6月20日上午,作为2023年度ICANN亚太域名系统论坛(APAC DNS Forum)的前置活动之一,由奇安信集团、阿里云、InForSec网安国际共同承办的“云服务时代下的互联网域名解析和挑战”论坛成功举行。随着近年来互联网域名体系显著地向云上迁移,本次论坛深入探讨域名系统面临的多种挑战,并尝试提出解决方案和最佳实践。互联网高级安全架构师Jan Schaumann、清华大学网络研究院博士研究生张丰露、阿里云高级技术专家马永、中国互联网络信息中心CNNIC研究员尉迟学彪等专家学者做了专题报告。论坛由清华大学网络研究院博士后陆超逸主持。
互联网高级安全架构师Jan Schaumann讨论了由云服务加速部署引发的域名服务集中化(centralization)问题。在域名体系向云上迁移的过程中,大量域名将解析授权给少量的云服务提供商,产生集中的依赖关系。Jan以二级域名自身(apex domain)映射的IP地址为例,发现超过半数的IP地址归属于AWS、Google、Cloudflare、Wix等头部云服务提供商,更有少量地址被超过百万量级的域名同时依赖,呈现出明显的集中化现象。因此,保障头部云服务厂商的安全性,对于整个域名解析生态尤为重要。
清华大学网络研究院博士研究生张丰露介绍了一种针对权威服务器负载均衡(load balancing)机制的新型攻击方式。这种攻击针对实现不规范的云域名托管商,利用其对未托管域名的查询请求“保持沉默”(不返回任何响应)这一特点,破坏权威服务器的负载均衡机制,以实现查询流量向某一指定节点的汇聚。测试结果表明,BIND、PowerDNS、Microsoft DNS等知名域名软件,以及Cloudflare、Quad9等知名公共域名解析服务将受到影响。
阿里云高级技术专家马永介绍了部署一体化融合云域名服务(Integrated Cloud DNS)存在的技术挑战和实践。随着互联网业务的扩展,一体化融合云域名服务包含了传统IDC公共域名解析、云平台内部域名解析、面向IoT设备和面向用户终端的域名解析等复杂场景,并因此引入灵活性、可扩展性、稳定性等方面的技术挑战。针对以上问题,马永也介绍了实际部署于阿里云的技术方案,包括自研全栈域名软件、核心链路全异构等。
中国互联网络信息中心CNNIC研究员尉迟学彪讨论了域名滥用和治理方面的挑战。域名滥用治理一直以来都是阻断网络犯罪行为的有效手段;典型的域名滥用形式包括投入网络钓鱼、恶意软件分发、僵尸网络控制、垃圾信息投递等。然而实践表明,对于域名滥用行为的界定涉及注册机构、云内容平台、运营商等多个技术实体,以及标准化机构、执法部门等管理组织,仍然存在巨大的挑战。尉迟学彪介绍了互联网域名社群,特别是ICANN在域名滥用治理方面的角色和工作,并总结了各机构需要开展的下一步工作。
本次论坛在北京设置线下会场,并通过ICANN Zoom会议、InForSec直播、中国科学微信视频号、蔻享学术等平台进行全球直播,共有约2000人次通过不同方式参加。