![]() |
新聞中心
當(dāng)前位置:網(wǎng)站首頁(yè) > 新聞中心
互聯(lián)網(wǎng)技術(shù)進(jìn)步了,域名系統(tǒng)更安全了嗎
域名系統(tǒng)濫用,是網(wǎng)絡(luò)時(shí)代的常見(jiàn)病。相信我們每個(gè)人在生活中都曾遇到過(guò)這樣的情況——明明輸入了網(wǎng)址A,卻跳轉(zhuǎn)到了莫名其妙的網(wǎng)址B,有時(shí)B網(wǎng)站中充滿(mǎn)了廣告甚至是惡意軟件,有時(shí)候是連續(xù)的網(wǎng)頁(yè)跳轉(zhuǎn),甚至最終造成死機(jī)。黑客對(duì)計(jì)算機(jī)發(fā)起的攻擊,也常常利用域名系統(tǒng)盜取用戶(hù)密碼、發(fā)起分布式拒絕訪(fǎng)問(wèn)攻擊等。那么域名系統(tǒng)到底是什么,又為何會(huì)被濫用,我們普通人又能做些什么保護(hù)自己的上網(wǎng)安全?本報(bào)記者日前采訪(fǎng)了互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu)(ICANN)負(fù)責(zé)互聯(lián)網(wǎng)安全、穩(wěn)定和彈性的首席技術(shù)官約翰·克雷恩(John Crain)。
域名系統(tǒng)到底是什么,為何會(huì)被濫用
域名系統(tǒng)(Domain Name System,簡(jiǎn)稱(chēng)DNS),是方便人們使用互聯(lián)網(wǎng)而設(shè)計(jì)的系統(tǒng)。在互聯(lián)網(wǎng)中,計(jì)算機(jī)、服務(wù)器、智能手機(jī)等網(wǎng)絡(luò)設(shè)備通過(guò)IP地址來(lái)找到彼此,但由于IP地址往往是一串長(zhǎng)數(shù)字,如192.0.32.7,人腦很難記憶。于是在互聯(lián)網(wǎng)組建之初,科學(xué)家人為地規(guī)定,人使用字母記憶網(wǎng)絡(luò)地址,如baidu.com、sina.com等,機(jī)器則依舊使用IP地址。在人和機(jī)器間采用域名系統(tǒng)進(jìn)行“翻譯”“轉(zhuǎn)接”。
約翰·克雷恩向記者介紹說(shuō),域名本身由兩部分組成,“點(diǎn)”之前的部分和之后的部分。點(diǎn)右邊的部分,例如“com”“net”“org”等,被稱(chēng)為“頂級(jí)域名”。每個(gè)頂級(jí)域名都有一個(gè)注冊(cè)局,以負(fù)責(zé)管理該特定頂級(jí)域名結(jié)尾的所有域名,并有權(quán)訪(fǎng)問(wèn)直接位于該名稱(chēng)之下的完整域名列表以及與這些名稱(chēng)關(guān)聯(lián)的IP地址。點(diǎn)之前的部分是用戶(hù)注冊(cè)使用(例如網(wǎng)站、電子郵件等)的域名。這些域名由大量的域名注冊(cè)商進(jìn)行銷(xiāo)售。
互聯(lián)網(wǎng)名稱(chēng)與數(shù)字地址分配機(jī)構(gòu)(ICANN)和每個(gè)域名注冊(cè)局都簽訂合同,同時(shí)還對(duì)注冊(cè)商執(zhí)行認(rèn)證制度,普通人可以向這些注冊(cè)商或注冊(cè)局申請(qǐng)域名。這為域名系統(tǒng)提供了穩(wěn)定一致的環(huán)境,從而為互聯(lián)網(wǎng)提供全球穩(wěn)定一致的環(huán)境。約翰·克雷恩總結(jié)稱(chēng),域名系統(tǒng)提供了一種幫助人們尋找特定網(wǎng)站的互聯(lián)網(wǎng)尋址系統(tǒng)。
同時(shí)這也是域名系統(tǒng)經(jīng)常成為攻擊的目標(biāo)的原因,因?yàn)槊恳粋€(gè)人都依賴(lài)該系統(tǒng)去解析跟IP地址對(duì)應(yīng)的容易記憶的名字。約翰·克雷恩繼續(xù)談到,通過(guò)擾亂域名服務(wù),濫用者能夠擾亂電子商務(wù)、公共服務(wù)、在線(xiàn)學(xué)習(xí)以及社交應(yīng)用。濫用者還能欺騙蒙混用戶(hù)導(dǎo)致用戶(hù)聲譽(yù)或者財(cái)產(chǎn)上的損失。域名系統(tǒng)濫用的常見(jiàn)形式包括釣魚(yú)網(wǎng)站、垃圾郵件、散布惡意軟件及拒絕服務(wù)攻擊。
域名系統(tǒng)除了讓人們更容易使用網(wǎng)絡(luò)之外,還有一個(gè)優(yōu)點(diǎn)就是由于可快捷方便地更改特定域名和特定IP地址之間的映射關(guān)系,所以特定的域名無(wú)須綁定到特定的計(jì)算機(jī)。通過(guò)持續(xù)更新的域名系統(tǒng)基礎(chǔ)設(shè)施,整個(gè)互聯(lián)網(wǎng)可在48小時(shí)內(nèi)識(shí)別出所做的更改,結(jié)果就是使互聯(lián)網(wǎng)變得極其靈活。
互聯(lián)網(wǎng)技術(shù)在進(jìn)步,域名系統(tǒng)的安全性進(jìn)步了嗎
隨著互聯(lián)網(wǎng)的發(fā)展,每個(gè)人都可以通過(guò)自己的智能手機(jī)、平板電腦來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)生活,人們也越來(lái)越多地使用APP,但這并不意味著我們告別了域名系統(tǒng)濫用的威脅。克雷恩對(duì)記者說(shuō),當(dāng)我們?cè)谥悄苁謾C(jī)的某個(gè)應(yīng)用中點(diǎn)擊某個(gè)按鈕時(shí),這個(gè)按鈕要實(shí)現(xiàn)功能,背后依然需要域名系統(tǒng)來(lái)支持。
克雷恩對(duì)記者表示,隨著整個(gè)互聯(lián)網(wǎng)行業(yè)的發(fā)展,域名系統(tǒng)的建設(shè)和維護(hù)也有了更多的參與者,中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心在應(yīng)對(duì)域名系統(tǒng)濫用方面就是一個(gè)重要和積極的參與者。中國(guó)互聯(lián)網(wǎng)行業(yè)發(fā)展空前繁榮,眾多的中國(guó)工程師也在為域名系統(tǒng)的技術(shù)革新和變革作出貢獻(xiàn),比如前幾天我就和一些中國(guó)的開(kāi)發(fā)者共同討論了新的域名系統(tǒng)規(guī)則,如DNSSEC,DANE等。
他認(rèn)為,現(xiàn)在與域名系統(tǒng)創(chuàng)立時(shí)的互聯(lián)網(wǎng)環(huán)境已經(jīng)完全不同,越來(lái)越多的設(shè)備,尤其是廉價(jià)設(shè)備接入了互聯(lián)網(wǎng),而廉價(jià)設(shè)備有時(shí)候就意味著不安全,我們也觀察到越來(lái)越多來(lái)源于廉價(jià)互聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊,例如2016年發(fā)生的利用家用物聯(lián)網(wǎng)設(shè)備發(fā)起的針對(duì)Dyn的攻擊而導(dǎo)致美國(guó)大面積斷網(wǎng)事件。目前在家庭和辦公環(huán)境中,都使用了大量的廉價(jià)互聯(lián)網(wǎng)設(shè)備。當(dāng)然,這是由于成本和市場(chǎng)等等因素共同造成的,但如果你對(duì)比過(guò)去幾次科技浪潮,互聯(lián)網(wǎng)科技浪潮的規(guī)模擴(kuò)張?zhí)卣饔绕涿黠@,這在加速行業(yè)發(fā)展的同時(shí),也帶來(lái)了許多潛在的麻煩。
他進(jìn)一步表示,全世界的工程師們一直在努力改善域名系統(tǒng)協(xié)議的安全性和抗攻擊性。盡管域名系統(tǒng)的底層協(xié)議是在1987年制定的,但對(duì)比30多年前,今天的域名系統(tǒng)協(xié)議和規(guī)則已經(jīng)發(fā)生了巨大的變化。最簡(jiǎn)單的例子就是,20多年前注冊(cè)域名只能向一家分配機(jī)構(gòu)申請(qǐng),現(xiàn)在,我們已經(jīng)有了幾千個(gè)域名注冊(cè)局和域名注冊(cè)商。在技術(shù)層面,我們?nèi)ツ晖茝V部署了域名系統(tǒng)安全性擴(kuò)展協(xié)議(DNSSEC),這套新的協(xié)議可以提升域名系統(tǒng)的安全性,并保護(hù)域名系統(tǒng)服務(wù)器不受特定分布式拒絕服務(wù)的襲擊。ICANN還部署了“域名系統(tǒng)濫用行為報(bào)告系統(tǒng)”(簡(jiǎn)稱(chēng)DAAR),希望能夠幫助各國(guó)執(zhí)法部門(mén)、產(chǎn)業(yè)監(jiān)管部門(mén)和注冊(cè)局注冊(cè)商更有效地應(yīng)對(duì)濫用問(wèn)題。
|