對DNS系統的幾點輿論熱點的辯證性思考

• 科學理性教會你，你可以屈服於真理，但絕不能屈服於威權

DNS系統，顧名思義是一個域名服務系統，在社會層面，很多人喜歡拿他同我們的國家互聯網治理放到差不多等同的位置，甚至有些人這麼描述哪些經典的事件：

以互聯網爲基礎的信息網絡是進行國家信息化建設和實現國家信息化戰略的基礎設施，域名系統是互聯網上大部分服務和應用正常運轉和實施的基石，是互聯網上最爲關鍵的基礎網絡服務之一，事關互聯網乃至國家的穩定和安全，是國家信息化建設的重中之重。
通過對域名系統的攻擊和利用可以造成巨大危害。伊拉克頂級域名失效事件、利比亞國家頂級域名失效事件等都表明，對域名系統的控制已成爲一個有效的網絡空間作戰手段，可以在非常時期，癱瘓一個國家網絡，造成信息孤島，失去信息優勢，喪失戰爭的主動權。域名系統已成爲網絡空間作戰的重要目標。
我國域名系統由於根域名服務器的不可控和域名系統本身的脆弱性，存在巨大的安全隱患。近年來，更是事件頻發，對我互聯網使用以及國家社會、政治、經濟都造成了巨大的影響。因此域名系統相關問題已成爲制約我國互聯網發展的重要因素。

上面提到針對域名系統的攻擊方法，從技術角度，比較暴力和直接，但是從國家安全角度，確實也是比較致命的。上邊引用別人裏面的兩個事件，我想強調的是，人們在接受他們事實的同時需要辯證的看待這些事件，下面我將通過四種簡單DNS域名系統攻擊方式的解析，科學辯證解讀域名系統安全，而不是人云亦云 ，DNS的確很重要！

域名系統經典安全事件的辯證看法

伊拉克域名失效是美國人乾的嗎？

據稱伊拉克戰爭期間，在美國政府授意下，伊拉克頂級域名".iq"的申請和解析工作被終止，所有網址以".iq"爲後綴的網站從互聯網蒸發，實際上並非如此。

當年伊拉克並沒有網絡，這個域名的事情也無從談起，以下印自清華大學段海新老師的博客內容，也證明了美國人陰謀陽謀不一定是，有些可能使我們自己的意淫，爲了給DNS增加身段增加重要性估計加入的橋段。

1997年，Jon Postel教授代表南加州大學信息科學研究所（ISI）的IANA把.IQ授權給了InfoCom公司所屬的子公司Alani（InfoCom位於美國Texas州從事主機託管業務），該公司Bayan Elashi是IQ域名的技術聯繫人。2000年，IQ域名信息更新，InfoCom成了資助IQ域名的公司。
2002年12月，Bayan Elashi被捕。2004年7月，Bayan Elashi和他的四個兄弟以及InfoCom被判有罪，罪名包括違反了利比亞制裁法令、爲恐怖組織洗錢等。
另外，IQ ccTLD從來沒有活躍過，在絕大多數時間裏，IQ這個ccTLD是由Alani/InfoCom公司操縱，似乎只有兩個域名而且指向註冊者本身。2004年7月，伊拉克過渡政府正式聯繫ICANN討論IQ域名重新授權的問題，2004年12月，總理Allawi發信給ICANN，指定了代表伊拉克代理IQ域名的部門——國家通信和傳媒委員會（NCMC）。2005年6月，IANA收到了申請NCMC的重新授權申請表。
之後經過一系列的評估，IANA認爲應該把IQ這個域名重新授權給NCMC。其中他們考慮的一個因素是新舊代理雙方對新的授權一致認可。然而，舊的代理被關在監獄裏，而且在他們代理期間（1997年－2002年），Alani和InfoCom都沒有爲IQ域名做過任何推廣活動。
可見，所謂“伊拉克頂級域名.iq的申請和解析工作”，因爲沒有開始過，所以“被終止”也就無從談起。也許有人說，這是美國政府精心策劃的陰謀。然而，至少從邏輯上，這種陰謀論不成立：既然美國政府玩陰謀或陽謀這麼高明，當初爲什麼同意把IQ域名授權給Bayan Elashi這個替恐怖分子洗錢的人呢？

針對DNS幾種攻擊樣式（常見的）

1. 分佈式拒絕服務（DDOS）
2. 域名欺騙
3. 域名劫持

分佈式拒絕服務攻擊（DDOS）

由於域名系統協議存在體系開放、無認證、無連接和無狀態等特點，使其更易受到分佈式拒絕服務攻擊。針對域名系統的分佈式拒絕服務攻擊主要採用基於正常域名請求、反彈式、大流量阻塞等三種途徑。

常見的有基於DNS的反射流量放大攻擊，這種不太常見不過也能發生。

域名欺騙

通過技術手段向緩存域名服務器注入非法域名解析記錄，當用戶向被攻擊的緩存域名服務器提交域名請求時，將會返回攻擊者預先設定的IP地址。

這種攻擊方式在現實環境中很容易實現，我們最普遍的就是GFW的緩存污染，或緩存投毒，這樣劫持到新的IP地址上去。

域名劫持

攻擊者控制域名管理密碼和域名管理郵箱後，將該域名的NS紀錄指向到攻擊者可以控制的DNS服務器，然後通過在該DNS服務器上配置相應域名紀錄，使用戶訪問該域名時，實際指向攻擊者預先設定的主機。

這種比較困難，當然也是可能會實現的，需要控制域名的管理機構，但是實際可能達不到，一般第二步域名劫持就已經足夠爲例大了。

DNS全球現狀

目前爲止，IPv4的DNS系統根域名服務器有13個，分別爲“A”至“M”，其中10臺設置在美國，另外各有一臺設置於英國、瑞典和日本。其中A作爲唯一的1個主根服務器，放置在美國，其餘12個均爲輔根服務器，9個放置在美國，歐洲2個，位於英國和瑞典，亞洲1個，位於日本。

DNS流量你可以發現什麼？

• 基於DNS的DDoS攻擊行爲
• 基於DNS的僵屍網絡
• 基於DNS的緩存污染情況

上述三種是針對DNS流量可以挖掘的新的安全領域，可以從宏觀視角對惡意程序、木馬、僵屍網絡、DDoS基礎設施等等黑產或者灰產使用的惡意基礎設施有較爲全面的控制，不一一展開，歡迎交流DNS安全相關內容，歡迎騷擾！