![]() |
新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
互聯(lián)網(wǎng)技術(shù)進步了,域名系統(tǒng)更安全了嗎
域名系統(tǒng)濫用,是網(wǎng)絡(luò)時代的常見病。相信我們每個人在生活中都曾遇到過這樣的情況——明明輸入了網(wǎng)址A,卻跳轉(zhuǎn)到了莫名其妙的網(wǎng)址B,有時B網(wǎng)站中充滿了廣告甚至是惡意軟件,有時候是連續(xù)的網(wǎng)頁跳轉(zhuǎn),甚至最終造成死機。黑客對計算機發(fā)起的攻擊,也常常利用域名系統(tǒng)盜取用戶密碼、發(fā)起分布式拒絕訪問攻擊等。那么域名系統(tǒng)到底是什么,又為何會被濫用,我們普通人又能做些什么保護自己的上網(wǎng)安全?本報記者日前采訪了互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)負責(zé)互聯(lián)網(wǎng)安全、穩(wěn)定和彈性的首席技術(shù)官約翰·克雷恩(John Crain)。
域名系統(tǒng)到底是什么,為何會被濫用
域名系統(tǒng)(Domain Name System,簡稱DNS),是方便人們使用互聯(lián)網(wǎng)而設(shè)計的系統(tǒng)。在互聯(lián)網(wǎng)中,計算機、服務(wù)器、智能手機等網(wǎng)絡(luò)設(shè)備通過IP地址來找到彼此,但由于IP地址往往是一串長數(shù)字,如192.0.32.7,人腦很難記憶。于是在互聯(lián)網(wǎng)組建之初,科學(xué)家人為地規(guī)定,人使用字母記憶網(wǎng)絡(luò)地址,如baidu.com、sina.com等,機器則依舊使用IP地址。在人和機器間采用域名系統(tǒng)進行“翻譯”“轉(zhuǎn)接”。
約翰·克雷恩向記者介紹說,域名本身由兩部分組成,“點”之前的部分和之后的部分。點右邊的部分,例如“com”“net”“org”等,被稱為“頂級域名”。每個頂級域名都有一個注冊局,以負責(zé)管理該特定頂級域名結(jié)尾的所有域名,并有權(quán)訪問直接位于該名稱之下的完整域名列表以及與這些名稱關(guān)聯(lián)的IP地址。點之前的部分是用戶注冊使用(例如網(wǎng)站、電子郵件等)的域名。這些域名由大量的域名注冊商進行銷售。
互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(ICANN)和每個域名注冊局都簽訂合同,同時還對注冊商執(zhí)行認證制度,普通人可以向這些注冊商或注冊局申請域名。這為域名系統(tǒng)提供了穩(wěn)定一致的環(huán)境,從而為互聯(lián)網(wǎng)提供全球穩(wěn)定一致的環(huán)境。約翰·克雷恩總結(jié)稱,域名系統(tǒng)提供了一種幫助人們尋找特定網(wǎng)站的互聯(lián)網(wǎng)尋址系統(tǒng)。
同時這也是域名系統(tǒng)經(jīng)常成為攻擊的目標(biāo)的原因,因為每一個人都依賴該系統(tǒng)去解析跟IP地址對應(yīng)的容易記憶的名字。約翰·克雷恩繼續(xù)談到,通過擾亂域名服務(wù),濫用者能夠擾亂電子商務(wù)、公共服務(wù)、在線學(xué)習(xí)以及社交應(yīng)用。濫用者還能欺騙蒙混用戶導(dǎo)致用戶聲譽或者財產(chǎn)上的損失。域名系統(tǒng)濫用的常見形式包括釣魚網(wǎng)站、垃圾郵件、散布惡意軟件及拒絕服務(wù)攻擊。
域名系統(tǒng)除了讓人們更容易使用網(wǎng)絡(luò)之外,還有一個優(yōu)點就是由于可快捷方便地更改特定域名和特定IP地址之間的映射關(guān)系,所以特定的域名無須綁定到特定的計算機。通過持續(xù)更新的域名系統(tǒng)基礎(chǔ)設(shè)施,整個互聯(lián)網(wǎng)可在48小時內(nèi)識別出所做的更改,結(jié)果就是使互聯(lián)網(wǎng)變得極其靈活。
互聯(lián)網(wǎng)技術(shù)在進步,域名系統(tǒng)的安全性進步了嗎
隨著互聯(lián)網(wǎng)的發(fā)展,每個人都可以通過自己的智能手機、平板電腦來實現(xiàn)網(wǎng)絡(luò)生活,人們也越來越多地使用APP,但這并不意味著我們告別了域名系統(tǒng)濫用的威脅??死锥鲗τ浾哒f,當(dāng)我們在智能手機的某個應(yīng)用中點擊某個按鈕時,這個按鈕要實現(xiàn)功能,背后依然需要域名系統(tǒng)來支持。
克雷恩對記者表示,隨著整個互聯(lián)網(wǎng)行業(yè)的發(fā)展,域名系統(tǒng)的建設(shè)和維護也有了更多的參與者,中國國家互聯(lián)網(wǎng)應(yīng)急中心在應(yīng)對域名系統(tǒng)濫用方面就是一個重要和積極的參與者。中國互聯(lián)網(wǎng)行業(yè)發(fā)展空前繁榮,眾多的中國工程師也在為域名系統(tǒng)的技術(shù)革新和變革作出貢獻,比如前幾天我就和一些中國的開發(fā)者共同討論了新的域名系統(tǒng)規(guī)則,如DNSSEC,DANE等。
他認為,現(xiàn)在與域名系統(tǒng)創(chuàng)立時的互聯(lián)網(wǎng)環(huán)境已經(jīng)完全不同,越來越多的設(shè)備,尤其是廉價設(shè)備接入了互聯(lián)網(wǎng),而廉價設(shè)備有時候就意味著不安全,我們也觀察到越來越多來源于廉價互聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊,例如2016年發(fā)生的利用家用物聯(lián)網(wǎng)設(shè)備發(fā)起的針對Dyn的攻擊而導(dǎo)致美國大面積斷網(wǎng)事件。目前在家庭和辦公環(huán)境中,都使用了大量的廉價互聯(lián)網(wǎng)設(shè)備。當(dāng)然,這是由于成本和市場等等因素共同造成的,但如果你對比過去幾次科技浪潮,互聯(lián)網(wǎng)科技浪潮的規(guī)模擴張?zhí)卣饔绕涿黠@,這在加速行業(yè)發(fā)展的同時,也帶來了許多潛在的麻煩。
他進一步表示,全世界的工程師們一直在努力改善域名系統(tǒng)協(xié)議的安全性和抗攻擊性。盡管域名系統(tǒng)的底層協(xié)議是在1987年制定的,但對比30多年前,今天的域名系統(tǒng)協(xié)議和規(guī)則已經(jīng)發(fā)生了巨大的變化。最簡單的例子就是,20多年前注冊域名只能向一家分配機構(gòu)申請,現(xiàn)在,我們已經(jīng)有了幾千個域名注冊局和域名注冊商。在技術(shù)層面,我們?nèi)ツ晖茝V部署了域名系統(tǒng)安全性擴展協(xié)議(DNSSEC),這套新的協(xié)議可以提升域名系統(tǒng)的安全性,并保護域名系統(tǒng)服務(wù)器不受特定分布式拒絕服務(wù)的襲擊。ICANN還部署了“域名系統(tǒng)濫用行為報告系統(tǒng)”(簡稱DAAR),希望能夠幫助各國執(zhí)法部門、產(chǎn)業(yè)監(jiān)管部門和注冊局注冊商更有效地應(yīng)對濫用問題。
|