kok网址入口

国际互联网发展

全球根域名管理机构主席澄清关于根服务器若干传言

来(lai)源:

时间:2020-08-26


Fred Baker

ICANN 根服务器系统咨询委员会(RSSAC)主席
前IETF主席

  根(gen)服务(wu)器的(de)管理(li)机构(gou)可轻易修改(gai)根(gen)区(qu)文件内容甚至(zhi)可移(yi)除特定(ding)的(de)顶级域?目前(qian)全(quan)世界(jie)仅(jin)有13个根(gen)服务(wu)器?此类(lei)针(zhen)对根(gen)域名服务(wu)器的(de)传(chuan)言一直不休,在日(ri)前(qian)举行的(de)2020年北(bei)京网络安全(quan)大(da)会上(shang),根(gen)服务(wu)器系(xi)统咨询委员会(Root Server System Advisory Committee ,RSSAC)主席(xi)Fred Baker回应了这些(xie)问题。

  Fred Baker表示,关(guan)于互联网(wang)域(yu)名(ming)系统的(de)根服务器,目(mu)前流传着许多(duo)不同版本(ben)的(de)传言,但这些传言都不准确。

  根服务器系统及相关机构

  Fred Baker在报告中重申了域(yu)(yu)名(ming)(ming)(ming)(ming)系(xi)统(tong)的(de)(de)运(yun)行原理(li):先从根服务(wu)器节(jie)点(dian)获(huo)(huo)得(de)(de)域(yu)(yu)名(ming)(ming)(ming)(ming)顶级域(yu)(yu)(如“.cn”)信息的(de)(de)索(suo)引(yin)。而(er)通过(guo)顶级域(yu)(yu)的(de)(de)权(quan)威服务(wu)器可(ke)获(huo)(huo)得(de)(de)二级域(yu)(yu)名(ming)(ming)(ming)(ming)的(de)(de)索(suo)引(yin)。其后,在二级域(yu)(yu)名(ming)(ming)(ming)(ming)的(de)(de)权(quan)威服务(wu)器上,可(ke)获(huo)(huo)得(de)(de)各个域(yu)(yu)名(ming)(ming)(ming)(ming)所对应的(de)(de)服务(wu)器IP地(di)址,或者是域(yu)(yu)名(ming)(ming)(ming)(ming)所属(shu)的(de)(de)子域(yu)(yu)名(ming)(ming)(ming)(ming)。

  根(gen)(gen)(gen)服(fu)务(wu)器(qi)(qi)(qi)系统在运行(xing)过(guo)程中,首(shou)先需要获得根(gen)(gen)(gen)区文件,然后(hou)将其分(fen)发到根(gen)(gen)(gen)服(fu)务(wu)器(qi)(qi)(qi)的(de)(de)运行(xing)管理(li)机(ji)构,根(gen)(gen)(gen)服(fu)务(wu)器(qi)(qi)(qi)节(jie)点(dian)将对全球域名(ming)(ming)服(fu)务(wu)器(qi)(qi)(qi)所发起(qi)的(de)(de)查询请求进行(xing)响应。全球目前可能分(fen)布着超过(guo)一万台(tai)域名(ming)(ming)解析服(fu)务(wu)器(qi)(qi)(qi)。根(gen)(gen)(gen)区文件维护(hu)者(Root Zone Maintainer)根(gen)(gen)(gen)据从互联网号码分(fen)配机(ji)构(IANA)获取的(de)(de)文件提(ti)供根(gen)(gen)(gen)区数据。

  目(mu)前,一共(gong)有(you)12家相互独立的企业(ye)(ye)或者组织(zhi)机(ji)构(gou)在(zai)负(fu)责(ze)管(guan)理(li)运行域名系统(tong)根服务器节(jie)点。其中的一些组织(zhi)实际上隶(li)属于(yu)美国军方,它们不属于(yu)公司或企业(ye)(ye),这类组织(zhi)需要区(qu)别对待。例如,美国国防部网络(luo)信(xin)息中心(Network Information Center,NIC),它是负(fu)责(ze)运行管(guan)理(li)根服务器节(jie)点的机(ji)构(gou)之(zhi)一。此外,还有(you)一些组织(zhi)机(ji)构(gou)分布在(zai)斯(si)德(de)哥尔摩、阿姆(mu)斯(si)特丹以及东京(jing),主要是欧洲技(ji)术(shu)社(she)群,而WIDE项(xiang)目(mu)管(guan)理(li)着(zhe)日(ri)本的根服务器节(jie)点。

  1983年(nian)(nian),IETF的(de)RFC 882和RFC 883两个文档对互联(lian)网(wang)(wang)域名系统DNS进行了描述与定义。1984-1985年(nian)(nian),早(zao)期根(gen)域名系统于(yu)美国(guo)建成,该(gai)系统由四台服(fu)务(wu)器(qi)(qi)组成,它(ta)们分别使用四个独立的(de)IP地(di)址。此后(hou),随着互联(lian)网(wang)(wang)的(de)发展,根(gen)服(fu)务(wu)器(qi)(qi)的(de)数量经(jing)历了多次增(zeng)(zeng)加。1987年(nian)(nian),新(xin)增(zeng)(zeng)三(san)台服(fu)务(wu)器(qi)(qi),1991年(nian)(nian)新(xin)增(zeng)(zeng)一台,1993年(nian)(nian)又增(zeng)(zeng)加一台,1998年(nian)(nian)再增(zeng)(zeng)四台。至此,根(gen)服(fu)务(wu)器(qi)(qi)系统增(zeng)(zeng)加至13台,并各自(zi)拥有1个IP地(di)址。

  当时(shi),分发根域名服务器(qi)地址(zhi)的人(ren)是 Jon Postel (注:被(bei)誉为互(hu)联(lian)网(wang)之神),他邀(yao)请不同(tong)机构共同(tong)运(yun)维根域名服务器(qi),并(bing)长期负(fu)责管(guan)理互(hu)联(lian)网(wang)号码(ma)分配机构(Internet Assigned Numbers Authority,IANA)。Jon Postel去世(1998年)之后,没人(ren)了解(jie)该如何(he)(he)新增根服务器(qi)的入口,或如何(he)(he)修改变动根服务器(qi)。

  在此情况下,根服务器(qi)系统咨询委员会RSSAC运行管(guan)理根域(yu)名服务器(qi)系统将近20年。

  期间面(mian)临(lin)一个(ge)非常重(zhong)要问题是:如何设计完(wan)善(shan)运行流(liu)程,以转变(bian)DNS系统面(mian)临(lin)的(de)困(kun)难局面(mian)。经过多次讨论和实(shi)践,根(gen)(gen)(gen)服务(wu)(wu)器系统不断演进(jin),最终形(xing)成(cheng)当前规模。截至(zhi)2020年8月1日,DNS根(gen)(gen)(gen)服务(wu)(wu)器系统共(gong)有1086个(ge)根(gen)(gen)(gen)服务(wu)(wu)器节点。

  引入数字签名技术

  在过(guo)去十几(ji)年中(zhong),互联网工程任务组(The Internet Engineering Task Force,IETF)已(yi)经对根(gen)区(qu)文件的(de)(de)(de)信息做出了一(yi)系列优化与改进。其中(zhong)一(yi)项极为(wei)重要的(de)(de)(de)变化是(shi),使(shi)用数字签名技(ji)术(shu)来(lai)保障(zhang)域(yu)(yu)名系统的(de)(de)(de)安(an)(an)全性(xing),即DNS安(an)(an)全扩展(Domain Name System Security Extensions,DNSSEC)的(de)(de)(de)引(yin)入。目前几(ji)乎所有(you)顶(ding)级域(yu)(yu)均已(yi)支持DNSSEC,并且其中(zhong)有(you)许(xu)多顶(ding)级域(yu)(yu)对所包(bao)含(han)的(de)(de)(de)二级域(yu)(yu)名进行签名,许(xu)多二级域(yu)(yu)名进一(yi)步对其子域(yu)(yu)名进行签名。

  数字签名(ming)(ming)的主(zhu)要功(gong)能是(shi)(shi)验证(zheng)用户(hu)所(suo)接收的信(xin)息(xi)是(shi)(shi)否准(zhun)确(que)。当某个客(ke)户(hu)端(duan)发起域名(ming)(ming)查询(xun)请(qing)求时,可能会被(bei)劫持或转(zhuan)发到未经授权的根服务器管理者,导致域名(ming)(ming)响应(ying)的内容(rong)与互(hu)联网号码分配机构(IANA)所(suo)提供的信(xin)息(xi)不一致,造成所(suo)谓的DNS伪造攻击。

  如(ru)何(he)检测这类攻击(ji)?如(ru)何(he)才能知道应答响应的(de)(de)内容(rong)是否合法(fa)?解决(jue)方案是对(dui)数字签(qian)(qian)(qian)名(ming)(ming)的(de)(de)内容(rong)进行校(xiao)验。如(ru)果(guo)数字签(qian)(qian)(qian)名(ming)(ming)是伪造(zao)的(de)(de),就意味着(zhe)应答内容(rong)是非法(fa)的(de)(de)。通(tong)常,域(yu)名(ming)(ming)解析(xi)服务器负责(ze)验证数字签(qian)(qian)(qian)名(ming)(ming)记录(lu)。除了域(yu)名(ming)(ming)解析(xi)服务器之外,任何(he)发(fa)起域(yu)名(ming)(ming)查询的(de)(de)设备、系统均有权利,RSSAC也强烈建议其去校(xiao)验DNSSEC的(de)(de)数字签(qian)(qian)(qian)名(ming)(ming)记录(lu)。

  根域名系统管理的十一项原则

  2014年,Steve Crocker(ICANN董事会主席)曾(ceng)向RSSAC提(ti)出一(yi)个问题:该如何解决Jon Postel先生去(qu)世之(zhi)后管理根区(qu)文件规(gui)范(fan)流程的缺失(shi)?

  2015年,RSSAC委员会相聚在工作组讨论这一问(wen)题,并从当(dang)年9月开始,召开了(le)一系列的研(yan)讨会,最终形成了(le)一份技术报(bao)告(gao),也即RSSAC037文档。该报(bao)告(gao)内容可在网上查(cha)阅,其中的一项(xiang)重要内容是提出管理(li)根(gen)服务器系统所(suo)应依据的11条(tiao)原则,具(ju)体内容如下:

  (1)为了(le)维护一(yi)个全(quan)球性的互联网,需(xu)要一(yi)个全(quan)球统(tong)一(yi)的域名系统(tong),从而使用户在不(bu)同(tong)地区(qu)或使用不(bu)同(tong)域名解析服务器时,对于相同(tong)索引内容总能获(huo)得相同(tong)解析结(jie)果(guo)。

  (2)IANA是DNS根数据的来源。

  (3)根服务(wu)器系统必须(xu)是(shi)稳(wen)定可(ke)靠、富有(you)(you)弹性的平台,能够(gou)为所有(you)(you)用(yong)户提供域名(ming)解(jie)析服务(wu)。

  (4)根服务器操(cao)作的(de)多(duo)样(yang)(yang)性(xing)是(shi)(shi)整个系统的(de)优势。如果所(suo)有(you)人都(dou)使(shi)用完全相(xiang)同(tong)的(de)软(ruan)件,当(dang)域名系统出(chu)现故障时,所(suo)有(you)人都(dou)会(hui)遇到(dao)此类故障,将导致非(fei)常(chang)严重的(de)安全事故。因此,多(duo)样(yang)(yang)性(xing)是(shi)(shi)一项基本(ben)的(de)设(she)计(ji)原则:需要操(cao)作不同(tong)的(de)DNS软(ruan)件,使(shi)用不同(tong)的(de)硬件设(she)备,使(shi)用不同(tong)的(de)网络获取数据。多(duo)样(yang)(yang)性(xing)是(shi)(shi)加强系统健(jian)壮性(xing)的(de)重要因素。

  (5)体系结构(gou)的(de)(de)变化应该来自于(yu)技术(shu)的(de)(de)发展和已证(zheng)明的(de)(de)技术(shu)需(xu)求(qiu)。

  (6)IETF定(ding)义DNS协议的(de)(de)技术操作。所有改变的(de)(de)驱动(dong)力都应源(yuan)自技术层面,而技术上(shang)的(de)(de)推陈出新多由互联网工程任务组(zu)(IETF)发起。

  剩余的五(wu)项原则均直接面向根服务器系(xi)统的运行管理机构(RSOs)。

  (7)RSOs必(bi)须以诚信正(zheng)直的(de)精神来(lai)维护(hu)互联网的(de)共同(tong)利益。

  (8)RSOs必须保持透(tou)明。作为(wei)一个互(hu)联(lian)网组织(zhi)机构,要保持透(tou)明,能够说到(dao)(dao)做到(dao)(dao)。

  (9)RSOs必(bi)须与利益相(xiang)关方(fang)合作(zuo),并鼓(gu)励(li)其参(can)与。在IETF和ICANN的组织架构下,RSOs不仅需要与客户以(yi)及合作(zuo)者积极沟通,也需要吸引并鼓(gu)励(li)技术社群(qun)中的利益相(xiang)关方(fang)一起参(can)与。

  (10)RSOs必须保持(chi)自身的自主性和独立(li)性。不应受(shou)到任何一(yi)个派别的操控。根服(fu)务器(qi)系(xi)统的运行(xing)管理机构其(qi)(qi)实是高度独立(li)的。尽管其(qi)(qi)中一(yi)些(xie)机构属于美国政(zheng)府,但(dan)是并非由(you)政(zheng)府来运作的。

  (11)RSOs必(bi)须保持中(zhong)立与(yu)公正,并提供必(bi)要的(从IANA获取的)信息。

  关于根服务器系统的不实传言

  Fred Baker表示,关于互联网域名系(xi)统(tong)的(de)根服务器,目前流传(chuan)着(zhe)许多不同传(chuan)言,但(dan)这些(xie)传(chuan)言都不准(zhun)确。

  一种说法是,域(yu)名系(xi)统(tong)根(gen)服(fu)务器(qi)可以控(kong)制互联网流量的转(zhuan)发路径。但事实并(bing)非如此,根(gen)服(fu)务器(qi)不会(hui)控(kong)制任何其他事项,它只负责分(fen)发根(gen)区(qu)文件(jian)的信(xin)息。数据包转(zhuan)发的过程路径信(xin)息是由互联网路由器(qi)所决定的。

  第二种(zhong)说(shuo)法是,根服(fu)务器(qi)(qi)的(de)(de)管(guan)理(li)机(ji)构可(ke)(ke)以轻易地修改根区(qu)文件的(de)(de)内容,甚至(zhi)可(ke)(ke)移(yi)除特定的(de)(de)顶级域。假(jia)如服(fu)务器(qi)(qi)通过(guo)修改配置,拒(ju)绝(jue)响应用户(hu)所发起的(de)(de)查询请求(qiu),上(shang)述(shu)说(shuo)法某种(zhong)程度上(shang)可(ke)(ke)算是成立的(de)(de)。但通过(guo)验(yan)证DNSSEC的(de)(de)数字签名(ming)(ming),可(ke)(ke)轻易发现此(ci)类篡改行(xing)为。一旦DNSSEC校验(yan)失败,便可(ke)(ke)得知解(jie)析(xi)结果并(bing)非源自互(hu)联网号码分配机(ji)构(IANA),被篡改的(de)(de)内容也(ye)会(hui)被直接抛弃。因(yin)此(ci),尽管(guan)理(li)论(lun)上(shang)而言(yan),根服(fu)务器(qi)(qi)节点(dian)可(ke)(ke)修改根区(qu)文件数据(ju),但修改后无法通过(guo)DNSSEC数字签名(ming)(ming)的(de)(de)校验(yan)。

  第三(san)种说法认为,管理(li)根(gen)区文件数据(ju)和提供解析服务是一样的(de)(de)。但二(er)者并(bing)不相(xiang)同,管理(li)主(zhu)要(yao)涉及数据(ju)存储和使用规则(ze)的(de)(de)制定等(deng),而解析则(ze)是对数据(ju)内(nei)容的(de)(de)响(xiang)应。

  第四种说法认为,某些(xie)特定的(de)根服务器(qi)比其它根服务器(qi)更为重要。这种说法也(ye)(ye)不正确。实际上所有的(de)根服务器(qi)的(de)运行管理机构是完全平(ping)等的(de)。用(yong)户可以向其中任意一个发起域(yu)名(ming)查询请求,最终得到的(de)结果也(ye)(ye)将完全相同。

  第五(wu)种说法是,目前仅存在13个根服务器(qi)。实(shi)际上,全球共(gong)有超过1000个根服务器(qi)节点(dian),但是这些根服务器(qi)节点(dian)共(gong)享13个名称(identities),分别对应着负责(ze)运(yun)行管理(li)的组(zu)织机构。

  第六种说法认为,ICANN控制了所有根(gen)(gen)服务器(qi)(qi)运行管理(li)机构(gou)。显(xian)然不是这样(yang)。因为根(gen)(gen)服务器(qi)(qi)的管理(li)机构(gou)比ICANN存(cun)在的时间还要(yao)长。而且根(gen)(gen)服务器(qi)(qi)管理(li)单位RSSAC也(ye)仅有少数人从属于ICANN。

  Fred Baker表(biao)示,根(gen)服(fu)务器系统的(de)运行管(guan)理机(ji)构,必须以诚信正直(zhi)的(de)精神(shen)来维护互联网的(de)共同利(li)益。同时,根(gen)服(fu)务器的(de)运行管(guan)理机(ji)构,必须保持自身(shen)的(de)独立性,他们(men)不应(ying)当受(shou)到(dao)任何一(yi)个(ge)派(pai)别(bie)的(de)操纵。

  “根服务器系(xi)统的运行管(guan)理(li)是(shi)高度独(du)立的,尽管(guan)其(qi)中一些机构属(shu)于美国政府,但他们并(bing)不是(shi)由(you)政府来(lai)运作旳。” Fred Baker表(biao)示(shi)。

  (本文整理自Fred Baker在2020年北京网络安全大会上的报告)

  相关背景:

  根(gen)(gen)服(fu)(fu)(fu)务器系统咨询(xun)委(wei)员(yuan)会(Root Server System Advisory Committee,RSSAC)是ICANN技术(shu)(shu)社(she)群的(de)(de)10个技术(shu)(shu)委(wei)员(yuan)会之一,其成员(yuan)主要为互(hu)联网域(yu)(yu)名(ming)系统根(gen)(gen)服(fu)(fu)(fu)务器的(de)(de)创始者(zhe)。该委(wei)员(yuan)会的(de)(de)使(shi)命是成为联系技术(shu)(shu)社(she)群、董(dong)事会以及(ji)域(yu)(yu)名(ming)根(gen)(gen)服(fu)(fu)(fu)务器利益相(xiang)关(guan)方的(de)(de)沟通渠道(dao),主要负责提供与(yu)域(yu)(yu)名(ming)系统根(gen)(gen)服(fu)(fu)(fu)务器相(xiang)关(guan)的(de)(de)咨询(xun)和建议。因(yin)此,RSSAC重(zhong)点关(guan)注根(gen)(gen)服(fu)(fu)(fu)务器系统的(de)(de)工作机制,以及(ji)如何更好地服(fu)(fu)(fu)务ICANN技术(shu)(shu)社(she)群等问题。

  RSSAC由负责运行(xing)全球根服务的组(zu)(zu)织的代表(biao)组(zu)(zu)成。

  2013年7月18日(ri),ICANN董事会(hui)批准了(le)(le)RSSAC的初(chu)始成员(yuan)和领导(dao)层(ceng),并于(yu)2014年6月26日(ri)任命了(le)(le)新的代表。(详情见 )