DNS治理是互聯(lián)網(wǎng)治理的焦點(diǎn),涉及技術(shù)標(biāo)準(zhǔn)、國際政治、法律經(jīng)濟(jì)等各種糾紛。
從早期,APARNET創(chuàng)立之初,SRI-NIC負(fù)責(zé)維護(hù)的HOST.txt,到1990年代,域名注冊轉(zhuǎn)到NSI公司,并引發(fā)的域名戰(zhàn)爭,再到ICANN之后的根域名管理,目前全球在根域名服務(wù)器擴(kuò)展的現(xiàn)狀(全球1011個(gè)鏡像,中國大陸已部署至少8個(gè)),段海新詳細(xì)關(guān)于域名管理的演進(jìn),以及互聯(lián)網(wǎng)治理早期的歷史。
在互聯(lián)網(wǎng)成立之初,美國政府對互聯(lián)網(wǎng)DNS根的控制幾乎是不存在的。
大多數(shù)政策問題上,政府相信技術(shù)社區(qū)。
在域名管理問題上,技術(shù)社區(qū)相信Jon Postel,以及他提出對根服務(wù)托管組織選擇的四項(xiàng)原則:需要、聯(lián)通、共識和不做過濾。
2008至今,所有根服務(wù)器都是IPv4/IPv6雙棧,頂級域名也有98%支持IPv6。據(jù)清華和奇安信對中國流量的統(tǒng)計(jì),客戶端IPv6流量從2018-2019年,增漲了近三倍。
關(guān)于國際化域名(IDN),使用最多的國家是中國、日本、韓國和德國;其中,已有不少被如VirusTotal等威脅情報(bào)源列進(jìn)惡意域名。利用國際化域名進(jìn)行的同型異義釣魚攻擊(有些已被相關(guān)機(jī)構(gòu)保護(hù)性注冊,但大量可批量生成的攻擊性域名還沒有。)也給各國網(wǎng)絡(luò)空間治理帶來很大威脅。
DNS協(xié)議相關(guān)的安全問題,主要有:DoS攻擊、緩存污染、鏈路劫持、流量的竊聽和注入、利用DNS查詢分析用戶隱私等。清華-奇安信的聯(lián)合實(shí)驗(yàn)室,近期研究成果就包括新型的DNS緩存污染攻擊:通過構(gòu)造超大的DNS請求,強(qiáng)迫服務(wù)器分片,然后用偽造的分片進(jìn)行覆蓋。
關(guān)于權(quán)威服務(wù)器(DNSSEC),中國在政府、銀行和教育三個(gè)行業(yè)的部署調(diào)研結(jié)果是,在政府、教育兩個(gè)行業(yè)有增長。關(guān)于加密DNS,全球的現(xiàn)狀是部署較少,而且已部署的也出現(xiàn)大量證書配置錯(cuò)誤的情況,雖然已有相關(guān)國際標(biāo)準(zhǔn),但技術(shù)爭議大。(雖然可以防止路徑劫持,但副作用也會(huì)讓各國運(yùn)營商的流量優(yōu)化措施,以及各國政府之前的監(jiān)管手段失效。)
概括來講,DNS的價(jià)值遠(yuǎn)不只提供IP地址解析的功能,了解DNS的歷史有利于理解互聯(lián)網(wǎng)治理的現(xiàn)狀。目前DNS問題仍然很多,相關(guān)安全技術(shù)也在不斷發(fā)展。呼吁中國業(yè)界與國際標(biāo)準(zhǔn)和最佳實(shí)踐同步,共同提升互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的內(nèi)生安全能力。