APNIC文摘— DNS是否開放？（上）

2021 / 11 / 24
作者：國際瞭望

2021 / 11 / 24
Author : 國際瞭望

分類：技術, 社群
Tags： APNIC, APNIC文摘, DNS, openness, 即時訊息, 國際瞭望

Categories : 技術, 社群
Tags : APNIC, APNIC文摘, DNS, openness, 即時訊息, 國際瞭望

本APNIC文摘原標題為DNS openness，由Geoff Huston 撰文。

本文作者，APNIC首席科學家Geoff Huston 今年9月底受歐洲電子通傳監管機構（Body of European Regulators for Electronic Communications，BEREC）之邀出席工作坊，針對「DNS開放程度」（DNS Openness）發表見解。本文即為作者在工作坊的分享內容。

首先，作者解釋BEREC的「DNS開放程度」意指為何。他解釋，BEREC考量的DNS開放程度，並不僅限於「開放競爭」的特定意涵，而包括資訊內容的取得和傳播、應用程式及服務的使用和提供，以及使用DNS服務時，使用者在連網裝置的選擇上是否不限使用者所在地區，或欲取得之資訊、內容、應用程式或服務地區的限制？

也就是說，這裡的「開放」，其實是想知道DNS是否統合一致。

其實，若所謂「DNS開放程度」只是在問大家是否都能使用DNS、所有DNS伺服器的回應是否一致，那答案是肯定的，因為這就是DNS的設計初衷。DNS的設計原理，就是以回應查詢的一致性為本，容許遞迴及本地解析器仰賴快取加速資訊的傳遞。DNS的回應也不會因對象而異；無論送出查詢的是誰、位置在哪、使用哪個平臺，伺服器都只會回傳一樣的回應。

當然，以上是設計原理最理想的實踐狀態，實際狀況更複雜多變。事實上，並非每個使用者看到的DNS都一樣，對於「我們身處同一個網際網路中嗎」的問題，作者的回答是「我無法肯定，但的確希望如此！」

不同國家對國內網路服務供應業者有不同的法規限制，這直接影響業者針對某些域名提供「正確」DNS解析回應的能力。一般人第一個聯想到的例子，可能是中國和網路長城。事實上，諸如英國、美國、澳洲、印度、俄羅斯、伊朗、越南、法國及土耳其等，很多族繁不及備載的國家，都有國內專屬的DNS限制規範。有些國家的作法是直接禁止解析特定域名，有些則會以「無此域名」（NXDOMAIN）回應，也有些是直接將使用者引導至別的域名。

作者以自己國家為例，澳洲1997年頒布的電子通訊法中第313節規定，通訊業者依法必須「盡全力防止電訊網路被用於違法用途」。實作上，這代表澳洲的網路服務供應業者（Internet Service Provider，ISP）必須自主設置過濾機制，阻擋內容涉及暴力、恐怖主義及犯罪行為的域名解析。

在DNS中，「清白饋送」（clean feeds）也獲得某種程度的歡迎；有些解析器會提供「不解析與惡意軟體、濫用或犯罪內容、竊聽軟體，以及類似濫用行為或安全威脅之域名」的功能，市面上如Quad9或Cloudflare的1.1.1.2惡意軟體封鎖解析服務都屬此類。若使用者選擇開啟此功能，實質上等於利用DNS過濾內容。

除此之外，也有更改DNS回應以營利的作法。其中代換NXDOMAIN回應的手法最為常見：在此情境下，當使用者鍵入尚未被註冊的域名，並不會收到「此域名不存在」的回應，而將被引導至預先設定的搜尋引擎或類似網頁。.com和.net的註冊管理機構Verisign可謂此手法的先驅，他們在2003年用此方式，把所有輸入未註冊.com和.net域名的使用者導向Verisign的宣傳網頁。

Verisign的作法是在域名區域檔案中插入萬用字元（wildcard）登錄資料，以達到以上效果。嚴格來說，這並沒有「破壞」DNS的一致性，只是巧妙利用了DNS。但在這之後，越來越多模仿作法變本加厲，許多最終跨越了那條線，DNS的一致性也因此受到影響。

作者認為，DNS是否統合一致的討論核心，其實是在探究網際網路基礎建設是否誠實無欺。域名和路由是網際網路基礎建設的兩大弱點，即使終端一切運作如常，若路由的真實性不保，則使用者就算被誤導至錯誤目的地，也將一無所知。

在惡意軟體猖獗的今日，許多人可能同意，甚至強力支持業者無論是依法或為防範安全威脅而過濾訊務，雖然這也代表DNS不再完全一致。或許也可以說，在安全與統合一致的DNS之間，大多數人為了保全前者，願意在後者上作出妥協。

除了統合一致外，還可以用更多不同角度解讀「開放」。

DNS的解析協定是由網際網路工程任務組（Interenet Engineering Task Force，IETF）發布的公開標準，沒有任何使用對象的限制。在此之中，幾乎所有協定都不受智慧財產權限制，而更改協定的IETF流程也開放所有人參與。若以常見的「開放」標準而言，作者肯定DNS是一個開放系統，也可視為開源系統。

再者，若開放服務代表所有人都可以使用DNS系統提供的域名解析服務，則DNS也算是一種開放服務。當然，這是以公共DNS而言，企業內部自架或刻意設計的封閉系統在此不納入考量。

DNS的內容呢？DNS系統裡承載的資訊是否公開開放？若要精細區分區域檔案和檔案中的每筆紀錄，前者可能不是，但後者完全公開。除此之外，DNS查詢和回應預設並未加密，所以也算是公開資料。

然而，最後一項特徵，如今成了DNS的最大問題。這表示只要有心，任何人都可以輕易透過搜集、彙整DNS訊務資料，大致摸透目標對象的網路行為。

作者指出，在此情境下，所謂的「開放」不再是強項，而變成了弱點。這不一定是DNS本身的弱點，而是我們這些網際網路使用者的弱點。DNS是所有網路行為的基礎，而其身為開放協定的特性，表示我們這些使用者的資訊和行為，都因此公開給任何想偷窺的第三方搜集利用。

難道不得不像魚缸裡的金魚一樣公開任人觀賞，就是我們使用網際網路必須付出的代價？難道公開開放、信任，以及隱私保護之間，一定必須犧牲後者以保全前兩項價值？若不是，我們應該如何在這之中取得平衡？作者對最後一個問題的答案，將在下篇揭曉。

*台灣網路資訊中心（TWNIC）與亞太網路資訊中心（APNIC）合作，定期精選APNIC Blog文章翻譯摘要，提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNS openness。

圖片來源：APNIC Blog