Fred Baker
ICANN 根服務器系統咨詢委員會(RSSAC)主席
前IETF主席
根服務器的(de)管理機構可輕易修改根區文件内容甚至可移除特定的(de)頂級域?目前全世界僅有13個(gè)根服務器?此類針對根域名服務器的(de)傳言一(yī / yì /yí)直不(bù)休,在(zài)日前舉行的(de)2020年北京網絡安全大(dà)會上(shàng),根服務器系統咨詢委員會(Root Server System Advisory Committee ,RSSAC)主席Fred Baker回應了(le/liǎo)這(zhè)些問題。
Fred Baker表示,關于(yú)互聯網域名系統的(de)根服務器,目前流傳着許多不(bù)同版本的(de)傳言,但這(zhè)些傳言都不(bù)準确。
根服務器系統及相關機構
Fred Baker在(zài)報告中重申了(le/liǎo)域名系統的(de)運行原理:先從根服務器節點獲得域名頂級域(如“.cn”)信息的(de)索引。而(ér)通過頂級域的(de)權威服務器可獲得二級域名的(de)索引。其後,在(zài)二級域名的(de)權威服務器上(shàng),可獲得各個(gè)域名所對應的(de)服務器IP地(dì / de)址,或者是(shì)域名所屬的(de)子(zǐ)域名。
根服務器系統在(zài)運行過程中,首先需要(yào / yāo)獲得根區文件,然後将其分發到(dào)根服務器的(de)運行管理機構,根服務器節點将對全球域名服務器所發起的(de)查詢請求進行響應。全球目前可能分布着超過一(yī / yì /yí)萬台域名解析服務器。根區文件維護者(Root Zone Maintainer)根據從互聯網号碼分配機構(IANA)獲取的(de)文件提供根區數據。
目前,一(yī / yì /yí)共有12家相互獨立的(de)企業或者組織機構在(zài)負責管理運行域名系統根服務器節點。其中的(de)一(yī / yì /yí)些組織實際上(shàng)隸屬于(yú)美國(guó)軍方,它們不(bù)屬于(yú)公司或企業,這(zhè)類組織需要(yào / yāo)區别對待。例如,美國(guó)國(guó)防部網絡信息中心(Network Information Center,NIC),它是(shì)負責運行管理根服務器節點的(de)機構之(zhī)一(yī / yì /yí)。此外,還有一(yī / yì /yí)些組織機構分布在(zài)斯德哥爾摩、阿姆斯特丹以(yǐ)及東京,主要(yào / yāo)是(shì)歐洲技術社群,而(ér)WIDE項目管理着日本的(de)根服務器節點。
1983年,IETF的(de)RFC 882和(hé / huò)RFC 883兩個(gè)文檔對互聯網域名系統DNS進行了(le/liǎo)描述與定義。1984-1985年,早期根域名系統于(yú)美國(guó)建成,該系統由四台服務器組成,它們分别使用四個(gè)獨立的(de)IP地(dì / de)址。此後,随着互聯網的(de)發展,根服務器的(de)數量經曆了(le/liǎo)多次增加。1987年,新增三台服務器,1991年新增一(yī / yì /yí)台,1993年又增加一(yī / yì /yí)台,1998年再增四台。至此,根服務器系統增加至13台,并各自擁有1個(gè)IP地(dì / de)址。
當時(shí),分發根域名服務器地(dì / de)址的(de)人(rén)是(shì) Jon Postel (注:被譽爲(wéi / wèi)互聯網之(zhī)神),他(tā)邀請不(bù)同機構共同運維根域名服務器,并長期負責管理互聯網号碼分配機構(Internet Assigned Numbers Authority,IANA)。Jon Postel去世(1998年)之(zhī)後,沒人(rén)了(le/liǎo)解該如何新增根服務器的(de)入口,或如何修改變動根服務器。
在(zài)此情況下,根服務器系統咨詢委員會RSSAC運行管理根域名服務器系統将近20年。
期間面臨一(yī / yì /yí)個(gè)非常重要(yào / yāo)問題是(shì):如何設計完善運行流程,以(yǐ)轉變DNS系統面臨的(de)困難局面。經過多次讨論和(hé / huò)實踐,根服務器系統不(bù)斷演進,最終形成當前規模。截至2020年8月1日,DNS根服務器系統共有1086個(gè)根服務器節點。
引入數字簽名技術
在(zài)過去十幾年中,互聯網工程任務組(The Internet Engineering Task Force,IETF)已經對根區文件的(de)信息做出(chū)了(le/liǎo)一(yī / yì /yí)系列優化與改進。其中一(yī / yì /yí)項極爲(wéi / wèi)重要(yào / yāo)的(de)變化是(shì),使用數字簽名技術來(lái)保障域名系統的(de)安全性,即DNS安全擴展(Domain Name System Security Extensions,DNSSEC)的(de)引入。目前幾乎所有頂級域均已支持DNSSEC,并且其中有許多頂級域對所包含的(de)二級域名進行簽名,許多二級域名進一(yī / yì /yí)步對其子(zǐ)域名進行簽名。
數字簽名的(de)主要(yào / yāo)功能是(shì)驗證用戶所接收的(de)信息是(shì)否準确。當某個(gè)客戶端發起域名查詢請求時(shí),可能會被劫持或轉發到(dào)未經授權的(de)根服務器管理者,導緻域名響應的(de)内容與互聯網号碼分配機構(IANA)所提供的(de)信息不(bù)一(yī / yì /yí)緻,造成所謂的(de)DNS僞造攻擊。
如何檢測這(zhè)類攻擊?如何才能知道(dào)應答響應的(de)内容是(shì)否合法?解決方案是(shì)對數字簽名的(de)内容進行校驗。如果數字簽名是(shì)僞造的(de),就(jiù)意味着應答内容是(shì)非法的(de)。通常,域名解析服務器負責驗證數字簽名記錄。除了(le/liǎo)域名解析服務器之(zhī)外,任何發起域名查詢的(de)設備、系統均有權利,RSSAC也(yě)強烈建議其去校驗DNSSEC的(de)數字簽名記錄。
根域名系統管理的(de)十一(yī / yì /yí)項原則
2014年,Steve Crocker(ICANN董事會主席)曾向RSSAC提出(chū)一(yī / yì /yí)個(gè)問題:該如何解決Jon Postel先生去世之(zhī)後管理根區文件規範流程的(de)缺失?
2015年,RSSAC委員會相聚在(zài)工作組讨論這(zhè)一(yī / yì /yí)問題,并從當年9月開始,召開了(le/liǎo)一(yī / yì /yí)系列的(de)研讨會,最終形成了(le/liǎo)一(yī / yì /yí)份技術報告,也(yě)即RSSAC037文檔。該報告内容可在(zài)網上(shàng)查閱,其中的(de)一(yī / yì /yí)項重要(yào / yāo)内容是(shì)提出(chū)管理根服務器系統所應依據的(de)11條原則,具體内容如下:
(1)爲(wéi / wèi)了(le/liǎo)維護一(yī / yì /yí)個(gè)全球性的(de)互聯網,需要(yào / yāo)一(yī / yì /yí)個(gè)全球統一(yī / yì /yí)的(de)域名系統,從而(ér)使用戶在(zài)不(bù)同地(dì / de)區或使用不(bù)同域名解析服務器時(shí),對于(yú)相同索引内容總能獲得相同解析結果。
(2)IANA是(shì)DNS根數據的(de)來(lái)源。
(3)根服務器系統必須是(shì)穩定可靠、富有彈性的(de)平台,能夠爲(wéi / wèi)所有用戶提供域名解析服務。
(4)根服務器操作的(de)多樣性是(shì)整個(gè)系統的(de)優勢。如果所有人(rén)都使用完全相同的(de)軟件,當域名系統出(chū)現故障時(shí),所有人(rén)都會遇到(dào)此類故障,将導緻非常嚴重的(de)安全事故。因此,多樣性是(shì)一(yī / yì /yí)項基本的(de)設計原則:需要(yào / yāo)操作不(bù)同的(de)DNS軟件,使用不(bù)同的(de)硬件設備,使用不(bù)同的(de)網絡獲取數據。多樣性是(shì)加強系統健壯性的(de)重要(yào / yāo)因素。
(5)體系結構的(de)變化應該來(lái)自于(yú)技術的(de)發展和(hé / huò)已證明的(de)技術需求。
(6)IETF定義DNS協議的(de)技術操作。所有改變的(de)驅動力都應源自技術層面,而(ér)技術上(shàng)的(de)推陳出(chū)新多由互聯網工程任務組(IETF)發起。
剩餘的(de)五項原則均直接面向根服務器系統的(de)運行管理機構(RSOs)。
(7)RSOs必須以(yǐ)誠信正直的(de)精神來(lái)維護互聯網的(de)共同利益。
(8)RSOs必須保持透明。作爲(wéi / wèi)一(yī / yì /yí)個(gè)互聯網組織機構,要(yào / yāo)保持透明,能夠說(shuō)到(dào)做到(dào)。
(9)RSOs必須與利益相關方合作,并鼓勵其參與。在(zài)IETF和(hé / huò)ICANN的(de)組織架構下,RSOs不(bù)僅需要(yào / yāo)與客戶以(yǐ)及合作者積極溝通,也(yě)需要(yào / yāo)吸引并鼓勵技術社群中的(de)利益相關方一(yī / yì /yí)起參與。
(10)RSOs必須保持自身的(de)自主性和(hé / huò)獨立性。不(bù)應受到(dào)任何一(yī / yì /yí)個(gè)派别的(de)操控。根服務器系統的(de)運行管理機構其實是(shì)高度獨立的(de)。盡管其中一(yī / yì /yí)些機構屬于(yú)美國(guó)政府,但是(shì)并非由政府來(lái)運作的(de)。
(11)RSOs必須保持中立與公正,并提供必要(yào / yāo)的(de)(從IANA獲取的(de))信息。
關于(yú)根服務器系統的(de)不(bù)實傳言
Fred Baker表示,關于(yú)互聯網域名系統的(de)根服務器,目前流傳着許多不(bù)同傳言,但這(zhè)些傳言都不(bù)準确。
一(yī / yì /yí)種說(shuō)法是(shì),域名系統根服務器可以(yǐ)控制互聯網流量的(de)轉發路徑。但事實并非如此,根服務器不(bù)會控制任何其他(tā)事項,它隻負責分發根區文件的(de)信息。數據包轉發的(de)過程路徑信息是(shì)由互聯網路由器所決定的(de)。
第二種說(shuō)法是(shì),根服務器的(de)管理機構可以(yǐ)輕易地(dì / de)修改根區文件的(de)内容,甚至可移除特定的(de)頂級域。假如服務器通過修改配置,拒絕響應用戶所發起的(de)查詢請求,上(shàng)述說(shuō)法某種程度上(shàng)可算是(shì)成立的(de)。但通過驗證DNSSEC的(de)數字簽名,可輕易發現此類篡改行爲(wéi / wèi)。一(yī / yì /yí)旦DNSSEC校驗失敗,便可得知解析結果并非源自互聯網号碼分配機構(IANA),被篡改的(de)内容也(yě)會被直接抛棄。因此,盡管理論上(shàng)而(ér)言,根服務器節點可修改根區文件數據,但修改後無法通過DNSSEC數字簽名的(de)校驗。
第三種說(shuō)法認爲(wéi / wèi),管理根區文件數據和(hé / huò)提供解析服務是(shì)一(yī / yì /yí)樣的(de)。但二者并不(bù)相同,管理主要(yào / yāo)涉及數據存儲和(hé / huò)使用規則的(de)制定等,而(ér)解析則是(shì)對數據内容的(de)響應。
第四種說(shuō)法認爲(wéi / wèi),某些特定的(de)根服務器比其它根服務器更爲(wéi / wèi)重要(yào / yāo)。這(zhè)種說(shuō)法也(yě)不(bù)正确。實際上(shàng)所有的(de)根服務器的(de)運行管理機構是(shì)完全平等的(de)。用戶可以(yǐ)向其中任意一(yī / yì /yí)個(gè)發起域名查詢請求,最終得到(dào)的(de)結果也(yě)将完全相同。
第五種說(shuō)法是(shì),目前僅存在(zài)13個(gè)根服務器。實際上(shàng),全球共有超過1000個(gè)根服務器節點,但是(shì)這(zhè)些根服務器節點共享13個(gè)名稱(identities),分别對應着負責運行管理的(de)組織機構。
第六種說(shuō)法認爲(wéi / wèi),ICANN控制了(le/liǎo)所有根服務器運行管理機構。顯然不(bù)是(shì)這(zhè)樣。因爲(wéi / wèi)根服務器的(de)管理機構比ICANN存在(zài)的(de)時(shí)間還要(yào / yāo)長。而(ér)且根服務器管理單位RSSAC也(yě)僅有少數人(rén)從屬于(yú)ICANN。
Fred Baker表示,根服務器系統的(de)運行管理機構,必須以(yǐ)誠信正直的(de)精神來(lái)維護互聯網的(de)共同利益。同時(shí),根服務器的(de)運行管理機構,必須保持自身的(de)獨立性,他(tā)們不(bù)應當受到(dào)任何一(yī / yì /yí)個(gè)派别的(de)操縱。
“根服務器系統的(de)運行管理是(shì)高度獨立的(de),盡管其中一(yī / yì /yí)些機構屬于(yú)美國(guó)政府,但他(tā)們并不(bù)是(shì)由政府來(lái)運作旳。” Fred Baker表示。
(本文整理自Fred Baker在(zài)2020年北京網絡安全大(dà)會上(shàng)的(de)報告)
相關背景:
根服務器系統咨詢委員會(Root Server System Advisory Committee,RSSAC)是(shì)ICANN技術社群的(de)10個(gè)技術委員會之(zhī)一(yī / yì /yí),其成員主要(yào / yāo)爲(wéi / wèi)互聯網域名系統根服務器的(de)創始者。該委員會的(de)使命是(shì)成爲(wéi / wèi)聯系技術社群、董事會以(yǐ)及域名根服務器利益相關方的(de)溝通渠道(dào),主要(yào / yāo)負責提供與域名系統根服務器相關的(de)咨詢和(hé / huò)建議。因此,RSSAC重點關注根服務器系統的(de)工作機制,以(yǐ)及如何更好地(dì / de)服務ICANN技術社群等問題。
RSSAC由負責運行全球根服務的(de)組織的(de)代表組成。
2013年7月18日,ICANN董事會批準了(le/liǎo)RSSAC的(de)初始成員和(hé / huò)領導層,并于(yú)2014年6月26日任命了(le/liǎo)新的(de)代表。(詳情見https://www.icann.org/groups/rssac )