APNIC文摘 — 因應當代DNS挑戰

本APNIC文摘原標題為Addressing the challenges of modern DNS,由Moritz Müller撰文。

本文作者在荷蘭特文特大學(University of Twente)的團隊今年初與英國網路科技公司sinodun共同發表〈面對當代DNS挑戰:全方位教學手冊〉(Addressing the challenges of modern DNS: A comprehensive tutorial)。目標讀者是想更了解DNS的技術人員,本文將概略介紹手冊內容,並提出DNS目前面臨的挑戰。

了解DNS現況並非易事。大部分網路上的DNS教學都只介紹基本運作原理,只有極少數會提及如DNS-over-HTTPS(DoH)或DNS集中化等當代發展。另一個問題則是以DNS為主題的正式文件,數量實在過於龐大。在DNS發展初期,定義此系統的RFC動輒高達百頁,至今更累積超過200份文件,相關說明高達3,500多頁。

作者團隊推出的教學手冊就是為了克服以上問題。本手冊基於作者團隊本身的DNS研究成果、營運經驗,以及他們對DNS相關RFC和學術研究的認識,說明當代DNS的樣貌,並指出DNS相關的關鍵安全議題。

手冊中列舉DNS實踐的最新進展,包括DNS訊息加密、DNS基礎架構越來越集中化的現象,以及此現象如何影響DNS的功能和使用者、維運、開發和研究人員。手冊中也說明如何透過大規模量測觀察DNS的變化進展,並說明兩種不同的量測方式:從「外側」查詢DNS的主動量測(如OpenINTEL),以及搜集DNS伺服器上資料的被動量測(如ENTRADA)。手冊中也說明如何設定量測及不同量測方式的優缺點。

除了當代DNS的實際運作現況外,手冊中也針對DNS的機密性、完整性和可用性,以及濫用因應等DNS的4大關鍵安全挑戰,提出現有的解決方案,並指出仍存在的挑戰。以下依序簡要說明:

機密性

DNS訊息預設以明文傳送,而這造成很多安全和隱私問題。目前也有多種方式減緩這些問題,如所有主流開源解析器軟體業者都支援QNAME最小化,藉此減少DNS解析流程分享的資訊。也有利用TLS(直接或嵌入HTTP或QUIC)加密DNS訊息的技術。

當然,這些解方仍未臻完美。社群目前仍在找尋方法,讓客戶端自行發現,並與提供加密傳輸的解析器建立安全連線。另一方面,雖然QNAME最小化已相當普遍,但遞迴解析器的查詢機密性也仍是個問題。Oblivious DNS over HTTPS(OdoH)或Apple的Private Relay 或可解決上述問題,但會影響效能。

完整性

原則上而言,DNS數年前就已達到完整性要求。DNS安全擴充(DNS Security Extensions,DNSSEC)在2005年就已標準化並安裝於上百萬筆域名和遞迴解析器。然而,DNSSEC簽署在理想上應由送出請求的客戶端,而非遞迴解析器驗證。也唯有如此,無解析器DNS(Resolverless DNS)等新技術才有可能實現。

另一即將出現的挑戰,是量子電腦及其可能對DNS訊息完整性帶來的威脅。量子電腦的發展或對DNS的實際影響都仍屬未知,但作者團隊認為,現在就應該開始討論如何在量子世界中保護DNS安全。

可用性

由於在網際網路中扮演關鍵角色, DNS中的資訊必須可以隨時供任何人使用。DNS協定本身就有多個供維運人員加強DNS系統靈活性的方式,例如他們可以把區域檔案複製放在多個域名伺服器上,以降低負載並加強可用性。遞迴解析器若遇到沒有回應的伺服器,就會自動找到另一個伺服器取得資訊。

但阻斷服務(Denial of Service,DoS)攻擊仍是威脅,而將DNS服務集中於少數供應方的因應方案,雖然表示供應方因此有更多資源投入於防範攻擊,但這也造成DNS生態系統集中化的問題。集中化不僅有隱私上的顧慮,更會擴大服務斷線的影響範圍。因此,我們仍必須持續尋找改善可用性又能避免集中化的解決方案。

濫用

濫用域名以發動網際網路上的惡意行為仍是一大問題。手冊中也提及偵測、減緩域名濫用的現行方案。然而這些解決手段並不長效,也無法防禦所有類型的攻擊。還有些DNS濫用的問題其實來自協定本身的設計,如仰賴UDP傳輸反而助長欺騙(spoofing)攻擊。DoH和DoQ雖然某種程度上能解決這問題,但基於對效能的影響,仍無法大規模部署。

有時針對某一挑戰的解方,反而又造成新的問題。如加密DNS訊息是為了解決機密性的問題,但維運人員也怕這樣反而讓偵測DNS濫用行為變得更困難。

其他域名系統帶來的靈感

雖然DNS是網際網路上唯一普及的域名系統,但的確還存在別的域名系統。手冊中也檢視以區塊鏈為基礎,如SCIONNDN等其他域名系統,探討這些域名系統是否能應付DNS的挑戰,或帶來新的靈感。

點此可線上閱讀手冊全文,或下載PDF檔案。

 

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Addressing the challenges of modern DNS

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端