【藏经阁一起读】（76）__《“DNS+”发展白皮书》

作者：梁卓宋林健陈剑刘志辉刘保君郭丰马晨迪马永孙俊哲沈建伟嵇叶楠孙宛月张建光李贤达张晓军赵华

发布时间：2023-10-31

章节数：6

一、基础知识

1.1、DNS

DNS

　　DNS是域名系统（Domain Name System）的简称，是一种将域名转换为IP地址的系统，它能将域名（例如example.com）与对应的IP地址（例如192.0.2.1）相映射，实现域名解析，用户可以通过域名访问网站，DNS负责将域名转换为相应的IP地址。

　　域名系统(DNS: Domain Name System)已提出整四十年，期间互联网的规模、技术和应用发生了巨变，DNS在万物互联融合服务方面的公共基础属性逐渐增强，以DNS为代表的各种网络标识服务的技术手段也不断发展，并趋于技术一体化、平台普惠化、治理的多样化。在此背景下，阿里云邀请技术、产品服务和治理领域专家讨论并提出了“DNS+”，即以DNS体系为主，包含多种网络标识服务的广义网络生态概念。

　　从网络体系架构的视角看，DNS是一个网络通信协议，也是一个网络基础组件为网络连接提供域名和IP的查找功能，其特征是以网络连接为中心。当新型的移动互联网和云计算出现，为DNS提供的新应用场景和提出更高的要求，DNS不再只是服务于网络连接，而是围绕应用创建和部署为中心，其中应用即包括移动互联网应用，云计算产品，以及云原生应用等。在这个阶段，大型云计算平台为DNS服务提供了更高的弹性、高可用能力，DNS由网络基础功能演变为通过API可集成的PaaS／SaaS服务。

　　当前，互联网已经成为数字经济领域，像水和电一样的关键信息基础设施，域名系统（DNS）是互联网被遗忘的基石，几乎所有的应用都依赖于它的稳定与安全。不幸的是，作为互联网的阿喀琉斯之踵，DNS也经常成为各种攻击的目标，域名资源也常成为恶意攻击和非法产业滥用的对象，各类借助域名和DNS进行网络恶意攻击、域名滥用和诈骗活动的风险持续扩大，越来越多人开始关注和参与网络空间安全和治理领域的工作。DNS也是公钥证书等多种安全机制信任的锚点（Trust Anchor）。这既涉及到全球域名，IP和基础设施资源管理政策，也涉及到区域性、平台型域名系统安全研究和治理。DNS成为国家关键信息基础设施的重要组成部分，DNS在网络空间安全和治理方面的重要性日益凸显。

　　DNS随着互联网长期的演进发展中变得更加安全，所承载的功能和信任已经远远超过互联网先驱设计者的初衷。特别是在云计算时代，“DNS＋”意味着更多的机会、更大的责任；“网络异域，风险同天”，一个安全的网络空间命运共同体，需要各国的政府、产业界和学术界的共同协作和努力。

　　根据中国信通院2022年7月发布的《中国混合云用户发展调查报告》，企业IT基础设施的建设已经进入到“多云＋传统IDC”融合的新阶段。DNS作为应用访问的第一跳，需要解决“公共云＋专有云＋传统IDC”等异构环境IT资源的全局性互联互通和统一调度，DNS开始围绕数字资产融合统管，服务融合场景下IT数字资产管理。

　　因此在这样的背景下，以DNS体系为主的泛IP寻址解析体系将持续在新技术、新业态、新治理三个领域融合发展，与当今蓬勃的数字化深度结合，进入“DNS＋”时代。DNS为核心和起点，向新技术、新业态和新治理三个生态维度的融合扩散，发展出的新的话题、功能和角色。具体来说，“DNS＋”在新技术、新商业、新治理三个方面体现出鲜明特征。

1.2、DNS+

　　DNS+是一个扩展了DNS功能的新协议，是一种增强版的DNS服务，它在传统的DNS服务基础上增加了了更多的安全功能、性能优化和管理功能，它能够提供更多的安全性和可靠性。DNS+可以支持更多的加密和数字签名功能，因此可以更有效地防止DNS欺骗攻击和中间人攻击。此外，DNS+还可以提供更多的DNS记录类型，如TLSA记录，这些记录可以使Web应用程序更安全。

　　总之，DNS+是一个安全和可靠的互联网基础设施，它能够保证互联网用户的隐私和安全。

在新技术方面，“DNS+"与云计算为代表的新型数字化技术融合创新。
在新业态方面，“DNS+"融入和服务千行百业，助力数字化进程。
在新治理方面，“DNS+"基础设施安全研究和治理，推进有序高质量发展。

二、“DNS+"现状和发展

（一）规模化和高质量发展

移动互联网流量、终端网络规模持续增长，以及 IPv6 的规模部署对 DNS规模化提供更多动能。

DNS安全功能扩展方面，DNSSEC支持度，加密DNS部署，DNS新技术推广都在持续提升。

从数量到质量的转变，DNS 行业发展的前景可期。

（二）平台化和安全保障

DNS 域名解析服务呈现平台化和集中化趋势。

特征	技术特征描述	能力参考
弹性部署	传统上，DNS由大型的中心化服务器集群维护但这种集中式的部署方式存在一些问题，如单点故障、高昂的运维成本等。为了解决这些问题，DNS的弹性部署被越来越广泛地采用。DNS的弹性部署可以通过利用各种云基础设施进行，为了更好的利用云，要求传统的DNS系统进行云原生改造。	分钟级拉起新的DNS服务器
租户隔离	传统的公有域的域名解析服务，没有租户的概念，大家都是共享一个域名空间。现在随着网络和应用场景的复杂，私有域的解析服务也成为越来越广泛的需求。特别是云服务的兴起，基于VPC网络的租户私有域名解析服务成为了云厂商必备的能力。	支持千万级VPC 私有名字空间
智能调度	智能调度不同于传统DNS的静态配置，随着互联网的高速发展，从流量分摊、容灾、优化访问质量等维度考量，权威DNS开始有了越来越多的智能调度策略需求。平台型DNS能够更好感知终端，针对不同用户终端提供精准、快速的调度能力。	可基于权重、访问时延、地理位置、可用性、负载等策略
被集成能力	OpenAPI（应用程序编程接口）是一种用于描述不同软件系统之间交互的接口标准，通常用于构建Web服务、微服务等。DNS系统通过OpenAPI向用户开放解析配置管理的能力，以便用户可以使用OpenAP来结合自己的需求更加灵活和高效地把域名解析的能力集成到自己的IT资源管理平台。	解析和管理API丰富；多语言能力SDK，易于集成
高并发能力	平台型DNS系统承载着大量的互联网域名解析，面对海量域名频繁变更的业务请求，应对这些挑战DNS系统具备高并发的解析配置管理能力尤为重要。兼顾成本考量平台型DNS系统也应具备水平伸缩能力，以便根据并发量可以随时调整IT资源部署配置。	百万级横向扩展能力
数据延迟	平台型DNS节点分布在全球各个地域，需要保证解析配置及时生效，即在用户完成解析配置后需要及时地同步到全球各个DNS节点，并且在高并发解析配置场景下能够支持高吞吐量的同步	秒级全球同步
智能运维	为保证解析的时效性和稳定性，需要借助更加智能化的手段实现系统问题的快速定位和快速恢复。借助于数据采集平台，智能分析平台和服务调度平台等技术手段和系统可以在秒级范围内发现DNS集群中的故障点并实现服务的自动化隔离和自愈，从而实现对于上层服务异常的无感知。	重大故障实现一分钟发现五分钟定位，十分钟修复
安全和高可用	在安全和高可用方面，平台型DNS借助了云安全和高可用的基础能力，包括抗DDOS，负载均衡、AnycastIP、软硬件元余等能力。同时云平台企业更高质量的全链路软件研发测试，异构部署的要求和流程，助力平台型DNS的安全稳定	多地域、支持两款以上DNS核心软件的异构部署

随着企业IT基础设施进入多云+传统IDC阶段，云平台DNS也将与传统IDC也将与传统IDC融合。

平台型域名解析服务的安全性、稳定性经受更为严苛的考验。

建立安全稳定的DNS系统是数字化发展的必要保障。

（三）多业态融合和创新发展

DNS直接或间接参与到新兴标识应用的构成、解析和资源存储，为互联网标识多业态融合和创新提供动能。

随着第四词工业革命的到来，我国抓住互联网发展的战略机遇，建设了工业互联网标识解析体系。

新型的互联网应用利用DNS做桥梁，让DNS数据和应用数据无缝连接。

与直接使用DNS存储应用信息不同，还有一类是间接使用DNS，用DNS连接新型标识应用的服务和业务入口。

（四）技术普惠和生态共建

满足高质量发展，兼顾企业降本增效的具体述求。

应建立行业统一标准，提高复用，增强社会服务效益。

应建立统一应急策略，提高服务响应和治理通道。

三、" DNS + ”产学研动态

（一）我国“ DNS + “建设发展

商用密码算法在已在我国域名系统部分环节得到初步推广应用。

工业互联网标识解析体系建设飞速发展，形成覆盖全国的工业互联网标识解析基础设施。

全国互联网演进过程中，从web2走向web3的发展已势不可挡，去中心化名字服务不断发展。

（二）数字化转型实践

1.【多云+传统IDC】的融合

阶段一、DNS+传统IDC

阶段二、DNS+云计算

阶段三、DNS+多云和传统IDC融合

企业域名解析安全的问题主要分为三类

拒绝服务攻击：

　　由于域名解析是客户端访问企业I应用服务的第一跳，负责企业IT应用域名解析的DNS系统经常被攻击者当成攻击目标。攻击的形式既有针对服务IP地址的4层网络攻击，也有针对特定域名后缀的随机域名查询攻击，同时也有针对DNS系统进行的各种协议渗透攻击（如缓存投毒、放大攻击、反射攻击等），目标是使得DNS系统不可用或者访问异常，从而达到企业应用不可用或者访问异常。

域名动持：

　　访问企业IT应用的客户端分散在全球各个地方，通过不同的网络服务商和DNS服务商实现DNS的解析访问。在客户端做域名解析的时候，为客户端提供域名解析的DNS系统经常会遇到DNS解析结果被修改的问题，从而将客户端的应用访问流量引流到一个不存在的IP地址或者其他非法IP地址上，从而达到客户端不能正常访问企业工应用目的。

域名用：

　　随着企业数字化转型的推进，企业的办公、测试和生产过程基本都会涉及到访问外部的第三方服务，而外部的第三方服务一般都是通过一个公开可解析的公网域名对外提供访问服务，这个时候就需要解析公网域名来获取服务IP地址。攻击者常常通过各种手段将企业办公机、测试机和生产机的域名解析到一个恶意的IP服务地址，这个地址提供的恶意应用服务有多种形态，包括病毒、木马、钓鱼、远程控制等，目标是引诱终端访问，从而实现非法访问企业网络和资源、破坏企业系统、对企业工作人员进行网络诈骗等，造成企业的系统损失和人员财产损失。

　　因此需要提供一套针对拒绝服务攻击和域名蓝用的安全防护方案，主要提供以下三方面的能力

　　拒绝服务攻击的防护能力

　　流量型攻击：可以承载TB级别的DDoS流量攻击和单域名上亿次QPS的随机域名攻击

　　协议型攻击：可以有效防御针对DNS的各种协议层攻击，包括DNS畸形包攻击、DNS随机域名查询攻击、缓存投毒、放大攻击、反射攻击等等

　　或名动持发现和域名防动持的能力：提供企业域名在全球各个地域的各个网络环境里面的域名动持监控和报警并可以提供针对客户端的域名访问流程进行升级从而实现域名解析防动持的目的。

　　恶意域名访问的发现和阻断能力：提供企业客户端在做三方公网域名解析时的恶意域名发现，并提供针对恶意域名的DNS解析侧的阻断能力，停止企业客户端对恶意三方公网域名的进行解析，从而实现企业客户端访问恶意应用

（三）安全研究成果

　　域名缓存污染攻击(DNS Cache Poisoning Attack)是利用域名服务器缓存机制的漏洞，通过发送特制的恶意请求欺骗服务器，将错误信息存储在缓存中。当其他用户查询相同内容时，服务器返回被篡改的错误结果，将用户重定向到攻击者控制的恶意网站或服务器。

　　2008年，Dan Kaminsky提出了高效的域名缓存污染攻击，能够在10秒内污染特定域名，引起了全球互联网厂商的关注。为增强域名协议的安全性，互联网社区引入了源端口随机化和0x20域名大小写随机化编码等安全防御方式。理论上，如果域名服务器充分实现了这些安全措施，攻击者实现缓存污染攻击的概率极低(1/232)。这一概率使得实际的域名缓存污染攻击变得近乎不可行。

　　然而，近年来的安全研究使得安全社区对域名系统攻击面有了更全面和深入的认识。域名系统安全威胁模型也得到了大幅的扩展与延伸。具体来说，域名解析交互过程的主要角色包括：客户端（Stub Resolver)、域名转发器(DNSForwarder)、递归域名服务器(DNS Recursive Resolver))以及权威域名服务器(Authoritative Nameserver),。从最新的研究成果来看，攻击者可以出现在域名解析的各个中间链路上。

重要发现一：基于操作系统底层实现引入的侧信道，可以实现高效的缓存污染攻击

重要发现二：域名转发器成为解析链路的薄弱环节，相关安全风险不断涌现

重要发现三：利用域名缓存污染攻击，寻求影响更上层的网络服务成为热点

2.域名授权安全威胁

　　域名系统可以被看作分布式数据库，而域名解析交互过程可以被认为是从客户端查询检索分布式数据库的过程。

　　为了具备良好的可扩展性，域名系统采用了层次化的分级授权架构，即每个域名服务器只负责自己所管理的域名。然而，上述域名系统授校机制存在潜在的安全风险。按照常规的域名解析流程，当递归解析服务器在缓存中没有记录时，会依次向根服务器、顶级域名服务器和二级域名服务器发送查询以获取响应内容。理论上，为了保持大规模分布式数据库记录内容的一致性，父域和子域应该具有相同的域名授权记录。然而，由于网络配置管理等复杂因素，实际上父域和子域中的域名授权记录经常不一致。研究表明，父域和子域授权记录的冲突现象相当普遍。

重要发现一：域名授权记录的不一致现象可致使重要域名被攻击者隐蔽劫持

重要发现二：域名软件对于授权记录的不当处理可导致恶意域名无法从撤销

　　域名授权机制吲引发了一种新型安全风险，即Ghost Domain(幽灵域名)。域名删除和域名撤销(Domain Revocatio)是安全社区应对网络犯罪的有效手段，通过在J顶级域的区域文件中修改相应域名的授权记录实现。然而，在这个过程中存在潜在的歧义：递归解析服务器在更新缓存资源记录时，应以父域授权还是子域授权为准？现有的RFC域名协议规范要求递归服务器将子域反馈的资源记录赋予更高的优先级，这使得攻击者即使在域名被删除后仍能操控递归服务器的缓存记录，使其保持对恶意域名的解析能力。这个安全缺陷被称为Ghost Domain Attack(幽灵域名漏洞)。

　　2012年首次披露了幽灵域名漏洞，并被收录于美国国家漏洞库和美国联邦通讯局FCC的2012年安全领域最佳实践报告中。然而，2023年在NDSS会议上发表的一项研究工作再次揭示了两种类型的幽灵域名漏洞，利用递归服务器管理缓存资源记录时的安全漏洞，使其仍然优先相信和采纳攻击者返回的恶意记录。

重要发现三：子域名劫持的安全风险屡见不鲜，安全影响已经间接影响至web应用

（四）技术标准工作

（五）治理相关进展

四、读后思考

　　当新型的移动互联网和云计算出现，为DNS提供的新应用场景和提出更高的要求，DNS不再只是服务于网络连接，而是围绕应用创建和部署为中心，其中应用即包括移动互联网应用，云计算产品，以及云原生应用等。在这个阶段，大型云计算平台为DNS服务提供了更高的弹性、高可用能力，DNS由网络基础功能演变为通过API可集成的PaaS／SaaS服务。但几乎所有的应用都要依赖于它的稳定与安全。

　　以DNS体系为主的泛IP寻址解析体系将持续在新技术、新业态、新治理三个领域融合发展，与当今蓬勃的数字化深度结合，进入“DNS＋”时代。

　　它在传统的DNS服务基础上增加了了更多的安全功能、性能优化和管理功能，它能够提供更多的安全性和可靠性。

　　我在读这篇文章时，正好是11.12日，下午5点多，阿里崩了，钉钉崩了，淘宝崩了。。。各种负面新闻炸了，虽然只是1小时多，工程师就马上修复好故障，但作为顶级技术和app的代表的作品，几个系列同时崩溃就说明不是偶然发生的零星故障。非偶然发生的大面积故障未能在故障发生前判断处理好就说明存在某种漏洞，或者是管理上的，或者是技术上的，或者是非我们少数几个人能处理的社会性事件。社会局势不同，技术要求也要相应跟上，而不是停留在传统观念和技术思维角度。技术维护人员应该更多的关注系统内部的工作原理与结构机制，而不仅仅是对外部表现的测试。具体技术实现会随着网络技术、安全稳定等需求一直变化演进。例如随着云计算和云服务的普及，大量的互联网流量通过云平台进行域名解析，云平台作为一个关键的中间层，承担着将用户请求路由到相应的服务实例的重要角色。针对云平台域名解析服务的网络攻击不断发生，而云平台的规模和复杂性也增加了域名解析安全的挑战，云平台多个分布式组件和服务构成，涉及多个域名解析点和网络层次，增加了攻击面和潜在的安全漏洞。

　　一个安全的网络空间命运共同体，需要各国的政府、产业界和学术界的共同协作和努力。