在这里面,我们2004年也设置了IPv6的节点,目前IPv6的查询也比较大,达到了咨询采用量10%,这也反应了互联网当中对IPv6访问的潜在的需求。这是一些运行的情况。但是也会有问题,问题也比较多,下面可以介绍一下。 从一个域名的查询来看是分级进行的,我这边大致分成了四级,一个是CN的顶级服务器,第三是权威服务器,第四是递归服务器。我们也在中国设置了镜像。根系统是我们自己来做,权威服务器是由企业自己来做,或者是他委托域名注册服务商帮他来进行代维维护,另外电信运营商会提供域名的解析服务。这些服务大家在使用互联网的时候你感觉不到,你查询了网页用户是没有感受的,他只感觉到这个出来了,就表示这个解析成功了。 可以看到,我们域名的软件是来自于国外软件,没有系统保障。还有是域名的系统运行,从国家来看没有相应的规范或者是行业标准,这样的风险应该是比较高的。我们前不久做了一个网上的调查,发现69家重要的一些机构,他们的域名的服务器的运行情况,安全风险很高,全国大概有4万多个服务器在进行运行,这里面有大部分的问题有安全的问题。 在顶级服务器对CN来讲,我们曾经在2003年2月22日的时候,曾经受到了一个攻击,使我们的系统发生了故障,使得人民网、新浪网这样的网站都不能访问。国际上很多,说一点我们附近的情况,像香港的域名在2004年出现问题之后,包括汇丰银行这样的网站都访问不到了,像韩国这样的域名都出现了问题。域名服务器安全事件还是有。 权威服务器是在域名注册商那里运行,有一些域名注册商管理的数量甚至超过了百万,管理的网站数也是数以十万计,他们出了问题也会影响到正常网站的访问。这样的问题大概在2006、2007、2008都出现了问题。 在递归服务器这一块主要是在电信运行商层面上,我们看到比如说在网通、电信的递归服务器出现了问题,都造成了大面积互联网的访问都出现了问题。而且国家计算机应急中心也公布过一些相应的公告,对这样的问题提出了相应的警告。 我说了这三个层面上刚才举了例子,顶级、递归、权威服务器都有问题,根服务器有没有问题?我曾经记得在2000年左右的时候,全球13个根有人对他集中进行攻击,最后造成引起拥塞,网络访问不到。后面出现了对根服务器进行镜像,这样的话根服务器的问题才进行了一定程度的解决。所以安全事件是时有发生的。 同时,域名系统面临了技术挑战,比如说域名解析系统的漏洞,我们可以对DNS的缓存注入一些虚假的记录。数据包进行拦截,或者是数据包进行拦截,这样的话是访问一个网站,如果去一个假的工商网站,这样的话会造成你经济上的一些损失。另外还有一点像注册系统的攻击,域名信息的修改,要通过注册商的注册系统,注册商的系统一旦修改了之后,运营商会采取劫持的情况。我曾经记得国内的一家著名网站,注册的是.com的域名,当时被修改了之后被指到了黑客的网站是黄色的网站。这样的话造成我们的著名网站大概有2天的时间不能正常访问。这是域名系统自身的一些问题。 最近的ICANN也在全球协调,域名发生的攻击。因为域名在缓存的时间和TTL的有效期是几天的时间。这个域名的时间非常短,是因为IP地址在不断地变换,通过拦截截至了网络,我们对这样的恶性域名进行了将近2千个的解析。 另外,在下一代互联网过渡的时候,我们对域名也有一些要求,比如说地址空间增加了之后,我们要求有更加的安全可靠。还有IPv4、IPv6过渡的时候,我们希望有安全的支持,包括解析上有新的要求,会有一些新的需求。 这样的话,我们想域名系统是下一代互联网上最重要的技术设施,在新的形势下要应对挑战。在规模、安全性等一些新的应用上,这些方面要对域名系统提出更高的要求。所以,我们需要尽快建设下一代互联网可信的域名服务器的系统。最近,发改委启动了新的CN域名的系统,我们也承担了建设下一代互联网可信域名系统的项目,我把下面的情况也给大家介绍一下。总体来讲可能有一些要求海量、快速等等。我会介绍两个点,跟各位今后的部署实施和网上有一定的关系,因为整个系统的建设涉及面比较宽,我不做一一的介绍。 刚才我也说过,整个域名的解析系统的话是分级进行的,我写了四个层级。刚才介绍了顶级域名的情况。要想整个域名的安全性不是一个层面解决就可以了,而且是需要几个层面都需要去努力解决才可以建立起这么一套安全的运维服务体系。所以,我们希望在权威服务器,主要是在服务机构这边和重要的企业这边自己维护的域名。还有递归服务器主要是电信运营商这边希望他们来升级。 责任编辑:米尊 |