最小化 DNS 解析:進入半影區

近幾年來,網路通訊中至關重要的域名查詢變得更安全了,這主要歸功於一些鮮為人知的技術,這些技術正在對全球產生影響。Verisign公司的CTO 博士Burt Kaliski最近在《網路協議期刊》發表的文章中介紹了這些技術,作者分享了Verisign在推廣這項工作中所扮演的角色,以及該公司在全球推廣了一項特定技術並提供免費使用的情況。長久以來,網域名稱系統( Domain Name System,DNS)一直按照傳統的查詢方式,解析器通常會向查詢鏈中的每個名稱服務器都發送一個帶有完整網域名稱的相同查詢,這個查詢會依次傳遞到每個名稱服務器。最後,當解析器收到最終答案時,它會將這個答案應用於最初查詢的域名。這種方式可能會泄漏一些不必要的資訊,因為解析器在整個過程中會向多個名稱服務器發送相同的查詢,並且會收到多個類似的答案。最近,DNS系統管理員開始推出各種「最小化技術」(minimization techniques)

 這些技術旨在減少DNS生態系統組件之間交換的資訊數量和敏感性,以提高DNS安全性。為什麼會出現這種轉變?這是為了將這一過程更接近於「僅知」(need to know)安全原則,該原則指的是僅在必要的情況下共享資訊。也就是說,只有在必須知道資訊的人才可以存取和使用該資訊,而不是在所有情況下都向所有人公開。這項技術是為了減少人們在網路世界中洩漏敏感資訊的情況。簡言之,人們正在努力將網路世界的安全性提高到更高的水平,這項技術只是過程中的一部分。

為了確保全球 DNS 的安全、穩定性和可靠性,Verisign 致力於開發 qname 最小化技術,並推動普及 DNS 最小化技術。人們非常重視這個項目,因為這些技術可以減少解析器與根域名和頂級網域名稱伺服器之間交換的 DNS 數據的敏感度,同時不會增加授權伺服器操作的營運風險。為了推動這個領域的技術進步,Verisign在2015年宣布,在某些網路工程任務組(Internet Engineering Task Force,IETF)的標準化工作中,以無版稅的授權許可證開放其qname最小化專利。自那時以來,支持和部署的比例不斷增加;根據NLnet Labs提供的統計數據,截至本文撰寫時,約有67%的檢測器正在使用qname最小化解析器,而這一數據從2017年5月的0.7%增加而來,這是代表最小化技術在社群中具有實用價值的一個強而有力的指標。在Verisign,我們也看到了類似的趨勢,約有65%的檢測器在使用.com和.net授權伺服器的兩個標籤查詢中使用了qname最小化解析器。

Verisign網站提供原文文章的完整版。Verisign公司的CTO 博士Burt Kaliski的文章,名為“Minimized DNS Resolution: Into the Penumbra”,探討了IETF文檔記錄的幾種特定最小化技術,報告了它們的使用狀況,並討論了它們的採用對DNS測量研究的影響。

本文內容純屬筆者個人意見,並不代表TWNIC立場

相關連結:Zaid AlBanna(2023),Minimized DNS Resolution: Into the Penumbra,CircleID

檢自:https://circleid.com/posts/20230330-minimized-dns-resolution-into-the-penumbra

(March,30,2023)

Scroll to Top