2019年域名空間治理與域名協議安全的演進.pdf

1、清華大學清華大學-奇安信聯合研究中心奇安信聯合研究中心域域名名空空間間治治理理與與域域名名協協議議安安全全的的演演進進為為什什么么關關注注DNS安安全全？根根域域名名的的歷歷史史和和域域名名空空間間擴擴展展 DNS協協議議攻攻擊擊和和協協議議安安全全的的演演進進DNS 是是互互聯聯網網重重要要的的基基礎礎服服務務 DNS 是是互互聯聯網網重重要要的的基基礎礎服服務務 映映射射的的數數據據庫庫173.194.39.78CDN基基于于DNS提提供供內內容容分分發發和和負負載載均均衡衡 DNS 是是互互聯聯網網重重要要的的基基礎礎服服務務 映映射射的的數數據據庫庫應應用用層層的的路路由由 CDN基基

2、于于DNS提提供供內內容容分分發發、負負載載均均衡衡DNS 控控制制內內容容路路由由、負負載載均均衡衡DNS作作為為信信任任的的基基礎礎支支持持郵郵件件服服務務器器的的驗驗證證 DNS 是是互互聯聯網網重重要要的的基基礎礎服服務務 映映射射的的數數據據庫庫應應用用層層的的路路由由 CDN基基于于DNS提提供供內內容容分分發發、負負載載均均衡衡電電子子郵郵件件的的路路由由(MX)DNS 作作為為信信任任的的基基礎礎郵郵件件服服務務器器驗驗證證（SPF）,防防垃垃圾圾郵郵件件發發送送方方郵郵件件服服務務器器接接收收方方郵郵件件服服務務器器1.我我要要發發郵郵件件給給你你DNS作作為為信信任任的的基

3、基礎礎支支持持公公鑰鑰證證書書申申請請 DNS 是是互互聯聯網網重重要要的的基基礎礎服服務務 映映射射的的數數據據庫庫應應用用層層的的路路由由 CDN基基于于DNS提提供供內內容容分分發發、負負載載均均衡衡電電子子郵郵件件的的路路由由(MX)DNS 作作為為信信任任的的基基礎礎郵郵件件服服務務器器驗驗證證（SPF），防防垃垃圾圾郵郵件件公公鑰鑰證證書書申申請請中中的的驗驗證證申申請請證證書書驗驗證證你你是是否否擁擁有有這這個個域域名名？DNS作為公鑰基礎設施（作為公鑰基礎設施（PKI）DNS 是互聯網重要的基礎服務是互聯網重要的基礎服務 映射的數據庫映射的數據庫應用層的路由應用層的路由 CDN

4、基于基于DNS提供內容分發、負載均衡提供內容分發、負載均衡電子郵件的路由電子郵件的路由(MX)DNS 作為信任的基礎作為信任的基礎郵件服務器驗證（郵件服務器驗證（SPF）,防垃圾郵件防垃圾郵件公鑰證書申請中的驗證公鑰證書申請中的驗證 DNS 作為公鑰基礎設施作為公鑰基礎設施PKI DNSSEC：DS,RRSIGN,DNSSKEY TLSA：關聯：關聯Web服務器的服務器的TLS證書（證書（RFC 6698,2012）查詢查詢TLSA記錄：記錄：這個證書、這個證書、CA是你信任的嗎？是你信任的嗎？DNS相相關關的的攻攻擊擊常常導導致致互互聯聯網網大大規規模模癱癱瘓瘓 DNS 作作為為攻攻擊擊目目

5、標標 DNS作為DDoS攻擊工具Spamhause DNS reflection，2013Dyn 攻擊事件，2016域域名名的的濫濫用用：地地下下黑黑產產和和網網絡絡犯犯罪罪利利用用域域名名搭搭建建蜘蜘蛛蛛池池，實實現現搜搜索索引引擎擎污污染染，推推廣廣賭賭博博、毒毒品品等等違違法法網網站站偽偽裝裝成成合合法法域域名名進進行行釣釣魚魚攻攻擊擊DNS是是互互聯聯網網治治理理的的焦焦點點 DNS是是互互聯聯網網治治理理的的焦焦點點，涉涉及及技技術術標標準準、國國際際政政治治、法法律律經經濟濟等等各各種種糾糾紛紛伊伊拉拉克克戰戰爭爭期期間間，在在美美國國政政府府授授意意下下，伊伊拉拉克克頂頂級級域域

6、名名“.iq”的的申申請請和和解解析析工工作作被被終終止止，所所有有網網址址以以“.iq”為為后后綴綴的的網網站站從從互互聯聯網網蒸蒸發發中中國國部部署署了了4臺臺IPv6根根域域名名服服務務器器。打打破破壟壟斷斷、突突破破封封鎖鎖，中中國國徹徹底底打打破破了了沒沒有有根根服服務務器器的的困困境境。關關于于伊伊拉拉克克國國家家域域名名IQ被被刪刪除除的的事事件件:關關于于IPv6試試驗驗根根項項目目:為為什什么么關關注注DNS安安全全？根根域域名名的的歷歷史史和和域域名名空空間間擴擴展展 DNS協協議議攻攻擊擊和和協協議議安安全全的的演演進進DNS早早期期的的歷歷史史 1970s，APARNE

7、T創創立立之之初初，SRI-NIC負負責責維維護護HOSTS.TXT 1980+，Jon Postel&Paul Mockapetris DNS協協議議和和軟軟件件，運運行行第第一一個個Root Server 1985年年4個個根根域域名名服服務務器器,1990年年擴擴展展到到7個個1985年年，4個個root server1990年年，7個個root server1990s：DNS隨隨互互聯聯網網擴擴大大和和商商業業化化迅迅速速發發展展域域名名注注冊冊轉轉到到NSI公公司司（后后被被VeriSign收收購購），引引發發域域名名的的戰戰爭爭互互聯聯網網在在全全球球迅迅速速發發展展，歐歐洲洲、日

8、日本本部部署署了了兩兩個個根根繼繼續續擴擴展展受受DNS 消消息息大大小小限限制制（512字字節節)，無無法法部部署署更更多多 1995年年，改改名名a-i.root-，壓壓縮縮后后可可支支持持13個個根根Root Servers,1991Renaming of Root Servers,1995Jon Postel:互互聯聯網網之之神神 Jon Postel領領導導的的IANA 負負責責Root DNS管管理理選選擇擇Root server托托管管組組織織的的原原則則2需需要要：對對根根服服務務器器有有需需求求連連通通：內內部部和和外外部部都都有有廣廣泛泛的的連連接接共共識識：來來自自社社區

9、區內內部部的的廣廣泛泛支支持持不不做做過過濾濾：承承諾諾對對于于發發出出和和收收到到的的流流量量都都不不做做過過濾濾國國家家域域名名（ccTLD）的的分分配配主主要要考考慮慮：有有技技術術能能力力、可可信信、公公正正（RFC 1591，1994）例例：IQ在在1997分分配配給給美美國國公公司司，負負責責人人2002年年被被捕捕，2005由由ICANN重重新新分分配配給給伊伊拉拉克克通通信信管管理理局局11https:/www.iana.org/reports/2005/iq-report-05aug2005.pdf2 https:/www.icann.org/en/system/files/

10、files/rssac-023-04nov16-en.pdf關關于于域域名名的的戰戰爭爭和和互互聯聯網網治治理理早早期期的的歷歷史史在在互互聯聯網網成成立立之之初初，美美國國政政府府對對互互聯聯網網DNS根根的的控控制制幾幾乎乎是是不不存存在在的的大大多多數數政政策策問問題題上上，政政府府相相信信技技術術社社區區在在域域名名管管理理問問題題上上，技技術術社社區區相相信信Jon Postel從從根根上上治治理理互互聯聯網網：互互聯聯網網治治理理與與網網絡絡空空間間的的馴馴化化美美 Milton L.Mueller著著，段段海海新新 胡胡泳泳 譯譯Throughout its entire his

11、tory,the Internet system has employed a central Internet Assigned Numbers Authority(IANA)-V.Cerf,RFC 11741998年年ICANN之后的根域名管理之后的根域名管理 ICANN/IANA仍是根區數據的權威仍是根區數據的權威 VeriSign只負責根區文件分發只負責根區文件分發 DNSSEC簽名保證根區數據完整性簽名保證根區數據完整性 2013年 斯諾登事件爆發年 斯諾登事件爆發 2013年年ICANN等組織蒙得維的亞聲明等組織蒙得維的亞聲明2針對美國大規模網絡監控的憂慮針對美國大規模網絡監控的憂

12、慮強調全球一致，反對國家層面上的互聯網分裂強調全球一致，反對國家層面上的互聯網分裂加快加快ICANN/IANA的國際化的國際化 2016年年IANA監管權移交后，根區文件修改不再需要美國政府批準監管權移交后，根區文件修改不再需要美國政府批準1 http:/www.icann.org/committees/gac/gac-cctldprinciples-23feb00.htm.2 https:/www.icann.org/news/announcement-2013-10-07-zh根根域域名名服服務務器器的的擴擴展展 Anycast Instance(RFC 3258,2002)2013年年3

13、46個個，全全球球延延遲遲不不均均衡衡 2019/08/15：全全球球1011個個鏡鏡像像中中國國大大陸陸已已部部署署至至少少8個個本本地地根根區區鏡鏡像像（RFC 7706，2015）全全球球各各大大洲洲到到13個個根根域域名名服服務務器器的的解解析析延延遲遲IPv6網絡中的網絡中的Root 和和AAAA記錄記錄 2008至今，所有至今，所有Root Server都是都是IPv4/IPv6雙棧雙棧 2018年，年，98%的的TLD有有IPv6 Google統計：統計：24個國家個國家IPv6流量超過流量超過15%奇安信奇安信PDNS 統計：中國用戶統計：中國用戶AAAA查詢次數查詢次數奇安信

14、奇安信PDNS 統計：中國訪問的統計：中國訪問的IPv6服務器數量服務器數量客戶端的數量大量增長客戶端的數量大量增長IPv6的服務器增長相對較慢的服務器增長相對較慢名名字字空空間間的的擴擴展展：國國際際化化域域名名IDN 國際化域名(IDN)1996年開始研究和討論 2003年，非ASCII(RFC3490)2009年 Root 開始iTLD 我們關于IDN域名的研究 收集1.5億域名 com,net,org,53個iTLD 抽取1.4M IDN(1%)惡意域名黑名單(VirusTotal等)同同形形異異義義（homographic）IDN域域名名釣釣魚魚攻攻擊擊研究者真實的攻擊同同形形異異義

15、義域域名名的的檢檢測測、生生成成相相似似度度檢檢測測同同形形異異義義IDN域域名名像像G的的IDN域域名名有有些些域域名名已已被被列列入入黑黑名名單單，有有些些是是保保護護性性注注冊冊的的可可以以批批量量生生成成攻攻擊擊域域名名，絕絕大大多多數數沒沒有有被被注注冊冊為為什什么么關關注注DNS安安全全？根根域域名名的的歷歷史史和和域域名名空空間間擴擴展展 DNS協協議議攻攻擊擊和和協協議議安安全全的的演演進進DNS協協議議相相關關的的安安全全問問題題拒拒絕絕服服務務攻攻擊擊DoS緩緩存存的的污污染染鏈鏈路路的的劫劫持持流流量量的的竊竊聽聽/注注入入利利用用DNS查查詢詢行行為為分分析析用用戶戶隱

16、隱私私信信息息DoS緩緩存存污污染染鏈鏈路路監監聽聽、隱隱私私泄泄露露Dan Kaminsky 緩緩存存污污染染攻攻擊擊及及其其防防范范(2008)請請求求受受攻攻擊擊域域名名，偽偽造造響響應應，成成功功率率本本來來：1/232，但但是是：Src port：可可預預測測 TXID:16 bit成成功功率率：1/216防防范范措措施施 Source Port :216 TXID Random:216 0X20 encoding(2008)成成功功率率：232+lengthRecursive RQ:non-existed.example.edu?A:non- 1.2.3.4 Q:non-exist

17、ed.example.edu?UDP HeaderDNS MSGSrc portdst port(53)lengthChecksumTXIDQuestion:另另一一種種緩緩存存污污染染方方法法：UDP分分片片(Fragment)服服務務器器和和網網絡絡設設備備可可能能會會將將DNS報報文文分分片片第第一一個個分分片片中中含含有有隨隨機機值值 Checksum算算法法過過于于簡簡單單攻攻擊擊方方法法：讓讓權權威威分分片片,覆覆蓋蓋第第二二個個例例：攻攻擊擊CA的的DNS（CCS2018)Recursive ResolverQ:non-existed.example.edu?Src portds

18、t port(53)lengthChecksumTXIDQ:A: 1.2.3.4A: 6.6.6.6分分片片1分分片片2攻攻擊擊者者的的分分片片緩緩存存污污染染方方法法：UDP分分片片(Fragment)Recursive RQ:non-existed.example.edu?Src portdst port(53)lengthChecksumTXIDQ:A: 1.2.3.4A: 6.6.6.6分分片片1分分片片2攻攻擊擊者者的的分分片片Src portdst port(53)lengthChecksumTXIDQ:分分片片1A: 6.6.6.6攻攻擊擊者者的的分分片片服服務務器器和和網網絡絡

19、設設備備可可能能會會將將DNS報報文文分分片片第第一一個個分分片片中中含含有有隨隨機機值值 Checksum算算法法過過于于簡簡單單攻攻擊擊方方法法：讓讓權權威威分分片片,覆覆蓋蓋第第二二個個例例：攻攻擊擊CA的的DNS（CCS2018)新新的的緩緩存存污污染染方方法法清清華華-奇奇安安信信聯聯合合實實驗驗室室發發現現的的新新型型DNS緩緩存存污污染染攻攻擊擊：構構造造超超大大的的DNS請請求求，強強迫迫服服務務器器分分片片DNSSEC驗驗證證的的比比例例中中美美三三個個行行業業權權威威服服務務器器DNSSEC部部署署情情況況域域名名類類別別數數量量/比比例例配配置置正正確確率率數數量量/比比

20、例例配配置置正正確確率率中中國國國國內內銀銀行行0/0NA0/0NA美美國國國國內內銀銀行行15/13%100%19/17%74%中中國國政政府府0/002/0.1%50%美美國國政政府府gov1162/21%99.05%1141/21%97%中中國國教教育育32/0.4%0*61/2.6%61%美美國國教教育育edu150/2%98.70%174/2.5%76%2019年年8月月測測試試結結果果2018年年8月月測測試試結結果果加加密密DNS發發展展大大事事件件2014年年9月月IETF第第一一個個DNS隱隱私私工工作作組組DPRIVE成成立立2009年年DNSCurve第第一一個個加加密密

21、DNS協協議議草草稿稿2016年年5月月DNS-over-TLS(RFC 7858)第第一一個個被被IETF標標準準化化的的加加密密DNS協協議議2011年年DNSCrypt協協議議2015年年8月月RFC 7626第第一一份份討討論論DNS隱隱私私問問題題的的RFC文文檔檔2017年年9月月IETF DNS-over-HTTPS工工作作組組成成立立2018年年10月月DNS-over-HTTPS(RFC 8484)標標準準通通過過DoH的的查查詢詢&DOT 服服務務器器的的數數量量（IMC2019）DoH查查詢詢：知知名名DoH服服務務占占有有較較大大比比例例 Google(8.8.8.8)

22、CloudFlare(1.1.1.1)公公共共DNS-over-TLS解解析析服服務務器器：1.5K2K左左右右許許多多證證書書配配置置錯錯誤誤中中國國的的DoT DNS服服務務器器部部署署很很少少 50 DNS加加密密仍仍然然存存在在較較大大爭爭議議加加密密DNS仍仍在在緩緩慢慢增增長長Chaoyi Lu and etc.An End-to-End,Large-Scale Measurement of DNS-over-Encryption:How Far Have We Come?IMC 2019EDNS和和DNS flag day 1987年年的的RFC 1035限限制制了了DNS 報報

23、文文的的大大小小、新新功功能能 EDNS擴擴展展DNS格格式式和和功功能能 IPv6、DNSSEC、ECS等等向向后后兼兼容容的的Workaround嘗嘗試試服服務務器器不不支支持持或或被被防防火火墻墻過過濾濾 DNS Flag day: 2019/2/1日日后后，對對EDNS實實現現不不標標準準的的授授權權服服務務器器，Google等等公公共共DNS將將不不再再嘗嘗試試訪訪問問，可可能能導導致致解解析析失失敗敗2018年年不不支支持持EDNS 的的Top 10 DNS 服服務務提提供供商商https:/indico.dns- ten:EDNS-broken providers in October 2018總總結結 DNS功功能能遠遠不不止止IP地地址址解解析析了了解解DNS的的歷歷史史有有助助于于理理解解互互聯聯網網治治理理現現狀狀，澄澄清清某某些些認認識識 DNS的的問問題題仍仍然然很很多多，DNS安安全全技技術術也也在在不不斷斷發發展展與與國國際際安安全全標標準準和和最最佳佳實實踐踐同同步步，提提高高互互聯聯網網基基礎礎設設施施的的內內生生安安全全能能力力THANKS