7月12日,北京国家会议中心报告厅内,中国网络安全论坛正式举办。作为2017中国互联网大会的分论坛,中国网络安全论坛聚焦于“依法保障网络安全为互联网+护航”主题。北京泰尔英福网络科技有限责任公司(Teleinfo)域名事业部总经理吕洪泽应邀出席论坛,并进行了题为“域名市场及应用安全状况报告”的演讲。
长期以来,我国对互联网域名产业的系统研究稍显薄弱,对这一重要基础资源的产业发展现状和趋势及其对互联网产业的影响缺少必要的数据统计和分析。此次论坛上,吕洪泽总经理旨在通过对全球及中国域名市场发展状况及特点的详细解析,解读域名产业的演变会对域名系统性能和安全带来哪些影响,同时通过对国内外域名设施建设及应用情况的对比,域名安全防护技术的剖析,让观众可以更加轻松、清晰地明了到当前影响和制约域名安全的关键因素。
域名行业演变及其对互联网安全的影响
(1)大量新的非传统顶级域名服务主体涌入顶级域名服务,如谷歌、泰尔英福等。(2)原来顶级域运营管理机构自建自营的局面被打破,形成了新的竞争市场。传统顶级域运营机构(如CentralNic等)和有实力的新进入者在自建自营的同时开始向新进入者开放托管和运营业务。顶级解析服务竞争的引入,带动有实力的顶级域运营机构不断完善解析服务设施,提升对外服务的竞争力。CentralNic在除南极洲外的全球六大洲均部署了解析及镜像节点;谷歌利用原有网络基础建设了全球化的解析服务系统,在美洲、欧洲、亚洲的许多国家均部署了解析及镜像节点;域名全生命周期平台服务商Teleinfo,建成面向全球的多中心、多节点的服务平台,开发部署域名云注册局、数据托管、合规等服务,解析节点分布于欧、美及国内核心运营商。目前Teleinfo的国内解析服务设施主要分布在成都、北京等地,覆盖了我国主要运营商,同时也在英国伦敦、美国旧金山、荷兰阿姆斯特丹部署了解析节点。 域名是互联网的关键资源,域名系统的安全与稳定直接关系到互联网的安全与稳定。在投入使用至今的30余年中,互联网域名的种类与数量不断扩展,产业生态日趋成熟,管理体系逐步完善。尤其是2011年通过的新通用顶级域(gTLD)计划带来大量新进入者,行业生态活跃度大幅提高,推动顶级解析服务生态变化,市场竞争日趋激烈。
这些域名生态上的变化,将大幅提升互联网基础设施的访问性能和安全冗余性:一方面提高了DNS的安全冗余性,分流攻击流量,增强整体抗攻击能力,使得DNS整体架构更富有弹性;另一方面,镜像服务器为部署地区用户提供就近的根解析服务能力,提升区域用户的根解析响应时间和解析成功率。
国内互联网行业与国际存在的显著差距
互联网新技术和新业务的不断涌现也对域名系统的发展提出新的要求,其效率与安全直接关系到互联网的健康稳定运行。如果要概括当前国际域名设施建设及应用的情况,可以用五句话来形容其特点:(1)根镜像全球分布式扩展,性能与安全冗余性大幅提升;(2)顶级解析服务竞争日趋激烈,设施快速增长完善;(3)权威解析服务TOP企业优势明显,GoDaddy一枝独秀;(4)递归解析应用价值突出;(5)域名解析安全成为互联网安全重要环节。
相较而言,国内的情况也可以用五点来描述:(1)我国根访问以国内引入镜像为主,根镜像数量仍显不足;(2)国际知名通用域设施引入较少,自主顶级域基础设施国内外布局逐步完善;(3)权威解析服务商跻身国际前列,行业关注度不断提升;(4)接入服务商递归解析占据主流,第三方市场百家争鸣;(5)域名解析性能不断提升,与国际先进水平仍有差距。
据统计,目前美国根服务器及镜像约占全球总量六分之一左右,我国只引入四个根(F、I、J、L)镜像节点,总数量位居全球第19位,不及美国十分之一。由于递归服务器对根服务器的访问策略采用“初始轮询,性能择优”的原则,目前我国根域名解析中,约六成可实现对国内已引入根镜像服务器的就近访问。
作为宽带网络通信的一环,我国固定宽带用户的域名解析性能低于发达国家,各基础电信运营企业之间的解析时延差异较大。据统计,2015年,我国固定宽带用户DNS解析时延的平均值为46.77ms,比2014年欧盟30国平均DNS解析时延高出87%。
其中,我国访问引入镜像4个根平均解析性能为70 ms左右,远小于其它未引入镜像根平均解析性能190 ms。但由于受引入镜像数量、网络访问质量等因素影响,根镜像服务器访问性能与国际主流国家尚存在较大差距,解析时延约超过国际发达国家两倍左右。
域名解析安全成为互联网安全重要环节
域名解析故障是引起互联网安全问题的最频发原因之一。DNS是Internet的重要基础,包括Web访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全直接关系到整个互联网应用能否正常使用。近年来,针对DNS的攻击越来越多,影响也越来越大,因此如何保护DNS系统的安全就成为了目前互联网安全的首要问题之一。
(1)针对域名系统的攻击已成为互联网最重大的威胁之一,拒绝服务(DDoS)攻击、域名劫持、缓存投毒等频发。据统计,DNS是全球受攻击最为严重的三大互联网业务之一,DNS是全球DDoS攻击的第二大目标。国内外域名安全事件层出不穷,影响范围广,破坏性强。(2)域名体系的桥梁作用被恶意利用,成为攻击互联网的手段。如反射放大攻击利用了DNS递归请求等特性,以较低的成本向网络发动巨大的流量攻击。
DNS安全防护主要面临如下威胁:(1)针对DNS的DDoS攻击;(2)DNS欺骗;(3)系统漏洞。
各国高度重视域名解析系统安全,提升域名系统的安全性已成为全球业界协作的发力点。目前,DNSSEC在根和顶级域的部署取得阶段性进展,根服务器已全部部署了DNSSEC验证服务,截至2015年底,已有80.3%的顶级域名服务器部署了DNSSEC。此外,在反垃圾邮件、治理钓鱼网站等方面的国际合作近年来继续加强。
此次论坛上还发布了《中国互联网站发展状况及其安全报告(2017)》,《报告》由中国互联网协会和国家互联网应急中心联合发布,获得了北京泰尔英福网络科技有限责任公司、中国电信集团等单位支持。
北京泰尔英福网络科技有限责任公司(Teleinfo)依托“.信息”顶级域,自建了面向全球的域名全生命周期服务平台,是完全覆盖域名实/命名验证、解析托管、云注册局、监测服务等环节的域名全生命周期服务商。Teleinfo负责运营托管的新顶级域已然超过10个,包括“.信息”、“.在线”、“.中文网”等。泰尔英福是中文域名应用创新的坚定推动者,致力于实现更广范围的互联互通,更优质的网络在线服务和用户体验。