【摘 要】對(duì)“斷網(wǎng)”討論的一個(gè)重點(diǎn)被聚焦在域名根服務(wù)器,一些“科普”的方式,某些“腦補(bǔ)”的形式,眾口一詞地認(rèn)為“不用擔(dān)心”。其信誓旦旦的理由是:“我國(guó)已擁有域名根鏡像服務(wù)器”。事實(shí)上,這是一個(gè)悖逆科學(xué)真相的嚴(yán)重認(rèn)知誤區(qū)。換句話說(shuō),應(yīng)對(duì)“斷網(wǎng)”的風(fēng)險(xiǎn)和隱患,鏡像的域名根服務(wù)器不僅無(wú)濟(jì)于事,而且于事無(wú)補(bǔ)。
本文可供網(wǎng)絡(luò)信息領(lǐng)域的專業(yè)技術(shù)人員、從業(yè)人員和監(jiān)管、監(jiān)察、審計(jì)、執(zhí)法人員作為科學(xué)論證的依據(jù)與參考。
一、概 述
習(xí)近平總書記在2020年9月的科學(xué)家座談會(huì)上指出:我國(guó)面臨的很多“卡脖子”技術(shù)問(wèn)題,根子是基礎(chǔ)理論研究跟不上,源頭和底層的東西沒(méi)有搞清楚。
域名空間是一個(gè)生態(tài)系統(tǒng)(ecosystem),其服務(wù)體系如圖1所示,其中“遞歸域名解析服務(wù)器”是域名空間的入口:
雖然域名根服務(wù)器在域名解析服務(wù)中是一個(gè)重要的環(huán)節(jié),但在域名空間中僅當(dāng)各個(gè)環(huán)節(jié)相互依存,方能構(gòu)成一個(gè)能夠可靠運(yùn)行的生態(tài)系統(tǒng)。反之,任何一個(gè)環(huán)節(jié)出現(xiàn)安全問(wèn)題,都可能導(dǎo)致域名解析服務(wù)中斷(“斷服”),或是網(wǎng)絡(luò)癱瘓(“斷網(wǎng)”)。
據(jù)美國(guó)國(guó)防部術(shù)語(yǔ)詞典的定義,“供應(yīng)鏈”(Supply Chain)是:從原材料到向最終用戶提供成品和服務(wù)相關(guān)聯(lián)的(人的)活動(dòng)。域名空間的生態(tài)系統(tǒng)可以被簡(jiǎn)化為一個(gè)“供應(yīng)鏈”(圖2)。
從圖1 和圖2 可見(jiàn),域名空間是一個(gè)復(fù)雜的生態(tài)系統(tǒng)。而應(yīng)對(duì)“斷網(wǎng)”的風(fēng)險(xiǎn)和隱患的本質(zhì)是:供應(yīng)鏈的安全和保障問(wèn)題。因此,有必要澄清域名空間供應(yīng)鏈中的五個(gè)重要的關(guān)聯(lián)事實(shí):
事實(shí)1:鏡像的域名根服務(wù)器不能替代13個(gè)域名根系統(tǒng);
事實(shí)2:鏡像的域名根服務(wù)器采集的數(shù)據(jù)絕大多數(shù)是“垃圾”;
事實(shí)3:鏡像的域名根服務(wù)器采集的是不完整和不確定數(shù)據(jù);
事實(shí)4:鏡像的域名根服務(wù)器沒(méi)有指揮和控制的能力;
事實(shí)5:鏡像的域名根服務(wù)器受制于服務(wù)系統(tǒng)軟件。
結(jié)論:域名空間的應(yīng)用和服務(wù)是網(wǎng)絡(luò)通信的本源及指揮和控制的中樞,一旦發(fā)生“斷服”,即是“斷網(wǎng)”。應(yīng)對(duì)“斷服”的風(fēng)險(xiǎn)和隱患,鏡像的域名根服務(wù)器不僅無(wú)濟(jì)于事,而且于事無(wú)補(bǔ)。
二、事實(shí)1:基于域名空間生態(tài)系統(tǒng)的基本配置,鏡像的域名根服務(wù)器不能替代13個(gè)域名根系統(tǒng)。
1)根提示文件(Root Hints File):
當(dāng)前,最終用戶設(shè)備通常將所有DNS查詢發(fā)送到遞歸解析服務(wù)器,該解析服務(wù)器在加入網(wǎng)絡(luò)時(shí)通過(guò)DHCP配置。或者,用戶可以將其設(shè)備配置為利用公共遞歸域名解析服務(wù)器(例如Google的8.8.8.8服務(wù)器)。遞歸域名解析服務(wù)器查詢授權(quán)的域名服務(wù)器,使用所謂的“根提示文件”引導(dǎo)查找授權(quán)域名服務(wù)器的過(guò)程。根提示文件包含所有13個(gè)命名的授權(quán)域名根服務(wù)器的列表,它們表示為a-root到m-root。對(duì)于每個(gè)命名的根,文件都包括域名服務(wù)器(NS記錄),以及域名服務(wù)器的IPv4地址(A記錄)和IPv6 地址(AAAA 記錄)。因此,根提示文件共有39個(gè)條目,大約3KB(3000字節(jié))。例如,A 根:
有了這些信息,遞歸解析服務(wù)器可以從根開(kāi)始查詢過(guò)程,并按照DNS響應(yīng)中的指示進(jìn)行。例如,來(lái)自根名稱服務(wù)器的響應(yīng)將指示遞歸解析服務(wù)器聯(lián)系指定的頂級(jí)域名(TLD)服務(wù)器。根提示文件中的每個(gè)記錄的緩存時(shí)間(TTL)為360萬(wàn)秒(約42天)。該文件在很大程度上是靜態(tài)的,但在某些情況下確實(shí)會(huì)發(fā)生變化,并且遞歸解析程序應(yīng)在根提示文件緩存時(shí)間到期后獲得一個(gè)新副本。分析表明,大量的遞歸域名解析服務(wù)器不會(huì)及時(shí)地更新其根提示文件。
2)根區(qū)文件(Root Zone File):
每個(gè)域名根服務(wù)器均根據(jù)根區(qū)文件的副本響應(yīng)查詢。該副本由因特網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)(ICANN)官方提供,由Verisign公司分發(fā)。域名根服務(wù)器不會(huì)直接響應(yīng)查詢請(qǐng)求,而是會(huì)將域名查詢的請(qǐng)求引導(dǎo)向頂級(jí)域名服務(wù)器,以獲取查詢域名中頂級(jí)域名的主機(jī)。例如,對(duì)“www.ccb.com”的查詢請(qǐng)求,域名根服務(wù)器將請(qǐng)求引導(dǎo)向“.com”的授權(quán)頂級(jí)域名服務(wù)器,繼而將請(qǐng)求引導(dǎo)向“ccb.com”的權(quán)威域名服務(wù)器。
自2009年4月28日以來(lái),研究人員每天在根區(qū)文件中存檔一個(gè)記錄。圖3顯示了每月15號(hào)在根區(qū)中的記錄數(shù)。該圖顯示,經(jīng)過(guò)一段時(shí)間的穩(wěn)定之后,根區(qū)文件中的記錄數(shù)量在2014年初至2017年初之間增長(zhǎng)了五倍。這是由于頂級(jí)域名(TLD)數(shù)量增加所致,而2013年6月15日為317個(gè)TLD在2017年6月15日達(dá)到1,534個(gè)TLD。經(jīng)過(guò)這段時(shí)期的增長(zhǎng),規(guī)模已穩(wěn)定到大約22,000個(gè)。當(dāng)前的根區(qū)文件大約為2.1MB(兆字節(jié))。目前, 根區(qū)文件中的NS,A和AAAA記錄的TTL為兩天(172,800秒)。因此,遞歸解析服務(wù)器可以緩存來(lái)自域名根服務(wù)器的響應(yīng),并在兩天之內(nèi)繼續(xù)使用,以響應(yīng)來(lái)自終端用戶設(shè)備的域名查詢請(qǐng)求,而無(wú)須訪問(wèn)頂級(jí)域名服務(wù)器,故不存在所謂的域名解析服務(wù)的“加速”(speed up)。
根區(qū)文件是公開(kāi)的,可以下載(約2.1兆字節(jié))。其中的頂級(jí)域名(TLD)包括:國(guó)家/地區(qū)頂級(jí)域名(ccTLD),通用頂級(jí)域名(gTLD),新通用頂級(jí)域名(ngTLD),會(huì)經(jīng)常發(fā)生變化,或更改域名服務(wù)器集(域名或IP地址)。相應(yīng)的問(wèn)題是:如何確定根區(qū)文件是更新的?
此外,DNSSEC規(guī)范的主要作用是,當(dāng)對(duì)根區(qū)文件中的所有記錄進(jìn)行驗(yàn)證時(shí),需要一個(gè)根區(qū)DNSSEC密鑰的副本,密鑰隨著時(shí)間而改變。故另一個(gè)問(wèn)題是:如何確保根區(qū)文件內(nèi)容的真實(shí)性?
因此,獲取根區(qū)文件并不難,而重要的是:根區(qū)文件內(nèi)容的合規(guī)性和可用性受到驗(yàn)證和約束,不允許“為所欲為”。
3)域名根服務(wù)器的范圍:
雖然只有13個(gè)命名的授權(quán)域名根服務(wù)器系統(tǒng), 但是每個(gè)命名的域名根服務(wù)器系統(tǒng)都通過(guò)任播(Anycast)路由設(shè)置,由多個(gè)“副本”(設(shè)置的站點(diǎn)和節(jié)點(diǎn))組成。
在2019年5月15日,統(tǒng)計(jì)了985個(gè)域名根服務(wù)器節(jié)點(diǎn)。圖4顯示了自2015年3月以來(lái)每個(gè)月15日的節(jié)點(diǎn)數(shù)量。由e-根和f-根引起的節(jié)點(diǎn)數(shù)量有幾次大跳躍:
(a)在2016年1月至2月之間,e-根增加了45個(gè)節(jié)點(diǎn),
(b)在2017年4月至5月之間f-根添加了81 個(gè)節(jié)點(diǎn),
(c)在2017年11月至12月之間,e-根添加了85個(gè)節(jié)點(diǎn),f-根添加了43個(gè)節(jié)點(diǎn)。
除了這些大的跳躍之外,該圖還表明:伴隨域名根服務(wù)器節(jié)點(diǎn)的數(shù)量增加,成本也隨著時(shí)間的推移穩(wěn)步增長(zhǎng)。
域名根系統(tǒng)的“副本”由“站點(diǎn)”(Site)和“節(jié)點(diǎn)”(Instance)組成,在同一個(gè)“站點(diǎn)”中可以有多個(gè)“節(jié)點(diǎn)”。例如:a-域名根系統(tǒng)有16個(gè)“站點(diǎn)”及53個(gè)“節(jié)點(diǎn)”。截至2020年12月21日,13個(gè)域名根系統(tǒng)在全球共有1143個(gè)“站點(diǎn)”,1367個(gè)“節(jié)點(diǎn)”。
請(qǐng)注意,由十二個(gè)不同的機(jī)構(gòu)或企業(yè)運(yùn)營(yíng)的13個(gè)域名根服務(wù)器,每個(gè)機(jī)構(gòu)或企業(yè)都有各自設(shè)置站點(diǎn)(和節(jié)點(diǎn))的策略和意圖。同時(shí),在全球各地設(shè)置的“站點(diǎn)”和“節(jié)點(diǎn)”,需要滿足“前提條件”,以及受到簽署和承諾的相關(guān)協(xié)議條款的約束,而并不是所屬地的“自治系統(tǒng)”(即不是域名根系統(tǒng)的所屬權(quán)被轉(zhuǎn)移或讓渡)。
因此,在中國(guó)大陸不斷增加域名根系統(tǒng)的“站點(diǎn)”(和“節(jié)點(diǎn)”),在應(yīng)用上有助于提高因特網(wǎng)域名根系統(tǒng)的穩(wěn)定性和可用性,也以增加自身的成本為因特網(wǎng)作出了貢獻(xiàn),但是作為“副本”沒(méi)有替代域名根的可能性。
三、事實(shí)2:基于對(duì)域名根服務(wù)器數(shù)據(jù)流量的研究和分析,域名根服務(wù)器鏡像的數(shù)據(jù)絕大多數(shù)是“垃圾”。
相關(guān)的研究和分析表明,在到達(dá)域名根服務(wù)器的查詢請(qǐng)求中有95%以上是虛假的。例如,在2008年,專家們研究了八個(gè)域名根服務(wù)器的服務(wù)數(shù)據(jù),分析結(jié)論是:只有1.8%的域名查詢請(qǐng)求是有效的。國(guó)際計(jì)算機(jī)科學(xué)研究院(ICSI,位于美國(guó)加利福尼亞州伯克利,是一個(gè)獨(dú)立的非營(yíng)利性研究機(jī)構(gòu)),在2019年10月對(duì)該結(jié)論進(jìn)行了驗(yàn)證。為此,利用了由j-根提供的數(shù)據(jù)集:分布在世界各地的142個(gè)j-根的節(jié)點(diǎn),2018年4月11日的24小時(shí)流量。雖然這個(gè)分析僅是13個(gè)根服務(wù)器系統(tǒng)之一的數(shù)據(jù),但之前大量研究和分析表明,到達(dá)域名根系統(tǒng)的數(shù)據(jù)流量類型在各個(gè)域名根系統(tǒng)之間是相當(dāng)一致(均勻)的。
● j-根在24小時(shí)內(nèi)接收了約57億個(gè)域名查詢請(qǐng)求,即平均每秒約有6.6萬(wàn)個(gè)域名查詢請(qǐng)求。
● 域名查詢請(qǐng)求來(lái)自410萬(wàn)個(gè)遞歸解析服務(wù)器(不同的IP地址)。但是有72.3萬(wàn)個(gè)遞歸解析服務(wù)器僅查詢虛假的頂級(jí)域名,這意味著最多只有340萬(wàn)遞歸解析服務(wù)器進(jìn)行有用的工作。
● 與之前的研究結(jié)論相同,分析發(fā)現(xiàn)大部分請(qǐng)求都是“垃圾”,有35億條是虛假頂級(jí)域名查詢,占比61.0%。此外,假設(shè)遞歸解析服務(wù)器具有理想的緩存(故,遞歸解析服務(wù)器對(duì)同一頂級(jí)域名的查詢請(qǐng)求在24小時(shí)的數(shù)據(jù)集中僅應(yīng)出現(xiàn)一次),所以另外的22億條查詢請(qǐng)求(占比38.4%)是無(wú)效的。這種情況下,虛假的查詢(61.0%)和無(wú)效的請(qǐng)求(38.4%),表明有效的域名查詢請(qǐng)求僅有0.5%。
● 如果放寬對(duì)理想緩存的假設(shè),而是允許遞歸解析服務(wù)器每15分鐘可以重復(fù)對(duì)相同頂級(jí)域名的有效查詢請(qǐng)求,則無(wú)效請(qǐng)求的數(shù)量為20億條(35.7%)。在這種情況下,對(duì)虛假的查詢(61.0%)和無(wú)效的請(qǐng)求(35.7%),表明有效的域名查詢請(qǐng)求僅有3.3%。或,在57億條域名查詢請(qǐng)求中,僅有1.87億條域名查詢請(qǐng)求是有效的。這意味著,j-根的每個(gè)節(jié)點(diǎn)平均每秒處理大約15個(gè)有效域名查詢請(qǐng)求。
這證明了,之前多源研究的結(jié)論仍然成立:到達(dá)域名根服務(wù)器(包括所設(shè)置的站點(diǎn)和節(jié)點(diǎn))的絕大多數(shù)數(shù)據(jù)流量都是垃圾(junk)。
四、事實(shí)3:基于域名解析的不可逆過(guò)程,鏡像的域名根服務(wù)器采集的是不完整和不確定數(shù)據(jù)。
如事實(shí)1所述,遞歸域名解析服務(wù)器配置了根提示文件(Root Hints File),并根據(jù)具體(或不同的)算法,在13個(gè)根域名系統(tǒng)(及其站點(diǎn)和節(jié)點(diǎn))之間輪詢。
這就是說(shuō),域名根服務(wù)器所接收的域名查詢請(qǐng)求,來(lái)自于遞歸域名解析服務(wù)器(圖1),也是域名空間的入口。
根據(jù)對(duì)全球因特網(wǎng)公共(遞歸)域名服務(wù)器的監(jiān)測(cè)統(tǒng)計(jì),截至2020年12月21日(4:03),中國(guó)大陸擁有公共遞歸域名解析服務(wù)器(僅僅監(jiān)測(cè)和統(tǒng)計(jì)53端口/UDP)的數(shù)量為768,103臺(tái),占全球總數(shù)的40.35%。而且,這個(gè)數(shù)量是在動(dòng)態(tài)變化的,例如:10月22日的數(shù)量為1,106,552臺(tái),占全球總數(shù)的46.18%。
因此,不得不必須面對(duì)一個(gè)嚴(yán)峻的事實(shí):中國(guó)域名空間的入口是完全敞開(kāi)的,處于良莠不齊的混沌狀況和監(jiān)管缺失的狀態(tài)。
是誰(shuí)以及為誰(shuí)提供如此(異常)大規(guī)模及動(dòng)態(tài)變化的公共遞歸域名解析服務(wù)?
換句話說(shuō),鏡像的域名根服務(wù)器的響應(yīng)和服務(wù)是被動(dòng)的(依賴于遞歸域名解析服務(wù)),在開(kāi)放的域名空間入口,有多少有效的域名查詢請(qǐng)求會(huì)指向鏡像的域名根服務(wù)器,完全未知;因而其采集(和存儲(chǔ))的是不完整和不確定數(shù)據(jù),故其作為應(yīng)急備份也是盲目的!那么,為“公共”服務(wù)的動(dòng)機(jī)和意圖又是什么?
五、事實(shí)4:基于域名解析的層次化結(jié)構(gòu),鏡像的域名根服務(wù)器沒(méi)有指揮和控制的能力。
域名根服務(wù)器的應(yīng)用功能是,按“根區(qū)文件”(Root Zone File)把接收到的域名查詢請(qǐng)求,推送(referral)到頂級(jí)域名服務(wù)器(圖1)。
根據(jù)中國(guó)信息通信研究院的報(bào)告(信通院2020-6),截至2019年12月,我國(guó)域名注冊(cè)市場(chǎng)規(guī)模為5,108.8萬(wàn)個(gè),其中,國(guó)家頂級(jí)域“.CN”域名2,300萬(wàn)個(gè);“.COM”域名1,566萬(wàn)個(gè);合計(jì)占我國(guó)域名市場(chǎng)的75.7%。活躍域名數(shù)量分布:
從圖5可見(jiàn),我國(guó)活躍域名的解析超過(guò)91%依賴于境外服務(wù)。其中,運(yùn)營(yíng)頂級(jí)域名“.COM,.NET,.CC,.TV,.NAME”的Verisign公司,也是管理域名根A和J 的運(yùn)營(yíng)商,并且是作為美國(guó)國(guó)家電信和信息管理局(NTIA)管理域名空間的合約代理商。
這就是說(shuō),在應(yīng)急響應(yīng)時(shí),鏡像的域名根服務(wù)器不得不把絕大多數(shù)接收到的有效域名查詢請(qǐng)求,“推送”到境外的頂級(jí)域名服務(wù)器(如.COM)。顯然,假設(shè)境外的域名根服務(wù)器對(duì)中國(guó)“斷服”了,而頂級(jí)域名服務(wù)器卻仍然提供對(duì)中國(guó)的“服務(wù)”,怎么可能?近乎荒謬。
所以,鏡像的域名根服務(wù)器沒(méi)有實(shí)用性和實(shí)戰(zhàn)性!
六、事實(shí)5:基于經(jīng)驗(yàn)和教訓(xùn)以及現(xiàn)狀,鏡像的域名根服務(wù)器受制于服務(wù)系統(tǒng)軟件。
據(jù)了解,中國(guó)大陸的域名系統(tǒng)(DNS)服務(wù)軟件以采用開(kāi)源和免費(fèi)的模式為主,包括以“自研代碼”包圍“開(kāi)源代碼”的“馬甲”(workaround)式二次開(kāi)發(fā)。
最近,“太陽(yáng)風(fēng)”(Solarwinds)網(wǎng)管軟件被認(rèn)為遭到“供應(yīng)鏈攻擊”,迫使全球各國(guó)重新認(rèn)識(shí)在網(wǎng)信安全領(lǐng)域中的“供應(yīng)鏈安全”。雖然“供應(yīng)鏈”的表面形式是有形的物(包括技術(shù)),但是其本質(zhì)和實(shí)質(zhì)是人的因素(包括政治和意識(shí)形態(tài)使然)。
以開(kāi)源和免費(fèi)的DNS軟件BIND為例。2000年由美國(guó)國(guó)土安全部資助開(kāi)發(fā)的BIND版本9(BIND9),從2004年1月28日的第一個(gè)版本(BIND 9.0.0)到2020年9月17日(BIND 9.17.5),共計(jì)發(fā)布了634個(gè)版本,其中2020年(至9月17日)發(fā)布了15個(gè)版本。
BIND軟件版本的生命周期一般為1年。但是,已知國(guó)內(nèi)有相當(dāng)多的單位和企業(yè)仍然在使用已被廢棄的BIND軟件版本,甚至所使用的BIND軟件(數(shù)年前)版本號(hào)仍在網(wǎng)絡(luò)中裸露著。
另一方面,BIND軟件版本不斷地被發(fā)現(xiàn)高危的安全漏洞,僅2019年公開(kāi)發(fā)布的漏洞補(bǔ)丁(CVE)就是17個(gè),不包括一般性的代碼錯(cuò)誤。如果沒(méi)有及時(shí)下載補(bǔ)丁,等同于開(kāi)放被入侵的大門。但是,投入和花費(fèi)資源維護(hù)“免費(fèi)”DNS 軟件的單位和企業(yè)卻并不多見(jiàn)。必要和必須的技術(shù)、行政、執(zhí)法監(jiān)管普遍不及時(shí)、不完善、不嚴(yán)謹(jǐn)或原本就不落實(shí)。
尤其是,并不能排除軟件中固有的“暗樁”、尚未公開(kāi)的漏洞,或在下載開(kāi)源軟件的過(guò)程中被植入或夾帶了病毒。在這樣的域名應(yīng)用和服務(wù)環(huán)境中,鏡像的域名根服務(wù)器怎么可能“獨(dú)善其身”!
綜上,從知彼(和對(duì)標(biāo))的角度,2014年7月,美國(guó)國(guó)家安全局(NSA)發(fā)起了“安全的科學(xué)”(簡(jiǎn)稱SOS)計(jì)劃,持續(xù)至今。SOS計(jì)劃明確界定:網(wǎng)信安全領(lǐng)域是一門新興的、跨學(xué)科的、整體的知識(shí)體系,旨在作為一項(xiàng)持續(xù)發(fā)展的長(zhǎng)期研究工作。因此,(網(wǎng)信)“安全的科學(xué)”既沒(méi)有唯一的路徑,也沒(méi)有任何捷徑。
科學(xué)是證偽的過(guò)程。所述的五個(gè)事實(shí)都可以充分證明,鏡像的域名根服務(wù)器,不能也無(wú)法應(yīng)對(duì)潛在的“斷服”(或“斷網(wǎng)”)風(fēng)險(xiǎn)。重新審視應(yīng)對(duì)“斷服”(“斷網(wǎng)”)的方案和措施,對(duì)于堅(jiān)持維護(hù)國(guó)家主權(quán)、安全、發(fā)展利益十分迫切、至關(guān)重要。
悖逆科學(xué)事實(shí)和常識(shí)的“鏡像替代”論,“早有準(zhǔn)備”和“不用擔(dān)心”說(shuō),當(dāng)休矣!
「 支持烏有之鄉(xiāng)!」
烏有之鄉(xiāng) WYZXWK.COM
您的打賞將用于網(wǎng)站日常運(yùn)行與維護(hù)。
幫助我們辦好網(wǎng)站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號(hào)
