1、清华大学清华大学-奇安信联合研究中心奇安信联合研究中心域域名名空空间间治治理理与与域域名名协协议议安安全全的的演演进进为为什什么么关关注注DNS安安全全？根根域域名名的的历历史史和和域域名名空空间间扩扩展展 DNS协协议议攻攻击击和和协协议议安安全全的的演演进进DNS 是是互互联联网网重重要要的的基基础础服服务务 DNS 是是互互联联网网重重要要的的基基础础服服务务 映映射射的的数数据据库库173.194.39.78CDN基基于于DNS提提供供内内容容分分发发和和负负载载均均衡衡 DNS 是是互互联联网网重重要要的的基基础础服服务务 映映射射的的数数据据库库应应用用层层的的路路由由 CDN基基

2、于于DNS提提供供内内容容分分发发、负负载载均均衡衡DNS 控控制制内内容容路路由由、负负载载均均衡衡DNS作作为为信信任任的的基基础础支支持持邮邮件件服服务务器器的的验验证证 DNS 是是互互联联网网重重要要的的基基础础服服务务 映映射射的的数数据据库库应应用用层层的的路路由由 CDN基基于于DNS提提供供内内容容分分发发、负负载载均均衡衡电电子子邮邮件件的的路路由由(MX)DNS 作作为为信信任任的的基基础础邮邮件件服服务务器器验验证证（SPF）,防防垃垃圾圾邮邮件件发发送送方方邮邮件件服服务务器器接接收收方方邮邮件件服服务务器器1.我我要要发发邮邮件件给给你你DNS作作为为信信任任的的基

3、基础础支支持持公公钥钥证证书书申申请请 DNS 是是互互联联网网重重要要的的基基础础服服务务 映映射射的的数数据据库库应应用用层层的的路路由由 CDN基基于于DNS提提供供内内容容分分发发、负负载载均均衡衡电电子子邮邮件件的的路路由由(MX)DNS 作作为为信信任任的的基基础础邮邮件件服服务务器器验验证证（SPF），防防垃垃圾圾邮邮件件公公钥钥证证书书申申请请中中的的验验证证申申请请证证书书验验证证你你是是否否拥拥有有这这个个域域名名？DNS作为公钥基础设施（作为公钥基础设施（PKI）DNS 是互联网重要的基础服务是互联网重要的基础服务 映射的数据库映射的数据库应用层的路由应用层的路由 CDN

4、基于基于DNS提供内容分发、负载均衡提供内容分发、负载均衡电子邮件的路由电子邮件的路由(MX)DNS 作为信任的基础作为信任的基础邮件服务器验证（邮件服务器验证（SPF）,防垃圾邮件防垃圾邮件公钥证书申请中的验证公钥证书申请中的验证 DNS 作为公钥基础设施作为公钥基础设施PKI DNSSEC：DS,RRSIGN,DNSSKEY TLSA：关联：关联Web服务器的服务器的TLS证书（证书（RFC 6698,2012）查询查询TLSA记录：记录：这个证书、这个证书、CA是你信任的吗？是你信任的吗？DNS相相关关的的攻攻击击常常导导致致互互联联网网大大规规模模瘫瘫痪痪 DNS 作作为为攻攻击击目目

5、标标 DNS作为DDoS攻击工具Spamhause DNS reflection，2013Dyn 攻击事件，2016域域名名的的滥滥用用：地地下下黑黑产产和和网网络络犯犯罪罪利利用用域域名名搭搭建建蜘蜘蛛蛛池池，实实现现搜搜索索引引擎擎污污染染，推推广广赌赌博博、毒毒品品等等违违法法网网站站伪伪装装成成合合法法域域名名进进行行钓钓鱼鱼攻攻击击DNS是是互互联联网网治治理理的的焦焦点点 DNS是是互互联联网网治治理理的的焦焦点点，涉涉及及技技术术标标准准、国国际际政政治治、法法律律经经济济等等各各种种纠纠纷纷伊伊拉拉克克战战争争期期间间，在在美美国国政政府府授授意意下下，伊伊拉拉克克顶顶级级域域

6、名名“.iq”的的申申请请和和解解析析工工作作被被终终止止，所所有有网网址址以以“.iq”为为后后缀缀的的网网站站从从互互联联网网蒸蒸发发中中国国部部署署了了4台台IPv6根根域域名名服服务务器器。打打破破垄垄断断、突突破破封封锁锁，中中国国彻彻底底打打破破了了没没有有根根服服务务器器的的困困境境。关关于于伊伊拉拉克克国国家家域域名名IQ被被删删除除的的事事件件:关关于于IPv6试试验验根根项项目目:为为什什么么关关注注DNS安安全全？根根域域名名的的历历史史和和域域名名空空间间扩扩展展 DNS协协议议攻攻击击和和协协议议安安全全的的演演进进DNS早早期期的的历历史史 1970s，APARNE

7、T创创立立之之初初，SRI-NIC负负责责维维护护HOSTS.TXT 1980+，Jon Postel&Paul Mockapetris DNS协协议议和和软软件件，运运行行第第一一个个Root Server 1985年年4个个根根域域名名服服务务器器,1990年年扩扩展展到到7个个1985年年，4个个root server1990年年，7个个root server1990s：DNS随随互互联联网网扩扩大大和和商商业业化化迅迅速速发发展展域域名名注注册册转转到到NSI公公司司（后后被被VeriSign收收购购），引引发发域域名名的的战战争争互互联联网网在在全全球球迅迅速速发发展展，欧欧洲洲、日

8、日本本部部署署了了两两个个根根继继续续扩扩展展受受DNS 消消息息大大小小限限制制（512字字节节)，无无法法部部署署更更多多 1995年年，改改名名a-i.root-，压压缩缩后后可可支支持持13个个根根Root Servers,1991Renaming of Root Servers,1995Jon Postel:互互联联网网之之神神 Jon Postel领领导导的的IANA 负负责责Root DNS管管理理选选择择Root server托托管管组组织织的的原原则则2需需要要：对对根根服服务务器器有有需需求求连连通通：内内部部和和外外部部都都有有广广泛泛的的连连接接共共识识：来来自自社社区

9、区内内部部的的广广泛泛支支持持不不做做过过滤滤：承承诺诺对对于于发发出出和和收收到到的的流流量量都都不不做做过过滤滤国国家家域域名名（ccTLD）的的分分配配主主要要考考虑虑：有有技技术术能能力力、可可信信、公公正正（RFC 1591，1994）例例：IQ在在1997分分配配给给美美国国公公司司，负负责责人人2002年年被被捕捕，2005由由ICANN重重新新分分配配给给伊伊拉拉克克通通信信管管理理局局11https:/www.iana.org/reports/2005/iq-report-05aug2005.pdf2 https:/www.icann.org/en/system/files/

10、files/rssac-023-04nov16-en.pdf关关于于域域名名的的战战争争和和互互联联网网治治理理早早期期的的历历史史在在互互联联网网成成立立之之初初，美美国国政政府府对对互互联联网网DNS根根的的控控制制几几乎乎是是不不存存在在的的大大多多数数政政策策问问题题上上，政政府府相相信信技技术术社社区区在在域域名名管管理理问问题题上上，技技术术社社区区相相信信Jon Postel从从根根上上治治理理互互联联网网：互互联联网网治治理理与与网网络络空空间间的的驯驯化化美美 Milton L.Mueller著著，段段海海新新 胡胡泳泳 译译Throughout its entire his

11、tory,the Internet system has employed a central Internet Assigned Numbers Authority(IANA)-V.Cerf,RFC 11741998年年ICANN之后的根域名管理之后的根域名管理 ICANN/IANA仍是根区数据的权威仍是根区数据的权威 VeriSign只负责根区文件分发只负责根区文件分发 DNSSEC签名保证根区数据完整性签名保证根区数据完整性 2013年 斯诺登事件爆发年 斯诺登事件爆发 2013年年ICANN等组织蒙得维的亚声明等组织蒙得维的亚声明2针对美国大规模网络监控的忧虑针对美国大规模网络监控的忧

12、虑强调全球一致，反对国家层面上的互联网分裂强调全球一致，反对国家层面上的互联网分裂加快加快ICANN/IANA的国际化的国际化 2016年年IANA监管权移交后，根区文件修改不再需要美国政府批准监管权移交后，根区文件修改不再需要美国政府批准1 http:/www.icann.org/committees/gac/gac-cctldprinciples-23feb00.htm.2 https:/www.icann.org/news/announcement-2013-10-07-zh根根域域名名服服务务器器的的扩扩展展 Anycast Instance(RFC 3258,2002)2013年年3

13、46个个，全全球球延延迟迟不不均均衡衡 2019/08/15：全全球球1011个个镜镜像像中中国国大大陆陆已已部部署署至至少少8个个本本地地根根区区镜镜像像（RFC 7706，2015）全全球球各各大大洲洲到到13个个根根域域名名服服务务器器的的解解析析延延迟迟IPv6网络中的网络中的Root 和和AAAA记录记录 2008至今，所有至今，所有Root Server都是都是IPv4/IPv6双栈双栈 2018年，年，98%的的TLD有有IPv6 Google统计：统计：24个国家个国家IPv6流量超过流量超过15%奇安信奇安信PDNS 统计：中国用户统计：中国用户AAAA查询次数查询次数奇安信

14、奇安信PDNS 统计：中国访问的统计：中国访问的IPv6服务器数量服务器数量客户端的数量大量增长客户端的数量大量增长IPv6的服务器增长相对较慢的服务器增长相对较慢名名字字空空间间的的扩扩展展：国国际际化化域域名名IDN 国际化域名(IDN)1996年开始研究和讨论 2003年，非ASCII(RFC3490)2009年 Root 开始iTLD 我们关于IDN域名的研究 收集1.5亿域名 com,net,org,53个iTLD 抽取1.4M IDN(1%)恶意域名黑名单(VirusTotal等)同同形形异异义义（homographic）IDN域域名名钓钓鱼鱼攻攻击击研究者真实的攻击同同形形异异义

15、义域域名名的的检检测测、生生成成相相似似度度检检测测同同形形异异义义IDN域域名名像像G的的IDN域域名名有有些些域域名名已已被被列列入入黑黑名名单单，有有些些是是保保护护性性注注册册的的可可以以批批量量生生成成攻攻击击域域名名，绝绝大大多多数数没没有有被被注注册册为为什什么么关关注注DNS安安全全？根根域域名名的的历历史史和和域域名名空空间间扩扩展展 DNS协协议议攻攻击击和和协协议议安安全全的的演演进进DNS协协议议相相关关的的安安全全问问题题拒拒绝绝服服务务攻攻击击DoS缓缓存存的的污污染染链链路路的的劫劫持持流流量量的的窃窃听听/注注入入利利用用DNS查查询询行行为为分分析析用用户户隐

16、隐私私信信息息DoS缓缓存存污污染染链链路路监监听听、隐隐私私泄泄露露Dan Kaminsky 缓缓存存污污染染攻攻击击及及其其防防范范(2008)请请求求受受攻攻击击域域名名，伪伪造造响响应应，成成功功率率本本来来：1/232，但但是是：Src port：可可预预测测 TXID:16 bit成成功功率率：1/216防防范范措措施施 Source Port :216 TXID Random:216 0X20 encoding(2008)成成功功率率：232+lengthRecursive RQ:non-existed.example.edu?A:non- 1.2.3.4 Q:non-exist

17、ed.example.edu?UDP HeaderDNS MSGSrc portdst port(53)lengthChecksumTXIDQuestion:另另一一种种缓缓存存污污染染方方法法：UDP分分片片(Fragment)服服务务器器和和网网络络设设备备可可能能会会将将DNS报报文文分分片片第第一一个个分分片片中中含含有有随随机机值值 Checksum算算法法过过于于简简单单攻攻击击方方法法：让让权权威威分分片片,覆覆盖盖第第二二个个例例：攻攻击击CA的的DNS（CCS2018)Recursive ResolverQ:non-existed.example.edu?Src portds

18、t port(53)lengthChecksumTXIDQ:A: 1.2.3.4A: 6.6.6.6分分片片1分分片片2攻攻击击者者的的分分片片缓缓存存污污染染方方法法：UDP分分片片(Fragment)Recursive RQ:non-existed.example.edu?Src portdst port(53)lengthChecksumTXIDQ:A: 1.2.3.4A: 6.6.6.6分分片片1分分片片2攻攻击击者者的的分分片片Src portdst port(53)lengthChecksumTXIDQ:分分片片1A: 6.6.6.6攻攻击击者者的的分分片片服服务务器器和和网网络络

19、设设备备可可能能会会将将DNS报报文文分分片片第第一一个个分分片片中中含含有有随随机机值值 Checksum算算法法过过于于简简单单攻攻击击方方法法：让让权权威威分分片片,覆覆盖盖第第二二个个例例：攻攻击击CA的的DNS（CCS2018)新新的的缓缓存存污污染染方方法法清清华华-奇奇安安信信联联合合实实验验室室发发现现的的新新型型DNS缓缓存存污污染染攻攻击击：构构造造超超大大的的DNS请请求求，强强迫迫服服务务器器分分片片DNSSEC验验证证的的比比例例中中美美三三个个行行业业权权威威服服务务器器DNSSEC部部署署情情况况域域名名类类别别数数量量/比比例例配配置置正正确确率率数数量量/比比

20、例例配配置置正正确确率率中中国国国国内内银银行行0/0NA0/0NA美美国国国国内内银银行行15/13%100%19/17%74%中中国国政政府府0/002/0.1%50%美美国国政政府府gov1162/21%99.05%1141/21%97%中中国国教教育育32/0.4%0*61/2.6%61%美美国国教教育育edu150/2%98.70%174/2.5%76%2019年年8月月测测试试结结果果2018年年8月月测测试试结结果果加加密密DNS发发展展大大事事件件2014年年9月月IETF第第一一个个DNS隐隐私私工工作作组组DPRIVE成成立立2009年年DNSCurve第第一一个个加加密密

21、DNS协协议议草草稿稿2016年年5月月DNS-over-TLS(RFC 7858)第第一一个个被被IETF标标准准化化的的加加密密DNS协协议议2011年年DNSCrypt协协议议2015年年8月月RFC 7626第第一一份份讨讨论论DNS隐隐私私问问题题的的RFC文文档档2017年年9月月IETF DNS-over-HTTPS工工作作组组成成立立2018年年10月月DNS-over-HTTPS(RFC 8484)标标准准通通过过DoH的的查查询询&DOT 服服务务器器的的数数量量（IMC2019）DoH查查询询：知知名名DoH服服务务占占有有较较大大比比例例 Google(8.8.8.8)

22、CloudFlare(1.1.1.1)公公共共DNS-over-TLS解解析析服服务务器器：1.5K2K左左右右许许多多证证书书配配置置错错误误中中国国的的DoT DNS服服务务器器部部署署很很少少 50 DNS加加密密仍仍然然存存在在较较大大争争议议加加密密DNS仍仍在在缓缓慢慢增增长长Chaoyi Lu and etc.An End-to-End,Large-Scale Measurement of DNS-over-Encryption:How Far Have We Come?IMC 2019EDNS和和DNS flag day 1987年年的的RFC 1035限限制制了了DNS 报报

23、文文的的大大小小、新新功功能能 EDNS扩扩展展DNS格格式式和和功功能能 IPv6、DNSSEC、ECS等等向向后后兼兼容容的的Workaround尝尝试试服服务务器器不不支支持持或或被被防防火火墙墙过过滤滤 DNS Flag day: 2019/2/1日日后后，对对EDNS实实现现不不标标准准的的授授权权服服务务器器，Google等等公公共共DNS将将不不再再尝尝试试访访问问，可可能能导导致致解解析析失失败败2018年年不不支支持持EDNS 的的Top 10 DNS 服服务务提提供供商商https:/indico.dns- ten:EDNS-broken providers in October 2018总总结结 DNS功功能能远远不不止止IP地地址址解解析析了了解解DNS的的历历史史有有助助于于理理解解互互联联网网治治理理现现状状，澄澄清清某某些些认认识识 DNS的的问问题题仍仍然然很很多多，DNS安安全全技技术术也也在在不不断断发发展展与与国国际际安安全全标标准准和和最最佳佳实实践践同同步步，提提高高互互联联网网基基础础设设施施的的内内生生安安全全能能力力THANKS