清革大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院DNS+"發(fā)展(2023年)阿里云計(jì)算有限公司中國(guó)信息通信研究院清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院孫宛月2專(zhuān)家觀點(diǎn)“DNS+”發(fā)展提出的觀點(diǎn)和建議：隨著互聯(lián)網(wǎng)長(zhǎng)期的演進(jìn)發(fā)展中變得更加安全，所承載的功能和信任已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)互聯(lián)網(wǎng)先驅(qū)設(shè)34“DNS+”的概念10(一)規(guī)?；透哔|(zhì)量發(fā)展11(二)平臺(tái)化和安全保障13(三)多業(yè)態(tài)融合和創(chuàng)新發(fā)展14(四)技術(shù)普惠和生態(tài)共建“DNS+”產(chǎn)學(xué)研動(dòng)態(tài)16(一)我國(guó)“DNS+”建設(shè)發(fā)展(二)數(shù)字化轉(zhuǎn)型實(shí)踐(三)安全研究成果(四)技術(shù)標(biāo)準(zhǔn)工作(五)治理相關(guān)進(jìn)展67①⑤⑥②③④""④DNSseryer8TT基礎(chǔ)設(shè)施IT基礎(chǔ)設(shè)施DNS+互聯(lián)網(wǎng)資源以應(yīng)用為中心DNS服務(wù)云化DNS+各種云服務(wù)以融合為中心云端一體、智聯(lián)萬(wàn)物DNS+多云與IDC融合圖2DNS功能定位的演變根據(jù)中國(guó)信通院2022年7月發(fā)布的《中國(guó)混合云用戶發(fā)展調(diào)查報(bào)告》,企業(yè)T基礎(chǔ)設(shè)施的建設(shè)已經(jīng)進(jìn)入到“多云+傳統(tǒng)IDC”融合的新階段。DNS作為應(yīng)用訪問(wèn)的第一跳，需要解決“公共云+專(zhuān)有云+傳統(tǒng)IDC”等異構(gòu)環(huán)境IT資源的全局性互聯(lián)互通和統(tǒng)一調(diào)度，DNS開(kāi)始圍繞數(shù)字資產(chǎn)融合統(tǒng)管，服務(wù)融合場(chǎng)景下IT數(shù)字資產(chǎn)管理。當(dāng)前，互聯(lián)網(wǎng)已經(jīng)成為數(shù)字經(jīng)濟(jì)領(lǐng)域，像水和電一樣的關(guān)鍵信息基礎(chǔ)設(shè)施，各類(lèi)借助域名和DNS進(jìn)行網(wǎng)絡(luò)惡意攻擊、域名濫用和詐騙活動(dòng)的風(fēng)險(xiǎn)持續(xù)擴(kuò)大，越來(lái)越多人開(kāi)始關(guān)注和參與網(wǎng)絡(luò)空間安全和治理領(lǐng)域的工作。這既涉及到全球域名，IP和基礎(chǔ)設(shè)施資源管理政策，也涉及到區(qū)域性、平臺(tái)型域名系統(tǒng)安全研究和治理。DNS成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，DNS在網(wǎng)絡(luò)空間安全和治理方面的重要性日益凸顯。因此在這樣的背景下，我們認(rèn)為以DNS體系為主的泛IP尋址解析體系將持續(xù)在新技術(shù)、新業(yè)態(tài)、新治理三個(gè)領(lǐng)域融合發(fā)展，與當(dāng)今蓬勃的數(shù)字化深度結(jié)合，進(jìn)入“DNS+”時(shí)代。圖3描述了DNS為核心和起點(diǎn)，向新技術(shù)、新業(yè)態(tài)和新治理三個(gè)生態(tài)維度的融合擴(kuò)散，發(fā)展出的新的話題、功能和角色。具體來(lái)說(shuō)，“DNS+”在新技術(shù)、新商業(yè)、新治理三個(gè)方面體現(xiàn)出鮮明特征。IDNIDN/中文域名域名注冊(cè)gTLD/ccTLD運(yùn)營(yíng)和備案域名托管威脅情報(bào)DNS漏洞管理物聯(lián)網(wǎng)標(biāo)識(shí)應(yīng)用Web3新技術(shù)區(qū)塊鏈工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)Handle/OID/VAAIPv6云計(jì)算根區(qū)/鏡像大數(shù)據(jù)許可/反詐族建站冷圖3“DNS+”在新技術(shù)、新業(yè)態(tài)和新治理的生態(tài)9(如BIND)、CNCF(如CoreDNS);也有產(chǎn)學(xué)研用比較突出的各類(lèi)創(chuàng)新公司和研究機(jī)構(gòu)。半年我國(guó)移動(dòng)互聯(lián)網(wǎng)接入流量達(dá)1423億GB,相比2020年上半年745億GB,增加91%;除終端手機(jī)、PC,蜂窩物聯(lián)網(wǎng)終移動(dòng)網(wǎng)絡(luò)IPv6流量占比超過(guò)55%,頂級(jí)域中，有1443個(gè)支持IPv6,占總量的98.6%;在這1443個(gè)頂級(jí)域中，有1438個(gè)權(quán)威服務(wù)器支持IPv6,占頂級(jí)域總量的98.2%。另外，全球前1000的網(wǎng)站域名已經(jīng)有46%支持IPv62,我國(guó)Top100的App域名99%支持IPv6,Top100網(wǎng)站域密流量占比約3.36%。的36.8%,其中32個(gè)獲得許可在我國(guó)境內(nèi)提供服務(wù)。4/wg/dnsop/documents/10表明，全球超過(guò)20%的用戶使用以為特征能力參考彈性部署傳統(tǒng)上，DNS由大型的中心化服務(wù)器集群維護(hù)，但這種集中式的部署方式存在一些問(wèn)題，如單點(diǎn)故障、高昂的運(yùn)維成本等。為了解決這些問(wèn)題，DNS的彈性部署被越來(lái)越廣泛地采用。DNS的彈性部署可以通過(guò)利用各種云基礎(chǔ)設(shè)施進(jìn)行，為了更好的利用云，要求傳統(tǒng)的DNS系統(tǒng)進(jìn)行云原生改造。分鐘級(jí)拉起新的DNS服務(wù)器租戶隔離傳統(tǒng)的公有域的域名解析服務(wù)，沒(méi)有租戶的概念，大家都是共享一個(gè)域名空間?，F(xiàn)在隨著網(wǎng)絡(luò)和應(yīng)用場(chǎng)景的復(fù)雜，私有域的解析服務(wù)也成為越來(lái)越廣泛的需求。特別是云服務(wù)的興起，基于VPC網(wǎng)絡(luò)的租戶私有域名解析服務(wù)成為了云廠商必備的能力。支持千萬(wàn)級(jí)VPC私有名字空間智能調(diào)度智能調(diào)度不同于傳統(tǒng)DNS的靜態(tài)配置，隨著互聯(lián)網(wǎng)的高速發(fā)展，從流量分?jǐn)偂⑷轂?zāi)、優(yōu)化訪問(wèn)質(zhì)量等維度考量，權(quán)威DNS開(kāi)始有了越來(lái)越多的智能調(diào)度策略需求。平臺(tái)型DNS能夠更好感知終端，針對(duì)不同用戶終端提供精準(zhǔn)、快速的調(diào)度能力?？苫跈?quán)重、訪問(wèn)時(shí)延、地理位置、可用性、負(fù)載等策略被集成能力OpenAPl(應(yīng)用程序編程接口)是一種用于描述不同軟件系統(tǒng)之間交互的接口標(biāo)準(zhǔn)，通常用于構(gòu)建Web服務(wù)、微服務(wù)等。DNS系統(tǒng)通過(guò)OpenAPI向用戶開(kāi)放解析配置管理的能力，以便用戶可以使用OpenAPI來(lái)結(jié)合自己的需求更加靈活和高效地把域名解析的能力集成到自己的T資源管理平臺(tái)。解析和管理API豐富；多語(yǔ)言SDK,易于集成高并發(fā)能力平臺(tái)型DNS系統(tǒng)承載著大量的互聯(lián)網(wǎng)域名解析，面對(duì)海量域名頻繁變更的業(yè)務(wù)請(qǐng)求，應(yīng)對(duì)這些挑戰(zhàn)DNS系統(tǒng)具備高并發(fā)的解析配置管理能力尤為重要。兼顧成本考量平臺(tái)型DNS系統(tǒng)也應(yīng)具備水平伸縮能力，以便根據(jù)并發(fā)量可以隨時(shí)調(diào)整IT資源部署配置。百萬(wàn)級(jí)橫向擴(kuò)展能力數(shù)據(jù)延遲平臺(tái)型DNS節(jié)點(diǎn)分布在全球各個(gè)地域，需要保證解析配置及時(shí)生效，即在用戶完成解析配置后需要及時(shí)地同步到全球各個(gè)DNS節(jié)點(diǎn)，并且在高并發(fā)解析配置場(chǎng)景下能夠支持高吞吐量的同步。秒級(jí)全球同步智能運(yùn)維為保證解析的時(shí)效性和穩(wěn)定性，需要借助更加智能化的手段實(shí)現(xiàn)系統(tǒng)問(wèn)題的快速定位和快速恢復(fù)。借助于數(shù)據(jù)采集平臺(tái)，智能分析平臺(tái)和服務(wù)調(diào)度平臺(tái)等技術(shù)手段和系統(tǒng)可以在秒級(jí)范圍內(nèi)發(fā)現(xiàn)DNS集群中的故障點(diǎn)并實(shí)現(xiàn)服務(wù)的自動(dòng)化隔離和自愈，從而實(shí)現(xiàn)對(duì)于上層服務(wù)異常的無(wú)感知。重大故障實(shí)現(xiàn)一分鐘發(fā)現(xiàn)，五分鐘定位，十分鐘修復(fù)安全和高可用在安全和高可用方面，平臺(tái)型DNS借助了云安全和高可用的基礎(chǔ)能力，包括抗DDOS,負(fù)載均衡、AnycastIP、軟硬件冗余等能力。同時(shí)云平臺(tái)企業(yè)更高質(zhì)量的全鏈路軟件研發(fā)測(cè)試，異構(gòu)部署的要求和流程，助力平臺(tái)型DNS的安全穩(wěn)定。多地域、支持兩款以上DNS核心軟件的異構(gòu)部署隨著企業(yè)IT基礎(chǔ)設(shè)施進(jìn)入多云+傳統(tǒng)IDC階段，云平臺(tái)DNS也將與傳統(tǒng)IDC融合。根據(jù)中國(guó)信通院2022年7月發(fā)布的《中國(guó)混合云用戶發(fā)展調(diào)查報(bào)告》顯示，在4216份有效樣本數(shù)據(jù)中，超過(guò)70%的企業(yè)使用了混合云，27.6%企業(yè)僅用源的全局性互聯(lián)互通和統(tǒng)一調(diào)度。圖4展現(xiàn)了一個(gè)融IOT物IOT物聯(lián)網(wǎng)移動(dòng)網(wǎng)絡(luò)4G/5G城名服務(wù)商建站服務(wù)商模版化、批量操作云VPC網(wǎng)絡(luò)企業(yè)VPN上云網(wǎng)絡(luò)云VPC網(wǎng)絡(luò)企業(yè)專(zhuān)線SD-WAN網(wǎng)絡(luò)跨云網(wǎng)絡(luò)跨地域網(wǎng)絡(luò)互聯(lián)網(wǎng)企業(yè)政府/央企教育機(jī)構(gòu)多出口鏈路的負(fù)載均衡金融機(jī)構(gòu)行業(yè)應(yīng)用高性能、高可用DNSSECDANE/DMARC/DKIMHyperLocalRootDNSCookiesZONEMD高性能/高可用/異構(gòu)軟件技術(shù)千行百業(yè)數(shù)字化轉(zhuǎn)型多云+自建IDC融合場(chǎng)景端服務(wù)服務(wù)gTLD/ccTLD/NewGTLDIDN/中文域名運(yùn)營(yíng)許可(根鏡像&遞歸)備案許可(網(wǎng)站&APP)域名濫用/反詐DNS漏洞彈性交付/軟硬一體/安全可信大數(shù)據(jù)數(shù)據(jù)中心新技術(shù)云計(jì)算新技術(shù)基礎(chǔ)設(shè)施Pv4/區(qū)塊鏈工業(yè)互聯(lián)網(wǎng)通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施新治理圖4在融合場(chǎng)景下平臺(tái)化DNS全景 工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)f互聯(lián)網(wǎng)域名系統(tǒng)根系統(tǒng)圖5工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系架構(gòu)圖諸多不足。作為互聯(lián)網(wǎng)基礎(chǔ)軟件應(yīng)該減少對(duì)外部依賴(lài)滿足基礎(chǔ)服務(wù)軟件高質(zhì)量發(fā)展的要求?，F(xiàn)代企業(yè)級(jí)的IT基礎(chǔ)設(shè)8/claiming-your-dns-on-ens-via-web-1-3-the-theory-abf692a?fd639/DiscordPreviews/status/167891940570979532811/zh-cn/azure/active-directory/verifiable-credentials/introduction-to-verifiable-credentials-architecture此增加行業(yè)各方協(xié)作，制定相關(guān)標(biāo)準(zhǔn)和規(guī)范是一個(gè)重要工作方向。為此2023年初，由中國(guó)信息通信研究院和阿里云共同牽頭，開(kāi)始起草制定《云服務(wù)穩(wěn)定性運(yùn)行能力標(biāo)準(zhǔn)體系-融合云DNS穩(wěn)定性技術(shù)要求》,先從平臺(tái)服務(wù)和穩(wěn)定性角度應(yīng)建立統(tǒng)一應(yīng)急策略，提高服務(wù)響應(yīng)和治理通道。DNS+體系作為企業(yè)服務(wù)入口，是保障業(yè)務(wù)連續(xù)性的基礎(chǔ)。間時(shí)常出現(xiàn)的DNS污染、DNS劫持、DNS攻擊等相關(guān)問(wèn)題，這些問(wèn)題持續(xù)周期長(zhǎng)且很難定位，長(zhǎng)期困難平臺(tái)服務(wù)商和客定者一起長(zhǎng)期共建共治。2原扭告交屬與限網(wǎng)會(huì)開(kāi)數(shù)程，如世權(quán)請(qǐng)圍易古限做共：第一時(shí)間清君，3民抵告區(qū)國(guó)把開(kāi)十人學(xué)習(xí)，如周它屬請(qǐng)康屬版權(quán)方。如有界也證問(wèn)請(qǐng)項(xiàng)系做位微信掃碼長(zhǎng)期有1進(jìn)料福制：進(jìn)群即領(lǐng)刀份行業(yè)研咒、管理力家及其他學(xué)習(xí)資源，五張打包下載2.號(hào)日分手：葉份行業(yè)對(duì)址、3個(gè)行業(yè)主腦3報(bào)告查詢：群且五襲答詢，總費(fèi)協(xié)就查投4尸糖廣告：僅限行業(yè)報(bào)告交優(yōu)，禁止一切無(wú)關(guān)信息壹業(yè)知識(shí)社料：每月分事8000+份行業(yè)研見(jiàn)報(bào)告、商業(yè)計(jì)劃、市境研咒、全業(yè)地重及容詢管理力預(yù)要，滋墊利技、些礎(chǔ)，數(shù)管、互聯(lián)同、廚地產(chǎn)、生物制網(wǎng)、醫(yī)打健質(zhì)號(hào)；已成為故受、產(chǎn)業(yè)研見(jiàn)、企業(yè)地重、價(jià)值傳擇要工作就子?！癉NS+”產(chǎn)學(xué)研動(dòng)態(tài)全國(guó)31個(gè)省/自治區(qū)/直轄市，企業(yè)節(jié)點(diǎn)還增加覆蓋了香港和澳門(mén)特別行政區(qū)。標(biāo)識(shí)注冊(cè)量從1億到100億(2020年12球涌現(xiàn)出百余個(gè)Web3名字服務(wù)，如以太坊域名服務(wù)ENS、我國(guó)“星火·鏈網(wǎng)”中的星火名字服務(wù)BNS(Block-DNS作為企業(yè)核心的網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，在企業(yè)T基礎(chǔ)設(shè)施整個(gè)演進(jìn)的大潮中從未缺席，在每個(gè)發(fā)展階段都展現(xiàn)兩地三中心同城雙活+異地災(zāi)備同城災(zāi)備(雙中心)同城雙活(雙中心)原生云架構(gòu)資源容器化開(kāi)源集成云架構(gòu)多環(huán)境大融合原生混合云架構(gòu)集成混合云架構(gòu)圖7企業(yè)T基礎(chǔ)設(shè)施演進(jìn)趨勢(shì)地三中心(同城雙活+異地容災(zāi))、全球多中心等形態(tài)，企業(yè)應(yīng)用在這個(gè)階段的部署多以單體架構(gòu)見(jiàn)常，應(yīng)用域名化部署公網(wǎng)場(chǎng)景下的互聯(lián)互通和資源調(diào)度：隨著互聯(lián)網(wǎng)上網(wǎng)站應(yīng)用和郵箱應(yīng)用的繁榮，動(dòng)化容災(zāi)切換的能力；但是由于IDC多線接入和IDC多地域部署會(huì)給企業(yè)帶來(lái)非常高額的建設(shè)成本(即使租用第三方IDC使用成本仍然很高),因此這個(gè)需求并沒(méi)有變成一個(gè)普適性需求，主要集中于大型政企。件基本都是集中化部署，內(nèi)部組件之間跨服務(wù)器互訪的規(guī)模非常少(即使存在也多以IP直接訪問(wèn)為主),因此這個(gè)階段資源(如服務(wù)器、存儲(chǔ)器、應(yīng)用程序等),以完成各種計(jì)算任務(wù)。它是基于互聯(lián)網(wǎng)的服務(wù)體系，允許用戶隨時(shí)隨地使化對(duì)DNS提出新挑戰(zhàn)。企業(yè)選擇多云戰(zhàn)略(多公共云、多專(zhuān)有云、公共云+專(zhuān)有云等組合形態(tài))支撐企業(yè)數(shù)字化轉(zhuǎn)型，傳統(tǒng)IDC在企業(yè)上云過(guò)程中仍將長(zhǎng)期存在，公網(wǎng)資源的訪問(wèn)入口將會(huì)呈現(xiàn)多種環(huán)境的融合形態(tài)，DNS分線路智能解析和自動(dòng)化容災(zāi)切換需要在全局范圍上需要表現(xiàn)出解析行為的強(qiáng)一致性，因此各種環(huán)境異構(gòu)DNS服務(wù)的數(shù)據(jù)一致性和調(diào)度能力一致性變得非常關(guān)是從上到下逐步上云的，層與層之間產(chǎn)生了大量的跨環(huán)境訪問(wèn)需求，反映到DNS上衍生了大量的云內(nèi)互聯(lián)(單元化訪問(wèn))和云間互聯(lián)(資源彈性擴(kuò)容和容災(zāi)切換)的需求。保C〕阿里云公共云C〕阿里云專(zhuān)有云私有化DNS+GTM其他私有云非云環(huán)境C〕阿里云公共云企業(yè)自建IDC企業(yè)域名由VPC網(wǎng)絡(luò)C〕阿里云專(zhuān)有云企業(yè)域名由原生DNS解析△其他私有云企業(yè)域名由累私有化DNS解析累私有云平臺(tái)自有域名轉(zhuǎn)發(fā)原生DNS云平臺(tái)DNS物理網(wǎng)絡(luò)+VPC網(wǎng)絡(luò)物理網(wǎng)絡(luò)+VPC網(wǎng)絡(luò)非云環(huán)境生產(chǎn)區(qū)囂私有化DNS+GTM非云環(huán)境開(kāi)發(fā)測(cè)試區(qū)非云環(huán)境辦公區(qū)私有化DNS+GTM圖8混合云業(yè)務(wù)場(chǎng)景下DNS服務(wù)專(zhuān)有云公共云專(zhuān)有云公共云E省應(yīng)用非云自建IDC云解析DNS公網(wǎng)EIP-電信圖10網(wǎng)絡(luò)親和性中國(guó)內(nèi)地用戶公共云圖11地域親和性企業(yè)在發(fā)布IT應(yīng)用時(shí)，出于業(yè)務(wù)連續(xù)性和監(jiān)管部門(mén)的要求，需要考慮在多個(gè)位置(多機(jī)房或多地域)部署應(yīng)用，常夠快速的切換到其他位置。因此需要提供一套基于應(yīng)用服務(wù)狀態(tài)的全局負(fù)載均衡GSLB方案，主要提供以下兩方面的·應(yīng)用可用性探測(cè)：持續(xù)監(jiān)測(cè)應(yīng)用的服務(wù)狀態(tài)(此時(shí)全部網(wǎng)絡(luò)鏈路的訪問(wèn)均異常),可以發(fā)現(xiàn)應(yīng)用宕機(jī)的問(wèn)題，并·鏈路可用性探測(cè)：持續(xù)監(jiān)測(cè)應(yīng)用的服務(wù)狀態(tài)(此時(shí)僅局部網(wǎng)絡(luò)鏈路的訪問(wèn)異常),可以發(fā)現(xiàn)部分網(wǎng)絡(luò)鏈路的鏈路保證應(yīng)用的服務(wù)連續(xù)性。權(quán)重分流應(yīng)用集群應(yīng)用集群應(yīng)用集群從庫(kù)部分從庫(kù)部分異地備可用區(qū)第需需部應(yīng)用集群DTSRDSRDSOSSOSS異步復(fù)制OSS同城數(shù)據(jù)中心(云上/云下)異地?cái)?shù)據(jù)中心(云上/云下)圖12兩地三中心容災(zāi)(4)安全防護(hù)企業(yè)域名解析安全的問(wèn)題主要分為三類(lèi)：拒絕服務(wù)攻擊：由于域名解析是客戶端訪問(wèn)企業(yè)T應(yīng)用服務(wù)的第一跳，負(fù)責(zé)企業(yè)IT應(yīng)用域名解析的DNS系統(tǒng)經(jīng)常被攻擊者當(dāng)成攻擊目標(biāo)。攻擊的形式既有針對(duì)服務(wù)IP地址的4層網(wǎng)絡(luò)攻擊，也有針對(duì)特定域名后綴的隨機(jī)域名查詢攻用或者訪問(wèn)異常，從而達(dá)到企業(yè)T應(yīng)用不可用或者域名劫持：訪問(wèn)企業(yè)IT應(yīng)用的客戶端分散在全球各個(gè)地方，通過(guò)不同的網(wǎng)絡(luò)服務(wù)商和DNS服務(wù)商實(shí)現(xiàn)DNS的解析訪問(wèn)。在客戶端做域名解析的時(shí)候，為客戶端提供域名解析的DNS系統(tǒng)經(jīng)常會(huì)遇到DNS解析結(jié)果被修改的問(wèn)題，從而將客戶端的應(yīng)用訪問(wèn)流量引流到一個(gè)不存在的IP地址或者其他非法IP地址上，從而達(dá)到客戶端不能正常訪問(wèn)企業(yè)T應(yīng)外部的第三方服務(wù)一般都是通過(guò)一個(gè)公開(kāi)可解析的公網(wǎng)域名對(duì)外提供訪問(wèn)服務(wù)，這個(gè)時(shí)候就需要解析公網(wǎng)域名來(lái)獲取服務(wù)IP地址。攻擊者常常通過(guò)各種手段將企業(yè)辦公機(jī)、測(cè)試機(jī)和生產(chǎn)機(jī)的域名解析到一個(gè)惡意的IP服務(wù)地址，這個(gè)地因此需要提供一套針對(duì)拒絕服務(wù)攻擊和域名濫用的安全防護(hù)方案域名劫持發(fā)現(xiàn)和域名防劫持的能力：提供企業(yè)域名在全球各個(gè)地域的各個(gè)網(wǎng)絡(luò)環(huán)境里面的域名劫持監(jiān)控和報(bào)警，并可以提供針對(duì)客戶端的域名訪問(wèn)流程進(jìn)行升級(jí)從而實(shí)現(xiàn)域名解析防劫持的目的。惡意域名訪問(wèn)的發(fā)現(xiàn)和阻斷能力：提供企業(yè)客戶端在做三方公網(wǎng)域名解析時(shí)的惡意域名發(fā)現(xiàn)，并提供針對(duì)惡意域名的DNS解析側(cè)的阻斷能力，停止企業(yè)客戶端對(duì)惡意三方公網(wǎng)域名的進(jìn)行解析，從而實(shí)現(xiàn)企業(yè)客戶端訪問(wèn)惡意應(yīng)用。DNS安全防護(hù)云解析DNS(GTM)-大數(shù)據(jù)AI智能防護(hù)架構(gòu)DDos防護(hù)一秒級(jí)分光攻擊檢測(cè)應(yīng)月應(yīng)用集群2高質(zhì)量全球BGP高防網(wǎng)絡(luò)攻擊者SLB2SLB1圖13DNS服務(wù)抗DDoS攻擊權(quán)威DNS權(quán)威DNS運(yùn)營(yíng)商LocaIDNS圖14移動(dòng)APP防劫持TCP/UDPTCP/UDPDoH/JsonAPI聯(lián)動(dòng)解析TCP/UDPDNS緩存C互聯(lián)網(wǎng)DN圖15惡意域名的發(fā)現(xiàn)和阻斷(5)服務(wù)高可用那么客戶端直接不能訪問(wèn)企業(yè)IT應(yīng)用服務(wù)，使得客戶的在線業(yè)務(wù)無(wú)法正常開(kāi)展，帶來(lái)業(yè)務(wù)的用戶體驗(yàn)損失導(dǎo)致客戶流因此需要提供一套針對(duì)DNS系統(tǒng)的異構(gòu)容災(zāi)方案，當(dāng)某一套DNS系統(tǒng)出現(xiàn)問(wèn)題的時(shí)候，備用的DNS系統(tǒng)可以及時(shí)方案1方案2云解析DNS(公共云版)云解析DNS(公共云版)不圖16自建DNS+云DNS異構(gòu)容災(zāi)IDC使用WindowsAD,面臨以下業(yè)務(wù)痛點(diǎn)：·WindowsAD不支持應(yīng)用多活容災(zāi)切換，不能支撐應(yīng)用高可用容災(zāi)：目前很多業(yè)務(wù)系統(tǒng)會(huì)基于多區(qū)域(雙活機(jī)房或多region)部署，業(yè)務(wù)系統(tǒng)對(duì)外提供2個(gè)集群IP地址，但是當(dāng)一個(gè)區(qū)域故障后，由于WindowsAD不支持健康檢查，還是會(huì)解析故障區(qū)域的業(yè)務(wù)IP地址，導(dǎo)致部分用戶無(wú)法訪問(wèn)?，F(xiàn)網(wǎng)是多公共云環(huán)境(如阿里云、華為云、AWS、騰訊云等),面臨以下運(yùn)維痛點(diǎn)：·無(wú)法滿足多集團(tuán)分權(quán)分域管理：目前有5大集團(tuán)，集團(tuán)下又有很多子公司，而且由于業(yè)務(wù)敏捷開(kāi)發(fā)，業(yè)務(wù)測(cè)試域名量非常大，如果都在總部解析，人手和運(yùn)維負(fù)載度高，如何為子公司授權(quán)，讓子公司自己解析，出問(wèn)題自己排查，自行解當(dāng)前DNS服務(wù)體系無(wú)法支撐J客戶未來(lái)3-5年的業(yè)務(wù)發(fā)展需要：無(wú)法滿足客戶業(yè)務(wù)持續(xù)創(chuàng)新發(fā)展的解析需求：務(wù)和運(yùn)維痛點(diǎn)，實(shí)現(xiàn)客戶多網(wǎng)絡(luò)環(huán)境下應(yīng)用域名解析需求，同時(shí)借助阿里云DNS全鏈解析平臺(tái)，支撐客戶未來(lái)阿里云公網(wǎng)解析互聯(lián)網(wǎng)終端統(tǒng)一通過(guò)阿里云云解析調(diào)度VPC私網(wǎng)解析華云VPC私網(wǎng)解析企業(yè)域名由轉(zhuǎn)發(fā)原生云平臺(tái)自有域名轉(zhuǎn)發(fā)原生企業(yè)域名由企業(yè)域名由云平臺(tái)自有域名轉(zhuǎn)發(fā)原生云平臺(tái)自有域名轉(zhuǎn)發(fā)原生DI轉(zhuǎn)發(fā)原生C配置統(tǒng)一下發(fā)云上云下DNS統(tǒng)一管理統(tǒng)一運(yùn)維配置統(tǒng)一下發(fā)內(nèi)部域名分域轉(zhuǎn)發(fā)▲囂根服務(wù)器遞歸SLB?企業(yè)專(zhuān)線圖17多云+傳統(tǒng)IDC融合場(chǎng)景一體化的IP智能尋址調(diào)度oUSENIXSec2021圖18域名系統(tǒng)安全威脅模型示意圖色色1.A?1.Aa.t.k.r2a.Query2b.Query2c.Query2d.Followaliases(CNAME)na.t.k.r3c.Reassembledrogueresponse(CNAMEchain)3a.ResponsesAttacker圖20針對(duì)域名轉(zhuǎn)發(fā)器的IP分片重組攻擊安全威脅模型示意圖C.…z.attackercomAx.x.x.xC.…圖21正常情況的分片重組數(shù)據(jù)包以及攻擊者偽造的分片重組數(shù)據(jù)包重要發(fā)現(xiàn)三：利用域名緩存污染攻擊，尋求影響更上層的網(wǎng)絡(luò)服務(wù)成為熱點(diǎn)研究人員還在利用場(chǎng)景方面進(jìn)行創(chuàng)新，研究了如何利用域名緩存污染攻擊間接影響上層的網(wǎng)絡(luò)服務(wù)，如域名數(shù)字公鑰證書(shū)簽發(fā)流程。域名數(shù)字公鑰證書(shū)在網(wǎng)絡(luò)通信中扮演了身份驗(yàn)證的角色，確保網(wǎng)站與用戶之間的安全通信。許多域名數(shù)字公鑰證書(shū)頒發(fā)機(jī)構(gòu)高度依賴(lài)域名解析服務(wù)的正常運(yùn)作，如果攻擊者能夠獲得虛假的域名證書(shū)，就會(huì)對(duì)互聯(lián)網(wǎng)的安全體系造成嚴(yán)重破壞。安全研究人員發(fā)現(xiàn)了許多利用域名基礎(chǔ)設(shè)施缺陷影響證書(shū)頒發(fā)機(jī)構(gòu)安全性的方法，包括IPID分片攻擊和降低證書(shū)頒發(fā)機(jī)構(gòu)所依賴(lài)的域名解析多樣性等。這些研究工作不僅促進(jìn)了數(shù)字公鑰證書(shū)頒發(fā)的安全性，也指出了域名基礎(chǔ)設(shè)施存在的安全風(fēng)險(xiǎn)必然會(huì)影響到更上層的網(wǎng)絡(luò)服務(wù)和應(yīng)用。.com.org.netRoot.com.org.net142,302,0909,998,48813,181,0911Unresponsive19,860,226949,1371,663,40304.0%9.5%12.6%p=C111,077,2998,291,25710,443,314147678.0%82.9%79.2%11,364,565758,0941,074,374051.8%46.1%53.3%043.3%45.3%49.1%056.7%54.7%51.9%PnC≠04,769,885339,825525,6563642.0%44.8%49.0%recordsoftheNSSetofPandC.812.2%11.6%11.1%vict.imIP?mail.vict.im5Headers+partof圖22攻擊者利用IP分片攻擊影響對(duì)數(shù)字公鑰證書(shū)頒發(fā)機(jī)構(gòu)實(shí)現(xiàn)重要域名緩存污染示意圖2.域名授權(quán)安全威脅域名系統(tǒng)可以被看作分布式數(shù)據(jù)庫(kù)，而域名解析交互過(guò)程可以被認(rèn)為是從客戶端查詢檢索分布式數(shù)據(jù)庫(kù)的過(guò)程。為了具備良好的可擴(kuò)展性，域名系統(tǒng)采用了層次化的分級(jí)授權(quán)架構(gòu)，即每個(gè)域名服務(wù)器只負(fù)責(zé)自己所管理的域名。然而，上述域名系統(tǒng)授權(quán)機(jī)制存在潛在的安全風(fēng)險(xiǎn)。按照常規(guī)的域名解析流程，當(dāng)遞歸解析服務(wù)器在緩存中沒(méi)有記錄時(shí)，會(huì)依次向根服務(wù)器、頂級(jí)域名服務(wù)器和二級(jí)域名服務(wù)器發(fā)送查詢以獲取響應(yīng)內(nèi)容。理論上，為了保持大規(guī)模分布式數(shù)據(jù)庫(kù)記錄內(nèi)容的一致性，父域和子域應(yīng)該具有相同的域名授權(quán)記錄。然而，由于網(wǎng)絡(luò)配置管理等復(fù)雜因素，實(shí)際上父域和子域中的域名授權(quán)記錄經(jīng)常不一致。一項(xiàng)在網(wǎng)絡(luò)測(cè)量領(lǐng)域著名會(huì)議PAM2020上發(fā)表的研究表明，父域和子域授權(quán)記錄的沖突現(xiàn)象相當(dāng)普遍。對(duì)于.COM頂級(jí)域名而言，大約有7.98%的二級(jí)域名存在父域和子域授權(quán)記錄不一致的情圖23在常見(jiàn)的頂級(jí)域內(nèi)，父域與子域授權(quán)記錄不一致現(xiàn)象普遍存在一篇發(fā)表在CCS2020上的文章指出，過(guò)期的授權(quán)記錄在區(qū)域文件(DNSZonefil該研究對(duì)超過(guò)一百萬(wàn)知名域名和17家知名域名解析服務(wù)托管商(如AmazonRoute53)進(jìn)行了大規(guī)模測(cè)量分析，最終發(fā)現(xiàn)了600多個(gè)重要域名和14個(gè)域名解析服務(wù)托管商受到上述安全威脅的影響。AER8GA?670①NSNSA圖24基于對(duì)過(guò)期域名授權(quán)記錄操控的隱蔽域名劫持示意圖域名授權(quán)機(jī)制引發(fā)了一種新型安全風(fēng)險(xiǎn)，即GhostDomain(幽靈域名)。域名刪tion)是安全社區(qū)應(yīng)對(duì)網(wǎng)絡(luò)犯罪的有效手段，通過(guò)在頂級(jí)域的區(qū)域文件中修改相應(yīng)域名的授權(quán)記錄實(shí)現(xiàn)。然而，在這個(gè)過(guò)程中存在潛在的歧義：遞歸解析服務(wù)器在更新緩存資源記錄時(shí)，應(yīng)以父域授權(quán)還是子域授權(quán)為準(zhǔn)?現(xiàn)有的RFC域名協(xié)議規(guī)范要求遞歸服務(wù)器將子域反饋的資源記錄賦予更高的優(yōu)先級(jí)，這使得攻擊者即使在域名被刪除后仍能操控遞歸2012年首次披露了幽靈域名漏洞，并被收錄于美國(guó)國(guó)家漏洞庫(kù)和美國(guó)聯(lián)邦通訊局FCC的2012年安全領(lǐng)域最佳實(shí)踐報(bào)告中。然而，2023年在NDSS會(huì)議上發(fā)表的一項(xiàng)研究工作再次揭示了兩種類(lèi)型的幽靈域名漏洞，利用遞歸服務(wù)器管理緩存資源記錄時(shí)的安全漏洞，使其仍然優(yōu)先相信和采納攻擊者返回的惡意記錄。險(xiǎn)此前長(zhǎng)期被安全研究者忽視。一項(xiàng)研究工作首次量化評(píng)估了子域名劫持對(duì)于Web應(yīng)用程序的安全威脅。研究人員對(duì)于Tranco列表中排名前50,000個(gè)域進(jìn)行了大規(guī)模安全測(cè)量，發(fā)現(xiàn)了887個(gè)網(wǎng)站的漏洞，并量化了相關(guān)域攻擊者對(duì)熱門(mén)Web應(yīng)用程序構(gòu)成的威PublicDatasourcePMForceWebcrawlerDNSenumerationConstructionofresolvingchainsSubdomaintakeoverscannerWebvulnerabilityscannerVuilnerabilitydisicosureVulnerable(sub)domainsNetworkAmass圖25量化評(píng)估子域名劫持規(guī)模的流程圖一種新型的隱蔽劫持現(xiàn)象是對(duì)域名解析鏈路的劫持，即位于網(wǎng)絡(luò)旁路的劫持者偽裝成用戶指定的域名服務(wù)器，篡改用研究