APNIC文摘— DNS是否開放?(下)

本APNIC文摘原標題為DNS openness,由APNIC首席科學家Geoff Huston撰文。

上一篇中,作者檢視DNS的開放程度,並提出大哉問:在DNS中,我們應如何在公開開放、信任,以及隱私保護之間取得平衡?

由於DNS是網際網路的核心,作者認為,DNS是用來觀察網際網路中諸如隱私管理、信任、統合及分裂、濫用及破壞等議題的有效濾鏡。在眾多議題中,他選擇深入探討信任、域名解析及分裂化3個議題;這三者將是取決DNS能否持續作為中心膠著劑,支撐整個網際網路的關鍵。

DNS與信任

作者認為,「過度信任的協定」最能精準形容DNS解析;這個協定彷彿來自另一個只存在互信互愛的世界。在DNS解析協定中,向伺服器送出查詢後,解析器無論收到什麼回應都會百分之百相信。然而,現實是DNS系統非常容易駭侵,有心人士可以輕鬆從中攔截、代換或假造回應,但送出查詢的那端卻完全無法確認。換句話說,信任在DNS中反而帶來傷害。

為了減緩傷害,後代開發出驗證DNS回應的方法,透過在根區簽署DNS紀錄,並在解析過程中驗證數位簽章,確保傳給終端的回應完整正確。這個技術叫做DNS安全擴充(DNS Security Extensions,DNSSEC)。

然而,自2004年出現至今,DNSSEC的全球佈署率仍僅有3成左右。而這異常平緩的成長幅度,可能來自幾個原因。

首先,解析器若要進行DNSSEC驗證,需要耗費更多效能和時間。當然,在快取正常發揮作用的前提下,這些必須多花的效能和時間幾乎微不足道。但不可否認,DNS回應附帶數位簽章後尺寸增加,也會造成其他效能問題,而這就不是快取能輕易解決的了。簡而言之,在極度重視速度和效率的DNS中,DNSSEC耗能和耗時的問題實難以忽略。

另一個問題在於付出和回報的不平等。DNSSEC佈署的最終受益人是終端使用者,但大部份使用者連網際網路仰賴DNS運作都一無所知,遑論要求驗證自己的DNS查詢和回應。DNS解析只是ISP供應的基本服務之一,而對根本不知DNS是什麼的使用者而言,DNS的品質絕非選擇ISP的參考標準。

另一方面,對通常負責提供遞迴解析器服務的ISP而言,佈署DNSSEC不僅花錢、花時間,增加DNS服務出錯的風險,使用者也無感,毫無經濟效益。在權威伺服器方面,他們雖然有動機取得數位簽章,證實自己轄下域名真實無誤,但若中轉的遞迴解析器和使用者端的解析器都不驗證DNSSEC,那即使花錢安裝了DNSSEC,也無法發揮效用。

DNSSEC重要性和佈署率的顯著反比,是市場失敗的典型案例。但這個失敗案例隱含更嚴重的後果;若整個DNS生態系統無法同心協力加固、改善DNS信任,那重視此價值的人只好另循管道,如把一部分DNS分割出來,並透過其他手段確保此特定部份的安全及信任。

DNS解析

解析器是DNS系統的「中間人」,負責連結終端使用者和權威伺服器。然而,這個「中間」的角色,也意味著他們的資源最青黃不接。使用者不會為每筆解析器處理的查詢回應付費,伺服器也不會依解析器每筆回傳的查詢或快取資料付費。換句話說,解析器無論從上游或下游,都拿不到與勞力付出相應的報酬。

ISP對此的因應作法,是把解析服務的開銷納入向顧客收取的網路使用費率。然而誠如上述,一般使用者對DNS解析的品質毫無要求,也不會以此作為選擇ISP的依據;對ISP而言,提供DNS服務只賠不賺,絕對不能在上面多花資源。這惡性循環的結果,是ISP提供的解析服務往往軟體版本過時,服務品質也不怎麼樣。

一般使用者可能難以察覺差異,但對速度就是生命、極度重視DNS解析效率的開發人員而言,ISP提供的解析服務難以滿足需求。來自第三方的公共解析服務因應而生;使用者可以選擇不用自己ISP提供的解析服務,改使用第三方的公共解析服務。

根據APNIC量測數據顯示,約65%的網路使用者會用ISP提供的遞迴解析服務,35%則選擇繞道使用第三方提供的公共解析服務。

作者提醒,不能將此數據解讀成「35%個人使用者自行選擇改用開放解析服務」。構成這35%的有很多是ISP業者;換言之,他們連自架解析服務系統都不做,直接使用公共解析器為客戶提供服務。作者推測,這種作法最大的動機是省錢。不只如此,許多企業基於服務韌性和持續性的考量,比起ISP,也更偏好使用公共解析服務。

既然全球有35%在使用公共解析服務,是否代表公共解析服務的市場競爭一定百家爭鳴、十分激烈?很可惜並非如此。事實是,Google的公共解析服務8.8.8.8就佔了這35%的30%。

在此就不贅述公共解析服務過度集中於Google的正反效應,但必須謹記的是,DNS作為網際網路的核心基礎建設,保持高度獨立和中立非常重要。而DNS中有如此顯著的一部分僅仰賴單一供應方,無論對方是否立意良善,對DNS的長遠健全都是一大隱憂。

DNS分裂

在DNS信任的段落最後,作者提到若整個DNS無法系統性地改善信任問題,特別重視此議題的人將另循管道,如把一部分DNS分割出來,透過其他手段確保此特定部份的安全及信任。若你這聽起來很像DNS被分裂了,那你想的沒錯。

DNSSEC能保障使用者收到的DNS回應正確完整,但無法保護DNS的訊務隱私。為了達到保護隱私的目的,許多新技術如DNS over TLS(DoT)、DNS over HTTPS(DoH)因應而生,但類似技術的發展演進,讓許多人擔憂這會把DNS解析功能越來越推到終端應用層次。

擔憂的人有擔憂的理由,支持此發展的人也有其根據。對後者而言,這樣的演變可以提昇應用程式的敏捷度、彈性和反應速度。對追求日新月異的網路內容及服務產業而言,與其坐等因缺乏資源而進化遲緩的DNS基礎架構演變成符合需求的樣貌,不如把事情集中於終端自行解決。

然而,這也代表DNS分裂不再是危言聳聽,而是很可能實現的未來。

最後,作者指出,真正的開放技術並非不容變更、只供鑑賞的博物館展示品。真正的開放應擁抱創新,接受使用者和開發人員的改變。雖然有些網路治理組織或單位希望透過所謂的多方利害關係治理模式,廣納不同利害關係人的觀點,最終在不同目標中取得妥協,但這種緩慢的進程,可能趕不上直接粗暴的市場力量。

某種程度而言,DNS的發展反映了網際網路大環境的演變:在缺乏法規管制,僅仰賴市場力量和使用者偏好作為發展驅動力的環境中,結果往往是沒有迴旋餘地的勝負,而且贏者全拿。

DNS可以在此多方壓力中保持原樣,仍以單一、統合且一致的域名空間為網路使用者服務嗎?作者沒有答案,但他的結論仍是樂觀的。他認為,本文列出的種種都顯示DNS在改變,而這也代表DNS仍保持開放,願意接受變革,甚至轉型。這是好的象徵。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNS openness

圖片來源:APNIC Blog

回到頂端