2009年5月19日晚19点左右,很多人在上网时发现,新浪、搜狐、网易等各大门户网站均不能访问!一石激起千层浪,在19-20日两天时间里,全国多个省份都发生了大面积的互联网瘫痪事故。经调查发现,这是因为某知名影音软件由于存在设计缺陷,以及免费智能DNS软件的不健壮性,导致DDoS攻击有机可乘。时至今日,当我们再次回首“519断网事件”,最发人深省的还不是人们已经司空见惯的网络攻击,而是网络攻击的目标——域名解析系统的脆弱性。
“网络安全为人民,网络安全靠人民”,当我们在默念2023年国家网络安全宣传周的主题时,是否也会扪心自问,作为网络安全的第一道关口,域名系统的安全是否得到了足够的重视?如何才能更好地保护域名系统的安全呢?
攻击猛如虎
互联网关键基础资源安全不容忽视
在“互联网+”时代,勒索病毒、网络诈骗、信息泄露……安全威胁与风险可谓无处不在、无孔不入。“域名是互联网的入口,是流量的航向标。守护入口安全对于维护网络安全具有非常重要的意义。”互联网域名系统国家地方联合工程研究中心(ZDNS)CEO邢志杰如是说。
互联网域名系统国家地方联合工程研究中心(ZDNS)CEO邢志杰
网络安全风险的漏洞根源究竟在哪里呢?让我们抽丝剥茧,从互联网的三层架构体系(物理设施层、基础资源层、应用层)来逐层拆解:最底层的物理设施层包括基础网络、传输设备、互联设备、接入系统等,构成了我们经常说的信息高速公路;而最上面的应用层则包括互联网的各种应用,如电子商务、电子政务、网络游戏、视频通讯等,就像是疾驰在高速公路上的汽车;在这两层中间还有一个基础资源层,包含域名系统与路由系统等,域名系统就如同交通中的导航系统,如果互联网的导航系统一旦失效,那么断网也就不可避免。由于根服务器、顶级域名等互联网关键基础设施都在这一层,所以人们习惯上把这一层比作“网络根基”。
对于物理设施和上层应用,业界已经谈得非常多且透彻,这里就不再赘述。反而是基础资源层,由于“看得见却摸不着”,而且人们在访问网络时,已经把它当成是一种理所当然的存在,有时只是轻点鼠标或者输入简单的网址,网上的应用就可以信手拈来,谁又会留心这背后的DNS(域名系统)存在的安全隐患呢?
“在基础资源层中的DNS,相对处于‘隐形’状态,如同互联网世界中的‘空气和水’,用户平时基本感知不到其存在,只有出了问题时才会警觉。就像‘519断网事件’造成了恶劣影响,才会刺痛人们的神经。”邢志杰分析指出,在如此关键的网络基础资源上,域名安全整体现状不容乐观。
深挖根源,从国家层面看,DNS面临着三大挑战,即“断根”“断服”“断供”。所谓“断根”,是指国家顶级域名被关停,拒绝中国用户对根服务器进行访问;“断服”是指通过顶级域名管理权阻断我国机构域名的全球互联互通;“断供”则是指停止向我国提供域名基础软件和装备。
当前的情况是,全球拥有13台根服务器,主要分布于美国、欧洲等国家和地区,目前在中国部署的只有镜像根服务器。全球大约有1500个顶级域名,中国境内拥有管理权的不足3%。我国运行域名系统的软件和设备虽有数千万套,但超过90%使用的都是国外域名软件。由于国际局势变幻莫测,“断根”“断服”“断供”并不是危言耸听,DNS面临的安全挑战确实不容回避。中国需要更安全的网络根基。
从企业和组织层面来看,当前如火如荼的数字化转型,需要以更安全的网络根基作为前提和基础。一方面,企业和组织内部的数据越来越多地迁移到线上;另一方面,为用户提供的服务也都在线上实现。如果没有安全的网络根基,这些网络上的数据、应用和业务将举步维艰。
从个人用户的角度来看,电信诈骗、恶意程序、各类钓鱼事件等保持高速增长,同时黑客攻击与大规模的个人信息泄露事件频发,导致大量个人信息的泄露与财产损失不断增加。SpyCloud发布的《2023 年度身份暴露报告》显示,2022 年,各大安全事件中累计发现了7.215亿个账号信息被泄露,全球超过2200万台设备感染了恶意软件。
诸多事实证明,我们只有守护好DNS的安全防线,建立全面化、体系化的防护机制与措施,才能确保网络访问的长治久安。
先天脆弱后天不足
谁能担起DNS安全大任?
对于DNS来说,重要性与脆弱性并存。从近年来网络攻击的态势来看,针对DNS的攻击呈上升趋势。有统计数据显示:DNS DDoS攻击占整体攻击数量的33%;近91.3%的恶意软件被发现使用DNS作为主要手段;近68%的企业对递归DNS服务器缺乏有效的安全监护措施;DNS作为隐蔽通道可以在攻击链多个环节被攻击者利用……由此可见,加强DNS的安全保护刻不容缓。
从整体上看,域名安全是整体网络安全的一个短板。为何传统DNS的安全基础如此薄弱?邢志杰给出了如下解释。
首先,DNS协议简单,容易掌握,相当于降低了攻击门槛。诞生于1983年的DNS协议,在其设计之初并没有充分考虑到数据安全层面的问题。它采用无来源认证的机制,并使用明文传输,缺乏完整性和保密性验证。因此,随着网络规模的爆发式增长以及网络环境的不断恶化,DNS极易受到缓存投毒、信息监听、域名劫持等各种攻击,为用户隐私数据泄露开了“天窗”。
其次,攻击成本低,收益却非常高。针对DNS的攻击工具的开发与触发都非常简单,而一旦得手,因为其处于网络“入口”的位置,攻击效果非常明显,能够让攻击者轻易获得的巨大收益,所以攻击者趋之若鹜。
最后,DNS没有建立起针对性的防御体系。传统安全防护手段(如防火墙、IPS、上网行为管理等)根本无法全面有效地防御针对DNS的多样攻击行为,而且缺少有效的针对DNS威胁的发现手段,无法及时发现域名滥用等情况。
从实践来看,DNS一旦发生安全问题,基本都会引发大规模的网络问题,甚至会上升为国家安全问题。国内外发生过多起因为DNS遭受攻击,导致域名解析异常,网络服务中断甚至全面瘫痪的情况。针对此种情况,ZDNS率先提出“下一代DNS”的愿景,并将安全放在首位,致力于打造以“更安全、更高效、更智能、自主可控”为特征的下一代DNS,进而推动网络基础设施安全、高效的持续演进。
安全先行
打造下一代DNS
专业的人做专业的事。从成立公司开始商业化运作到现在,ZDNS已经经历了十年的磨砺,组织起近400人的团队,如此的规模在全球DNS领域来说都是首屈一指的。ZDNS始终将技术创新作为公司的立足之本。针对DNS在安全方面的短板和不足,ZDNS从加密、威胁情报、人工智能技术三个维度,将安全技术与DNS技术深度结合,引领着下一代DNS的发展。
首先,与加密技术结合,ZDNS实现了DNS的安全传输、分发同步,通过HTTPDNS、DOH、DOT、DNSSEC等技术,突破UDP传输协议限制,提升了传统DNS系统传输安全可控能力。
其次,与威胁情报技术结合,ZDNS构建了安全威胁“预测、防御、检测、溯源”的能力闭环,将恶意程序、钓鱼网站等威胁在“入口层”进行拦截,并可溯源到失陷终端。通过威胁检测、安全基线、威胁阻断、事件回溯等技术,ZDNS实现了态势可视、主动处置、快速溯源,变被动保护为主动识别防护。
最后,充分运用深度学习和大数据技术,ZDNS能够实现对攻击特征的发现检测,防范DNS隧道,防止数据泄露风险;同时有效识别和防范DDoS攻击,保证服务可靠;通过DNS隧道、DGA、域名窥探防护等技术,阻断利用DNS进行的安全渗透,避免数据泄露等安全事件的发生。
基于上述三大安全策略,ZDNS构建起了更安全的下一代DNS,同时也为下一代DNS打造了一个传输可信、威胁阻断、服务可靠的安全体系。截至目前,ZDNS为TOP100中超过80%的金融机构提供了数据中心应用多活灾备调度解决方案,提升了业务容灾能力;为中国500强企业超过70%的客户提供了基础网络设施服务体系化解决方案,打造高效、智能、敏捷、安全的核心网络服务平台;为68%的政务客户提供了自主可控、智能高效的网络基础服务,满足集约共享、安全可控、灵活智能的需求……
三大安全基石
筑牢网络根基
在国家层面,我国高度重视DNS发展安全,相关政策文件对DNS的安全提出了明确而具体的要求。比如,《十三五国家信息化规划》(国发[2016] 73号)提出,“保障在根及重点顶级域服务系统异常状态下我国大陆境内域名服务体系的正常运行”“强化安全监管、综合防护的技术手段支撑,提升我国域名体系的网络安全和应急处置能力”。工信部在《“十四五”信息通信行业发展规划》和《“十四五”软件和信息技术服务业发展规划》中也分别指出,“全面增强互联网基础管理,加强网络寻址管理,有序引入互联网域名根镜像服务器。”“着力增强大规模网络攻击防御能力,加强公共域名服务安全,保障能力建设,防范遏制重特大网络安全事件”。这也为未来DNS的安全演进指明了方向和路径。
顺应行业发展和客户需求,ZDNS主张从体系安全、架构安全、核心安全三个维度,不断夯实域名服务的安全基座。
在体系安全建设方面,核心工作是规范域名空间的使用,掌控域名空间使用及域名服务状态的态势变化;实现对DNS服务的观察、理解和预测,精准指导域名安全防护管理工作。上述工作的前提和核心是建立相关行业标准。目前,ZDNS本身主导制定了5项IETF国际标准、20项国内行业标准,总部及子公司申请超过100项专利,已获授权46项,在不断完善的行业标准指导下,将体系安全建设落到实处。
为了保证架构安全,就必须实现人机分离、内外分离、权威递归分离、AD业务分离、业务与管理分离。只有实现网络基础设施的生态融合,才能达到上述的应用效果。
保障核心安全,就要实现解析引擎技术自主可控,避免重大风险。这需要更多科技研发工作者的投入,同时加强域名等网络基础技术的研发,筑牢网络根基。
安全是必须谨守的底线。通过自主技术、国密算法、威胁管控、数据可信、隐私保护等实现域名解析安全,同时与操作系统、芯片等基础设施无缝衔接,共同打造自主可控的网络底座,为网络强国、数字中国建设提供可靠支撑,这是时代赋予DNS企业的历史使命。
