上一版
【科海观潮】
域名系统滥用,是网络时代的常见病。相信我们每个人在生活中都曾遇到过这样的情况——明明输入了网址A,却跳转到了莫名其妙的网址B,有时B网站中充满了广告甚至是恶意软件,有时候是连续的网页跳转,甚至最终造成死机。黑客对计算机发起的攻击,也常常利用域名系统盗取用户密码、发起分布式拒绝访问攻击等。
那么域名系统到底是什么,又为何会被滥用,我们普通人又能做些什么保护自己的上网安全?本报记者日前采访了互联网名称与数字地址分配机构(ICANN)负责互联网安全、稳定和弹性的首席技术官约翰·克雷恩(John Crain)。
域名系统到底是什么,为何会被滥用
域名系统(Domain Name System,简称DNS),是方便人们使用互联网而设计的系统。在互联网中,计算机、服务器、智能手机等网络设备通过IP地址来找到彼此,但由于IP地址往往是一串长数字,如192.0.32.7,人脑很难记忆。于是在互联网组建之初,科学家人为地规定,人使用字母记忆网络地址,如baidu.com、sina.com等,机器则依旧使用IP地址。在人和机器间采用域名系统进行“翻译”“转接”。
约翰·克雷恩向记者介绍说,域名本身由两部分组成,“点”之前的部分和之后的部分。点右边的部分,例如“com”“net”“org”等,被称为“顶级域名”。每个顶级域名都有一个注册局,以负责管理该特定顶级域名结尾的所有域名,并有权访问直接位于该名称之下的完整域名列表以及与这些名称关联的IP地址。点之前的部分是用户注册使用(例如网站、电子邮件等)的域名。这些域名由大量的域名注册商进行销售。
互联网名称与数字地址分配机构(ICANN)和每个域名注册局都签订合同,同时还对注册商执行认证制度,普通人可以向这些注册商或注册局申请域名。这为域名系统提供了稳定一致的环境,从而为互联网提供全球稳定一致的环境。约翰·克雷恩总结称,域名系统提供了一种帮助人们寻找特定网站的互联网寻址系统。
同时这也是域名系统经常成为攻击的目标的原因,因为每一个人都依赖该系统去解析跟IP地址对应的容易记忆的名字。约翰·克雷恩继续谈到,通过扰乱域名服务,滥用者能够扰乱电子商务、公共服务、在线学习以及社交应用。滥用者还能欺骗蒙混用户导致用户声誉或者财产上的损失。域名系统滥用的常见形式包括钓鱼网站、垃圾邮件、散布恶意软件及拒绝服务攻击。
域名系统除了让人们更容易使用网络之外,还有一个优点就是由于可快捷方便地更改特定域名和特定IP地址之间的映射关系,所以特定的域名无须绑定到特定的计算机。通过持续更新的域名系统基础设施,整个互联网可在48小时内识别出所做的更改,结果就是使互联网变得极其灵活。
互联网技术在进步,域名系统的安全性进步了吗
随着互联网的发展,每个人都可以通过自己的智能手机、平板电脑来实现网络生活,人们也越来越多地使用APP,但这并不意味着我们告别了域名系统滥用的威胁。克雷恩对记者说,当我们在智能手机的某个应用中点击某个按钮时,这个按钮要实现功能,背后依然需要域名系统来支持。
克雷恩对记者表示,随着整个互联网行业的发展,域名系统的建设和维护也有了更多的参与者,中国国家互联网应急中心在应对域名系统滥用方面就是一个重要和积极的参与者。中国互联网行业发展空前繁荣,众多的中国工程师也在为域名系统的技术革新和变革作出贡献,比如前几天我就和一些中国的开发者共同讨论了新的域名系统规则,如DNSSEC,DANE等。
他认为,现在与域名系统创立时的互联网环境已经完全不同,越来越多的设备,尤其是廉价设备接入了互联网,而廉价设备有时候就意味着不安全,我们也观察到越来越多来源于廉价互联网设备的网络攻击,例如2016年发生的利用家用物联网设备发起的针对Dyn的攻击而导致美国大面积断网事件。目前在家庭和办公环境中,都使用了大量的廉价互联网设备。当然,这是由于成本和市场等等因素共同造成的,但如果你对比过去几次科技浪潮,互联网科技浪潮的规模扩张特征尤其明显,这在加速行业发展的同时,也带来了许多潜在的麻烦。
他进一步表示,全世界的工程师们一直在努力改善域名系统协议的安全性和抗攻击性。尽管域名系统的底层协议是在1987年制定的,但对比30多年前,今天的域名系统协议和规则已经发生了巨大的变化。最简单的例子就是,20多年前注册域名只能向一家分配机构申请,现在,我们已经有了几千个域名注册局和域名注册商。在技术层面,我们去年推广部署了域名系统安全性扩展协议(DNSSEC),这套新的协议可以提升域名系统的安全性,并保护域名系统服务器不受特定分布式拒绝服务的袭击。ICANN还部署了“域名系统滥用行为报告系统”(简称DAAR),希望能够帮助各国执法部门、产业监管部门和注册局注册商更有效地应对滥用问题。
(本报记者 李曾骙)
缩小
全文复制
上一篇