

14、76%加密DNS發(fā)展大事件2014年9月IETF第一個(gè)DNS隱私工作組DPRIVE成立2009年DNSCurve第一個(gè)加密DNS協(xié)議 草稿2016年5月DNS-over-TLS (RFC 7858)第一個(gè)被IETF標(biāo)準(zhǔn)化的 加密DNS協(xié)議2011年DNSCrypt協(xié)議2015年8月 RFC 7626第一份討論DNS隱私問題的RFC文檔2017年9月IETF DNS-over-HTTPS工作組成立2018年10月DNS-over-HTTPS (RFC 8484)標(biāo)準(zhǔn)通過DoH的查詢 & DOT 服務(wù)器的數(shù)量 （IMC2019）DoH查詢：知名DoH服務(wù)占有較大比例Google()CloudFla

15、re()公共DNS-over-TLS解析服務(wù)器：K2K左右許多證書配置錯(cuò)誤中國的DoT DNS服務(wù)器部署很少50DNS加密仍然存在較大爭議加密DNS仍在緩慢增長Chaoyi Luand etc. An End-to-End, Large-Scale Measurement of DNS- over-Encryption: How Far Have We Come?IMC 2019EDNS和 DNS flag day1987年的RFC 1035限制了DNS 報(bào)文的大小、新功能EDNS擴(kuò)展DNS格式和功能IPv6、DNSSEC、ECS等向后兼容的 Workaround嘗試服務(wù)器不支持或被防火墻過濾DNS Flag day: 2019/2/1日后，對(duì)EDNS實(shí)現(xiàn)不標(biāo)準(zhǔn)的授權(quán)服務(wù)器，Google等公共DNS將不再嘗試訪問，可能導(dǎo)致解析失敗2018年不支持ED