無解的域名衝突?

莊舒歆/東海大學資訊管理學系

域名衝突(name collision)

在說明域名衝突前,我們要先了解企業內部網路以及域名系統架構。

隨著網路蓬勃發展,許多企業開始申請網域並架設網站,2011年6月網際網路名稱與數字位址分配機構(Internet Corporation for Assigned Names and Numbers,ICANN)批准了新通用頂級域名(New generic Top-Level Domains,new gTLD)[1],2012年開放各企業與機構註冊,ICANN在當年收到了1930個域名申請,截至2022年6月已核准了1241個[2]。且數量可能會持續增加。

企業內部網路(Local Area Network,LAN),是指交換器會將內部許多電腦連結在一起,使它們可以共用網際網路、檔案和軟體等資源。使用者不僅可以透過區域網路內使用,在外部也可以透過VPN對企業內部網路進行存取。

域名系統(Domain Name System,DNS)的架構是採用階層式的分散式處理模式來分類,類似樹狀目錄結構(Tree Structured Directory)。在架構最頂端的稱為根網域(root domain),從根網域向下分出不同的分類網域,每個網域下又可再建立主機名稱,主機名稱下再延伸出子網域,如此不斷重複。這整個結構空間稱為網域名稱空間(Domain Name Space)。

綜合上述,可以知道企業內部自訂主機名稱擁有內部域名,內部域名選擇了原頂級域名中不存在的名稱。但後來出現的新頂級域名與之重複,就稱為域名衝突。域名衝突的問題其實早在新通用頂級域名問世前就發生了。但由於新通用頂級域名數量龐大,引發衝突的可能性和影響範圍將會更大。

衍生問題

使用企業內部網路,當域名衝突發生時,我們在外部瀏覽器上查詢域名,仍會在企業內部網路;同樣的,輸入內部域名使用企業內部服務,DNS解析可能會導引至外部網站。

域名衝突會造成下列問題:

  • 無法存取公司內部的服務。Ex:無法使用企業電子信箱。
  • 在企業伺服器內部中使用縮寫路徑時,無法與其他伺服器連接。
  • 區域網路內的終端用戶無法存取頂級域名。
  • 組織內伺服器會試圖存取組織外伺服器,導致資訊洩露;也造成公司使用的主機名稱洩露給外部。

以Corp.com的故事使我們更了解域名衝突衍生問題。

在企業內部網路的微軟電腦,是統一透過Active Directory(AD)來驗證同個網路上的其他主機。AD能使一台在ABC.example.com上的Windows電腦,要存取內網名叫「drive」的磁碟時,只需輸入路徑「\\drive\」就能存取。早期Windows Server 2000系統預設的AD路徑為「corp」,許多企業就在這基礎上建立了更龐大的網路。

如果一台受AD管轄的企業筆電,帶到公司外上網,筆電會試圖存取專屬於公司的網域名稱「corp」,但實際跑到網際網路上以corp.com為名的網域。所以任何控制corp.com的人都可以被動地攔截來自數十萬台電腦的公司與企業通訊內容。JAS Global Advisors是長期研究DNS域名衝突[3]的公司,2019年他們架設了網域為corp.com的網站,大約一小時就接到1,200多萬封信,包含企業機密文件。他們還分析了試圖連接corp.com的資料流,發現大多是要登錄各公司內網和共享文件。也就是掌控corp.com就能輕易掌控各企業網路、進入企業內網,擁有一個由企業組成的殭屍網路(Zombie Network)。只要企業AD的網路名稱,使用的不是公司所屬的網域名就會有風險。

解決辦法

2013年RFC 6762[4]建議各企業可將內網取名為.corp,後來證明這是件危險的舉動。2017年ICANN開始了域名衝突分析計畫(Name Collision Analysis Project,NCAP),將「.corp」這類字串貼上高風險標籤並永久擱置,包含.mail、.home等,並調查造成域名衝突的根本原因,回顧過去文件持續研究域名衝突的影響。但目前域名衝突問題沒有辦法完全根治,全世界的企業內網數量無法計算,企業需要多加注意內網所使用字串。ICANN對頂級域名申請嚴厲的審查制度有利緩解此問題,但在效率上卻可能趕不上域名衝突的發生。

NCAP研究團隊表示:「若是沒有經過龐大社群的仔細審查,不經過協調就毫不猶豫地使用網域名稱空間,就會持續造成域名衝突,降低整體網際網路的穩定及安全。」[5]

結語

目前各網際網路社群已將域名衝突視為需致力解決的議題。域名衝突影響的不只是企業,也可能衝擊到一般家庭,家中設定路由器或是家電所使用的網址,如果有部分字串也成為了頂級域名,可想而知那有多危險。ICANN後期致力於嚴格審查頂級域名申請,引起部分的申請者抗議,認為有些機構能一開始就拿到域名,他們現在卻要等上好幾年的時間才可以使用或被告知不能使用,浪費了許多時間與成本。但我們都清楚知道,為了網路安全這是有必要的。

域名衝突的狀況到現在仍然持續增加,已演變為一個棘手的問題。企業自身需確實檢查內網域名設定,才能真正保護企業網路安全並為網際網路社群助一臂之力。

[1] ICANN(2011). ICANN Approves Historic Change to Internet’s Domain Name System. 檢自: http://www.icann.org/en/announcements/announcement-20jun11-en.htm

[2] ICANN(2022). Completed New gTLD Program. 檢自: https://newgtlds.icann.org/en/program-status/statistics

[3] JAS Global Advisors(2014). Mitigating the Risk of DNS Namespace Collisions. 檢自:https://www.icann.org/en/system/files/files/name-collision-mitigation-study-06jun14-en.pdf

[4] RFC 6762. https://datatracker.ietf.org/doc/html/rfc6762

[5] ICANN(2022). Challenges with Alternative Name Systems.檢自:https://www.icann.org/en/system/files/files/octo-034-27apr22-en.pdf

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端