关于我们

客户至上、服务为根、勇于拼搏、务实创新

< 返回上层

ZDNS毛伟:互联网根并不能让中国断网,更应重视企业域名服务风险

2019/7/31 17:08:26 来源:宏晶网络

由于我国没有根服务器,全球13台根服务器中绝大多数放置在美国境内。坊间有传言说“中国的互联网是美国互联网的子网”、“美国可以轻易通过域名根服务器来让中国断网”,更有甚者说“历史上美国曾经关停利比亚和伊拉克的国家顶级域名”。


8月15日,互联网域名系统北京市工程研究中心(ZDNS)董事长毛伟应邀出席2018中国网络安全年会,发表了题为《构建更安全的互联网基础资源服务体系》主题演讲。

毛伟先生从互联网域名服务体系的构成和解析流程出发,说明了根服务器的运行原理,指出:互联网根并不能让中国断网。他提到:全球互联网域名服务体系是一个非常庞大的分布式系统,整个系统分为四级:根、顶级域名、二级和二级以下域名,以及权威和递归域名解析服务、注册服务。根服务器系统虽然可以在一定程度上影响境内和境外网络的互联互通,但绝不影响中国境内网络的互联互通,通过根服务器让中国断网可谓是无稽之谈。


实际上,此前伊拉克、利比亚两国的所谓“断网”事件并非由美国控制根服务器导致,只是顶级域名运行机构自身出现问题。ICANN已于2005年就此事发布正式报告说明,清华大学段海新教授也曾对伊拉克域名IQ被删始末进行梳理。由于历史原因,“.IQ”由位于美国的InfoCom公司运营。该公司的Bayan Elashi是一名巴勒斯坦籍的计算机科学家,承担“.IQ”域名管理的技术工作。2004年7月,Bayan Elashi和他的四个兄弟因违反美国出口禁令和为哈马斯洗钱被判有罪并入狱,导致.IQ停用。伊战结束后,2004年7月,伊拉克过渡政府正式联系ICANN讨论IQ域名重新授权的问题。年底,伊拉克总理Allawi发信给ICANN,指定了代表伊拉克代理.IQ域名的部门——国家通信和传媒委员会(NCMC)。2005年.IQ重新授权完成。


毛伟先生指出,互联网专家一直都在不断完善域名根系统安全保障机制,就算真的断“根”了,也有应急方法来解决。在境内,可以采用根区数据备份并搭建应急根服务器来解决;在全球层面,可以用根镜像、IPv6环境下的根服务器数量扩展、根服务器运行机构备选机制等方法来解决。ZDNS作为国内首家域名领域工程研究中心,一直从事域名领域前瞻研究、深度参与国际标准制定,主导了“IPv6根服务器实验验证公共服务平台建设”项目,积极探索IPv6时代根服务器数量扩展潜力。此外,ZDNS专家作为ICANN根服务器咨询委员会核心专家组成员,参与起草RSSAC 024(根服务器备选运行机构技术要求)、RSSAC 028(根服务器命名机制研究)等国际标准,深度参与根服务器运行机制研究,在国际领域为我国利益发声。


2016年美国政府已移交出IANA(根服务器系统核心)管理权给全球互联网社群,意味着互联网从单边政府管理向全球社群多方参与逐步转变。IANA管理权移交这一成果中,亦有我国互联网域名专业机构的不懈努力——ZDNS专家于三年前便已入选ICANN IANA功能移交设计组(Design Team,DT),深度参与IANA管理权移交。


根服务器并不能让中国断网,但毛伟指出企业的域名一旦出现问题,却能让企业断网。



]域名系统(DNS)是企业所有网络服务的入口,支撑企业网络安全稳定运行的关键基础设施,一旦出现故障,将影响基于网络的所有服务,造成企业断网,给企业带来无法衡量的巨大损失和严重危害。这是摆在企业面前更现实的威胁!


近年来,因域名故障导致的企业安全事件频发。2016年10月,美国提供域名服务的Dyn DNS遭到了大规模DDoS攻击,导致美国大半个互联网断网,其中受影响的包括Twitter、Airbnb等知名企企业;2015年3月,苹果旗下iTunes商店、App Store及多个互联网在线服务发生了全球性大面积故障,中断时间长达11个小时,苹果公司称事件原因是遭遇了一个内部域名系统错误,但这个“小错误”却导致当日苹果股价大跌市值严重缩水;2014年12月,爆发了国内规模最大的针对运营商网络的恶性DDoS攻击事件,导致多个省份网页无法访问。总之,无论是内部稳定性问题,还是来自外部黑客攻击,一旦域名这个服务入口发生故障,就会影响企业基于网络的所有服务,会给企业带来不可避免的严重损失。


毛伟谈到,企业在域名服务上面临的威胁主要来源于两个方面:一是域名管理权带来的合规风险,二是企业域名服务能力不足造成的安全风险。


威胁一:域名注册地带来的合规风险


域名的管理机构通常为商业公司,这些管理机构有能力删除、锁定域名,它们受所在国家法律法规管辖。企业通过域名注册服务商注册域名,这些服务商也受所在国法律管辖。如果企业网站注册域名的管理机构或服务商是国外公司,则会存在触犯他国法律法规或其他原因而被关停的风险。国内以“BAT”为代表的互联网公司和一些大企业,已经申请了“.baidu”“.taobao”“.citic /.中信”的企业顶级域名,将管理权控制在自己手中。毛伟先生建议企业选择国内合规的注册局或注册商,有能力的企业也可申请自己的顶级域名。


威胁二:域名服务能力不足带来的安全风险


域名系统是企业网络重要的基础服务,但国内大部分企业还在采用开源软件并加以简单配置和使用的初级阶段。域名服务能力不足、缺乏安全防护措施,域名系统长期处于缺乏管理的状态、没有专业人员维护,缺乏相应的运行管理规范,导致配置错误、性能不能充分发挥、软件版本不能及时升级、出现故障不能及时有效处理等情况普遍发生。例如上文提到的苹果公司断网事件,就是因为域名配置出现问题。


ZDNS是中国科学院科技成果孵化而来的高新技术企业,从争取核心网络资源、突破领域核心技术、促进产业整体发展、研制自主核心设备和系统、构建稳定服务平台、培养技术创新人才等六个方面,努力支撑和推动我国互联网域名领域发展。在根、顶级域名、二级及二级以下域名的整个互联网域名服务体系中取得了多项研发创新成果,一方面为我国互联网根、顶级域名等核心互联网基础设施安全稳定运行提供有力支撑,另一方面也为企业提供了完整的域名服务整体解决方案。ZDNS推出的DNS、DHCP、IPAM网络设备、企业域名云服务、顶级域名云服务等产品弥补了我国在该领域的多项空白,并在金融、运营商、教育、政府、军工、互联网等多个行业大规模使用,保障了我国重点行业网络健康运行。根据IDC报告显示:ZDNS以32.9%的市场份额,在我国网络核心服务领域市场占有率第一。