APNIC文摘— DNS是否開放?(上)

本APNIC文摘原標題為DNS openness,由Geoff Huston 撰文。

本文作者,APNIC首席科學家Geoff Huston 今年9月底受歐洲電子通傳監管機構(Body of European Regulators for Electronic Communications,BEREC) 之邀出席工作坊,針對「DNS開放程度」(DNS Openness)發表見解。本文即為作者在工作坊的分享內容。

首先,作者解釋BEREC的「DNS開放程度」意指為何。他解釋,BEREC考量的DNS開放程度,並不僅限於「開放競爭」的特定意涵,而包括資訊內容的取得和傳播、應用程式及服務的使用和提供,以及使用DNS服務時,使用者在連網裝置的選擇上是否不限使用者所在地區,或欲取得之資訊、內容、應用程式或服務地區的限制?

也就是說,這裡的「開放」,其實是想知道DNS是否統合一致。

其實,若所謂「DNS開放程度」只是在問大家是否都能使用DNS、所有DNS伺服器的回應是否一致,那答案是肯定的,因為這就是DNS的設計初衷。DNS的設計原理,就是以回應查詢的一致性為本,容許遞迴及本地解析器仰賴快取加速資訊的傳遞。DNS的回應也不會因對象而異;無論送出查詢的是誰、位置在哪、使用哪個平臺,伺服器都只會回傳一樣的回應。

當然,以上是設計原理最理想的實踐狀態,實際狀況更複雜多變。事實上,並非每個使用者看到的DNS都一樣,對於「我們身處同一個網際網路中嗎」的問題,作者的回答是「我無法肯定,但的確希望如此!」

不同國家對國內網路服務供應業者有不同的法規限制,這直接影響業者針對某些域名提供「正確」DNS解析回應的能力。一般人第一個聯想到的例子,可能是中國和網路長城。事實上,諸如英國、美國、澳洲、印度、俄羅斯、伊朗、越南、法國及土耳其等,很多族繁不及備載的國家,都有國內專屬的DNS限制規範。有些國家的作法是直接禁止解析特定域名,有些則會以「無此域名」(NXDOMAIN)回應,也有些是直接將使用者引導至別的域名。

作者以自己國家為例,澳洲1997年頒布的電子通訊法中第313節規定,通訊業者依法必須「盡全力防止電訊網路被用於違法用途」。實作上,這代表澳洲的網路服務供應業者(Internet Service Provider,ISP)必須自主設置過濾機制,阻擋內容涉及暴力、恐怖主義及犯罪行為的域名解析。

在DNS中,「清白饋送」(clean feeds)也獲得某種程度的歡迎;有些解析器會提供「不解析與惡意軟體、濫用或犯罪內容、竊聽軟體,以及類似濫用行為或安全威脅之域名」的功能,市面上如Quad9或Cloudflare的1.1.1.2惡意軟體封鎖解析服務都屬此類。若使用者選擇開啟此功能,實質上等於利用DNS過濾內容。

除此之外,也有更改DNS回應以營利的作法。其中代換NXDOMAIN回應的手法最為常見:在此情境下,當使用者鍵入尚未被註冊的域名,並不會收到「此域名不存在」的回應,而將被引導至預先設定的搜尋引擎或類似網頁。.com和.net的註冊管理機構Verisign可謂此手法的先驅,他們在2003年用此方式,把所有輸入未註冊.com和.net域名的使用者導向Verisign的宣傳網頁。

Verisign的作法是在域名區域檔案中插入萬用字元(wildcard)登錄資料,以達到以上效果。嚴格來說,這並沒有「破壞」DNS的一致性,只是巧妙利用了DNS。但在這之後,越來越多模仿作法變本加厲,許多最終跨越了那條線,DNS的一致性也因此受到影響。

作者認為,DNS是否統合一致的討論核心,其實是在探究網際網路基礎建設是否誠實無欺。域名和路由是網際網路基礎建設的兩大弱點,即使終端一切運作如常,若路由的真實性不保,則使用者就算被誤導至錯誤目的地,也將一無所知。

在惡意軟體猖獗的今日,許多人可能同意,甚至強力支持業者無論是依法或為防範安全威脅而過濾訊務,雖然這也代表DNS不再完全一致。或許也可以說,在安全與統合一致的DNS之間,大多數人為了保全前者,願意在後者上作出妥協。

除了統合一致外,還可以用更多不同角度解讀「開放」。

DNS的解析協定是由網際網路工程任務組(Interenet Engineering Task Force,IETF)發布的公開標準,沒有任何使用對象的限制。在此之中,幾乎所有協定都不受智慧財產權限制,而更改協定的IETF流程也開放所有人參與。若以常見的「開放」標準而言,作者肯定DNS是一個開放系統,也可視為開源系統。

再者,若開放服務代表所有人都可以使用DNS系統提供的域名解析服務,則DNS也算是一種開放服務。當然,這是以公共DNS而言,企業內部自架或刻意設計的封閉系統在此不納入考量。

DNS的內容呢?DNS系統裡承載的資訊是否公開開放?若要精細區分區域檔案和檔案中的每筆紀錄,前者可能不是,但後者完全公開。除此之外,DNS查詢和回應預設並未加密,所以也算是公開資料。

然而,最後一項特徵,如今成了DNS的最大問題。這表示只要有心,任何人都可以輕易透過搜集、彙整DNS訊務資料,大致摸透目標對象的網路行為。

作者指出,在此情境下,所謂的「開放」不再是強項,而變成了弱點。這不一定是DNS本身的弱點,而是我們這些網際網路使用者的弱點。DNS是所有網路行為的基礎,而其身為開放協定的特性,表示我們這些使用者的資訊和行為,都因此公開給任何想偷窺的第三方搜集利用。

難道不得不像魚缸裡的金魚一樣公開任人觀賞,就是我們使用網際網路必須付出的代價?難道公開開放、信任,以及隱私保護之間,一定必須犧牲後者以保全前兩項價值?若不是,我們應該如何在這之中取得平衡?作者對最後一個問題的答案,將在下篇揭曉。

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNS openness

圖片來源:APNIC Blog

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

回到頂端