Fred Baker
ICANN 根服务器系统咨询委员会(RSSAC)主席
前IETF主席
根服务器的管理机构可轻易修改根区文件内容甚至可移除特定的顶级域?目前全世界仅有13个根服务器?此类针对根域名服务器的传言一直不休,在日前举行的2020年北京网络安全大会上,根服务器系统咨询委员会(Root Server System Advisory Committee ,RSSAC)主席Fred Baker回应了这些问题。
Fred Baker表示,关于互联网域名系统的根服务器,目前流传着许多不同版本的传言,但这些传言都不准确。
根服务器系统及相关机构
Fred Baker在报告中重申了域名系统的运行原理:先从根服务器节点获得域名顶级域(如“.cn”)信息的索引。而通过顶级域的权威服务器可获得二级域名的索引。其后,在二级域名的权威服务器上,可获得各个域名所对应的服务器IP地址,或者是域名所属的子域名。
根服务器系统在运行过程中,首先需要获得根区文件,然后将其分发到根服务器的运行管理机构,根服务器节点将对全球域名服务器所发起的查询请求进行响应。全球目前可能分布着超过一万台域名解析服务器。根区文件维护者(Root Zone Maintainer)根据从互联网号码分配机构(IANA)获取的文件提供根区数据。
目前,一共有12家相互独立的企业或者组织机构在负责管理运行域名系统根服务器节点。其中的一些组织实际上隶属于美国军方,它们不属于公司或企业,这类组织需要区别对待。例如,美国国防部网络信息中心(Network Information Center,NIC),它是负责运行管理根服务器节点的机构之一。此外,还有一些组织机构分布在斯德哥尔摩、阿姆斯特丹以及东京,主要是欧洲技术社群,而WIDE项目管理着日本的根服务器节点。
1983年,IETF的RFC 882和RFC 883两个文档对互联网域名系统DNS进行了描述与定义。1984-1985年,早期根域名系统于美国建成,该系统由四台服务器组成,它们分别使用四个独立的IP地址。此后,随着互联网的发展,根服务器的数量经历了多次增加。1987年,新增三台服务器,1991年新增一台,1993年又增加一台,1998年再增四台。至此,根服务器系统增加至13台,并各自拥有1个IP地址。
当时,分发根域名服务器地址的人是 Jon Postel (注:被誉为互联网之神),他邀请不同机构共同运维根域名服务器,并长期负责管理互联网号码分配机构(Internet Assigned Numbers Authority,IANA)。Jon Postel去世(1998年)之后,没人了解该如何新增根服务器的入口,或如何修改变动根服务器。
在此情况下,根服务器系统咨询委员会RSSAC运行管理根域名服务器系统将近20年。
期间面临一个非常重要问题是:如何设计完善运行流程,以转变DNS系统面临的困难局面。经过多次讨论和实践,根服务器系统不断演进,最终形成当前规模。截至2020年8月1日,DNS根服务器系统共有1086个根服务器节点。
引入数字签名技术
在过去十几年中,互联网工程任务组(The Internet Engineering Task Force,IETF)已经对根区文件的信息做出了一系列优化与改进。其中一项极为重要的变化是,使用数字签名技术来保障域名系统的安全性,即DNS安全扩展(Domain Name System Security Extensions,DNSSEC)的引入。目前几乎所有顶级域均已支持DNSSEC,并且其中有许多顶级域对所包含的二级域名进行签名,许多二级域名进一步对其子域名进行签名。
数字签名的主要功能是验证用户所接收的信息是否准确。当某个客户端发起域名查询请求时,可能会被劫持或转发到未经授权的根服务器管理者,导致域名响应的内容与互联网号码分配机构(IANA)所提供的信息不一致,造成所谓的DNS伪造攻击。
如何检测这类攻击?如何才能知道应答响应的内容是否合法?解决方案是对数字签名的内容进行校验。如果数字签名是伪造的,就意味着应答内容是非法的。通常,域名解析服务器负责验证数字签名记录。除了域名解析服务器之外,任何发起域名查询的设备、系统均有权利,RSSAC也强烈建议其去校验DNSSEC的数字签名记录。
根域名系统管理的十一项原则
2014年,Steve Crocker(ICANN董事会主席)曾向RSSAC提出一个问题:该如何解决Jon Postel先生去世之后管理根区文件规范流程的缺失?
2015年,RSSAC委员会相聚在工作组讨论这一问题,并从当年9月开始,召开了一系列的研讨会,最终形成了一份技术报告,也即RSSAC037文档。该报告内容可在网上查阅,其中的一项重要内容是提出管理根服务器系统所应依据的11条原则,具体内容如下:
(1)为了维护一个全球性的互联网,需要一个全球统一的域名系统,从而使用户在不同地区或使用不同域名解析服务器时,对于相同索引内容总能获得相同解析结果。
(2)IANA是DNS根数据的来源。
(3)根服务器系统必须是稳定可靠、富有弹性的平台,能够为所有用户提供域名解析服务。
(4)根服务器操作的多样性是整个系统的优势。如果所有人都使用完全相同的软件,当域名系统出现故障时,所有人都会遇到此类故障,将导致非常严重的安全事故。因此,多样性是一项基本的设计原则:需要操作不同的DNS软件,使用不同的硬件设备,使用不同的网络获取数据。多样性是加强系统健壮性的重要因素。
(5)体系结构的变化应该来自于技术的发展和已证明的技术需求。
(6)IETF定义DNS协议的技术操作。所有改变的驱动力都应源自技术层面,而技术上的推陈出新多由互联网工程任务组(IETF)发起。
剩余的五项原则均直接面向根服务器系统的运行管理机构(RSOs)。
(7)RSOs必须以诚信正直的精神来维护互联网的共同利益。
(8)RSOs必须保持透明。作为一个互联网组织机构,要保持透明,能够说到做到。
(9)RSOs必须与利益相关方合作,并鼓励其参与。在IETF和ICANN的组织架构下,RSOs不仅需要与客户以及合作者积极沟通,也需要吸引并鼓励技术社群中的利益相关方一起参与。
(10)RSOs必须保持自身的自主性和独立性。不应受到任何一个派别的操控。根服务器系统的运行管理机构其实是高度独立的。尽管其中一些机构属于美国政府,但是并非由政府来运作的。
(11)RSOs必须保持中立与公正,并提供必要的(从IANA获取的)信息。
关于根服务器系统的不实传言
Fred Baker表示,关于互联网域名系统的根服务器,目前流传着许多不同传言,但这些传言都不准确。
一种说法是,域名系统根服务器可以控制互联网流量的转发路径。但事实并非如此,根服务器不会控制任何其他事项,它只负责分发根区文件的信息。数据包转发的过程路径信息是由互联网路由器所决定的。
第二种说法是,根服务器的管理机构可以轻易地修改根区文件的内容,甚至可移除特定的顶级域。假如服务器通过修改配置,拒绝响应用户所发起的查询请求,上述说法某种程度上可算是成立的。但通过验证DNSSEC的数字签名,可轻易发现此类篡改行为。一旦DNSSEC校验失败,便可得知解析结果并非源自互联网号码分配机构(IANA),被篡改的内容也会被直接抛弃。因此,尽管理论上而言,根服务器节点可修改根区文件数据,但修改后无法通过DNSSEC数字签名的校验。
第三种说法认为,管理根区文件数据和提供解析服务是一样的。但二者并不相同,管理主要涉及数据存储和使用规则的制定等,而解析则是对数据内容的响应。
第四种说法认为,某些特定的根服务器比其它根服务器更为重要。这种说法也不正确。实际上所有的根服务器的运行管理机构是完全平等的。用户可以向其中任意一个发起域名查询请求,最终得到的结果也将完全相同。
第五种说法是,目前仅存在13个根服务器。实际上,全球共有超过1000个根服务器节点,但是这些根服务器节点共享13个名称(identities),分别对应着负责运行管理的组织机构。
第六种说法认为,ICANN控制了所有根服务器运行管理机构。显然不是这样。因为根服务器的管理机构比ICANN存在的时间还要长。而且根服务器管理单位RSSAC也仅有少数人从属于ICANN。
Fred Baker表示,根服务器系统的运行管理机构,必须以诚信正直的精神来维护互联网的共同利益。同时,根服务器的运行管理机构,必须保持自身的独立性,他们不应当受到任何一个派别的操纵。
“根服务器系统的运行管理是高度独立的,尽管其中一些机构属于美国政府,但他们并不是由政府来运作旳。” Fred Baker表示。
(本文整理自Fred Baker在2020年北京网络安全大会上的报告)
相关背景:
根服务器系统咨询委员会(Root Server System Advisory Committee,RSSAC)是ICANN技术社群的10个技术委员会之一,其成员主要为互联网域名系统根服务器的创始者。该委员会的使命是成为联系技术社群、董事会以及域名根服务器利益相关方的沟通渠道,主要负责提供与域名系统根服务器相关的咨询和建议。因此,RSSAC重点关注根服务器系统的工作机制,以及如何更好地服务ICANN技术社群等问题。
RSSAC由负责运行全球根服务的组织的代表组成。
2013年7月18日,ICANN董事会批准了RSSAC的初始成员和领导层,并于2014年6月26日任命了新的代表。(详情见https://www.icann.org/groups/rssac )