對(duì)DNS安全的所有問(wèn)題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過(guò)式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類(lèi)型的利用社會(huì)工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實(shí)可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個(gè)重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開(kāi)始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來(lái)升級(jí)系統(tǒng)和對(duì)設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個(gè)應(yīng)用了DNSSEC的域。截至到本周，已有6000個(gè)使用.edu類(lèi)域名的教育機(jī)構(gòu)注冊(cè)了DNSSEC的服務(wù)。預(yù)計(jì)在2011年.net和.com類(lèi)域名也會(huì)注冊(cè)DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們?cè)诖隧?xiàng)目上的經(jīng)驗(yàn)，并展望了今后的DNSSEC部署的道路。 對(duì)DNS安全的所有問(wèn)題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過(guò)式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類(lèi)型的利用社會(huì)工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實(shí)可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個(gè)重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開(kāi)始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來(lái)升級(jí)系統(tǒng)和對(duì)設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個(gè)應(yīng)用了DNSSEC的域。截至到本周，已有6000個(gè)使用.edu類(lèi)域名的教育機(jī)構(gòu)注冊(cè)了DNSSEC的服務(wù)。預(yù)計(jì)在2011年.net和.com類(lèi)域名也會(huì)注冊(cè)DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們?cè)诖隧?xiàng)目上的經(jīng)驗(yàn)，并展望了今后的DNSSEC部署的道路。

問(wèn)：.org是第一個(gè)登錄到DNSSEC的頂級(jí)域名。該項(xiàng)目是從什么時(shí)候開(kāi)始的？為什么.org會(huì)成為第一個(gè)？

Lance Wolak：我們于6月2日成功的在.gov域?qū)嵤〥NSSEC，這是我們?cè)趯?shí)施中邁出的第一步，也是DNSSEC測(cè)試階段的開(kāi)端，.Gov最近也開(kāi)始部署DNSSEC。雖然.Gov和.org屬于通用頂級(jí)域名（GTLD），但它們卻是受到高度限制的GTLD。作為首個(gè)開(kāi)放式的GTLD，.org正處于蓬勃發(fā)展中。1050萬(wàn)個(gè)已注冊(cè)的域名對(duì)于通用頂級(jí)域這個(gè)領(lǐng)域來(lái)說(shuō)，這個(gè)數(shù)字實(shí)在是一個(gè)重要的里程碑。

Ram Mohan：對(duì)于全球超過(guò)25個(gè)地點(diǎn)的.org類(lèi)域名的解析服務(wù)器來(lái)說(shuō)，都必須有效地回應(yīng)來(lái)自任何地方符合DNSSEC規(guī)范的解析請(qǐng)求，同時(shí)還要對(duì)請(qǐng)求進(jìn)行通暢的響應(yīng)。此外，.org還會(huì)在.org之下的空間加入其他域名。我們需要確保這些工作能夠順利的進(jìn)行，而且我們已經(jīng)開(kāi)始開(kāi)發(fā)一個(gè)程序，該程序能夠確保處理域名的事務(wù)不會(huì)受到影響。我們也需要確保能夠與今天操作域名一樣，達(dá)到順暢地從一個(gè)注冊(cè)商的域名轉(zhuǎn)到另一種域名的目的。

問(wèn)：Afilias已經(jīng)提供了.gov的援助？

Mohan：有人要求我們提供一些專(zhuān)業(yè)的意見(jiàn)，以及共享自己與美國(guó)政府合作的經(jīng)驗(yàn)。為此我們將提供一些具體的意見(jiàn)，這些意見(jiàn)來(lái)自于我們委員會(huì)里的專(zhuān)家，以及我們同公共注冊(cè)部門(mén)的合作中實(shí)施.org所積累的專(zhuān)業(yè)技術(shù)知識(shí)。需要學(xué)習(xí)的東西很多：例如，我們了解到，NSEC3數(shù)據(jù)是非常好的頂級(jí)域名基礎(chǔ)，因?yàn)槟悴辉缚匆?jiàn)不明身分的人士提取你所有的文件，并對(duì)這些文件進(jìn)行惡意的操作。我們還了解到，實(shí)施DNSSEC是以付出DNS查詢(xún)和響應(yīng)時(shí)間性能的降低為代價(jià)的，因?yàn)閿?shù)據(jù)包比原來(lái)要大得多。所以，我們建議在提供域名解析的根（root）服務(wù)器中，改用NSEC代替NSEC3作為，因?yàn)榇蠹叶贾肋@個(gè)根服務(wù)器。他們也知道所有根服務(wù)器服務(wù)的頂級(jí)域名。 NSEC3增加了額外的加密文件校驗(yàn)操作（hash），使得你不能真正猜測(cè)出下一個(gè)條目的區(qū)域文件，并且不能為任何目的而無(wú)視任何法律約束或協(xié)議地使用它。但在根區(qū)域，大家都知道這只會(huì)包含國(guó)家代碼（如cn，jp）和其他頂級(jí)域名。提高這個(gè)已經(jīng)具有很好的加密標(biāo)準(zhǔn)的做法是沒(méi)有額外價(jià)值的。

問(wèn)：NSEC和NSEC3是否會(huì)增加帶寬的需求呢？

Mohan:的確是這樣，但有一個(gè)顯著性差異，這個(gè)差異僅僅是因?yàn)镹SEC3增加了額外的關(guān)于NSEC頂層的hash算法。和NSEC相比，NSEC3對(duì)帶寬的要求更高一些。我們?cè)谧约旱膶?shí)驗(yàn)室測(cè)試中發(fā)現(xiàn)，NSEC增加了約5％的查詢(xún)時(shí)正常響應(yīng)負(fù)荷。但我們發(fā)現(xiàn)NSEC3則達(dá)到了15％。不同的人可能會(huì)有不同的看法，15％的可能會(huì)是一個(gè)很大的數(shù)字。在我們的實(shí)際觀測(cè)中，我們得到了部署DNSSEC的.org類(lèi)域名的測(cè)試結(jié)果，并且真正看到了傳輸控制協(xié)議（TCP）查詢(xún)的顯著增加，超過(guò)了一個(gè)用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）數(shù)據(jù)包的大小。這與我們的預(yù)期基本相符，這是由于某些DNS解析服務(wù)器在配置上存在缺陷。而在NSEC3下，我們看到，TCP的流量相比于UDP通信增加了600倍。對(duì)于解析.org的域名解析服務(wù)器來(lái)說(shuō)，這的確有些應(yīng)付不過(guò)來(lái)。而作為測(cè)試結(jié)果而言，這其實(shí)與NSEC沒(méi)有多大的區(qū)別。為此我們的已經(jīng)給美國(guó)政府提出了一些意見(jiàn)，要小心地分配頂級(jí)的域名解析服務(wù)器，具體來(lái)說(shuō)就是滿(mǎn)足NSEC3與NSEC的較量的各自需求。

問(wèn)：如何進(jìn)行一次DNSSEC部署的測(cè)試？你怎么來(lái)進(jìn)行測(cè)試呢？

Mohan:當(dāng)你擁有自己域名的時(shí)候，一個(gè)比較大的問(wèn)題是，部署DNSSEC并不方便。這不容易理解，因?yàn)檫€沒(méi)有很好地描述DNSSEC的意義，而網(wǎng)絡(luò)供應(yīng)商的那些更容易理解的DNSSEC計(jì)劃還沒(méi)有付諸實(shí)施。在我們的測(cè)試和部署的規(guī)劃中，我們所做的是編制手冊(cè)和具體的培訓(xùn)計(jì)劃，目的是允許一個(gè)域名所有者可以簡(jiǎn)單地按一下按鈕，就能使用DNSSEC。字面上來(lái)講只是點(diǎn)擊一個(gè)按鈕，但在注冊(cè)端后臺(tái)里實(shí)際有一個(gè)腳本在運(yùn)行，域名的關(guān)鍵字（key）被加載，并且立即傳播它。為了確保這種單點(diǎn)擊能夠正確實(shí)現(xiàn)DNSSEC的無(wú)縫部署，我們還計(jì)劃做一個(gè)大的、有足夠規(guī)模的測(cè)試。該測(cè)試即將在今年秋天舉行。

問(wèn)：對(duì)于.gov網(wǎng)站而言，部署DNSSEC似乎會(huì)更容易些。真是這樣嗎？

Mohan:我認(rèn)為這個(gè)問(wèn)題要從兩個(gè)方面來(lái)看。第一，你如何確定你的域名注冊(cè)級(jí)別。在你注冊(cè)級(jí)別中，.gov域是一個(gè)較小的區(qū)域，它們對(duì)誰(shuí)能得到一個(gè).gov以及誰(shuí)將使用這個(gè).gov域名的地步有更多的控制權(quán)。但是，當(dāng)涉及到網(wǎng)絡(luò)服務(wù)提供商和互聯(lián)網(wǎng)服務(wù)提供商（ISP）時(shí)，每個(gè)人都將面對(duì)同等難度的問(wèn)題。即，他們都必須確保他們的DNS解析器是以適當(dāng)?shù)姆绞桨l(fā)送和轉(zhuǎn)發(fā)處理一個(gè)DNSSEC的要求。第二，這些網(wǎng)絡(luò)服務(wù)供應(yīng)商和互聯(lián)網(wǎng)供應(yīng)商還必須知道如何處理一個(gè)域名被撤銷(xiāo)的情況?，F(xiàn)在的DNS是完全不安全的。你可以通過(guò)它駕馭Mac這個(gè)“大卡車(chē)”，而我們正在做的事就是DNS中增加這個(gè)卡車(chē)的鎖和鑰匙，但在DNS解析端的人開(kāi)始學(xué)習(xí)如何改變自己的程序和方法，這樣即使某個(gè)鑰匙發(fā)生了改變，也可以有新的鑰匙能夠快速準(zhǔn)確的添加到自己的域名解析服務(wù)器中。

問(wèn)：現(xiàn)在關(guān)鍵字的管理問(wèn)題仍未得到解決？

Mohan:是的。在域名注冊(cè)的級(jí)別上，雖然我們已經(jīng)對(duì)關(guān)鍵字的管理掌握得爐火純青了，但在網(wǎng)絡(luò)服務(wù)層次上，某些方面仍然存在些許問(wèn)題沒(méi)有解決。

問(wèn)：采用何種方法來(lái)解決這個(gè)問(wèn)題呢？

Mohan: PIR已開(kāi)始與網(wǎng)絡(luò)注冊(cè)安全組（RISG）展開(kāi)了一項(xiàng)不錯(cuò)的計(jì)劃。我們的系統(tǒng)管理員和網(wǎng)絡(luò)工程師已經(jīng)著手這件事，他們知道如何才能做到這一點(diǎn)。但是，如果他們正在運(yùn)行著B(niǎo)IND，那么必須先轉(zhuǎn)到DNSSEC的決議。首先，DNSSEC能理解和執(zhí)行配置的更改。其次，當(dāng)缺乏足夠的培訓(xùn)時(shí)，沒(méi)有民間社會(huì)組織或IT主管會(huì)討論是否有必要花50萬(wàn)美元為整個(gè)基礎(chǔ)設(shè)施購(gòu)買(mǎi)一臺(tái)新的路由器，或者是否有必要將針對(duì)帶寬的基礎(chǔ)設(shè)施從T1升級(jí)到一個(gè)T3水平。事實(shí)上，除了這些實(shí)際情況以外，人們還有很多不必要的恐懼、不安和疑慮。我們正在試圖讓事實(shí)說(shuō)話，它將不會(huì)消耗更多的帶寬，或要求用戶(hù)進(jìn)行一個(gè)較大的硬件升級(jí)（事實(shí)上，一般而言，它沒(méi)有任何硬件升級(jí)），而在大多數(shù)情況下，它只是一個(gè)配置更改或軟件升級(jí)。

問(wèn)：你們每隔多久會(huì)不得不淘汰或者更換設(shè)備呢？

Mohan:關(guān)于這個(gè)問(wèn)題，我們已經(jīng)有了很多經(jīng)驗(yàn)。我也與瑞典的朋友們談過(guò)這個(gè)問(wèn)題。瑞典是世界上第一個(gè)部署DNSSEC的國(guó)家，在域名的注冊(cè)級(jí)別上沒(méi)有升級(jí)需要，而在注冊(cè)級(jí)別也確實(shí)沒(méi)做什么重大的升級(jí)，只是做了一些尋常的升級(jí)和首要的替代程序。同樣，對(duì)于ISP來(lái)說(shuō)也不需要升級(jí)。但是，如果一些地方出現(xiàn)了問(wèn)題，那么我預(yù)計(jì)可能有升級(jí)的需要，比如家庭路由器。那些在2003年以前購(gòu)入的家庭老式路由器雖然能夠支持DNS協(xié)議，并對(duì)DNS請(qǐng)求進(jìn)行解析，但在很多情況下這種路由器必須進(jìn)行更換，從而支持現(xiàn)在的網(wǎng)絡(luò)要求。當(dāng)然，話又說(shuō)回來(lái)，我們還沒(méi)有看到任何超出家庭承受能力的巨大升級(jí)需要。

【編輯推薦】

1. Linux應(yīng)用:使用TSIG和DNSSEC加固域名服務(wù)器
2. 域名劫持是怎樣劫持的？
3. 研究人員披露互聯(lián)網(wǎng)域名驗(yàn)證存在漏洞