對DNS安全的所有問題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類型的利用社會工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來升級系統(tǒng)和對設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個應(yīng)用了DNSSEC的域。截至到本周，已有6000個使用.edu類域名的教育機(jī)構(gòu)注冊了DNSSEC的服務(wù)。預(yù)計在2011年.net和.com類域名也會注冊DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們在此項目上的經(jīng)驗，并展望了今后的DNSSEC部署的道路。 對DNS安全的所有問題而言，域名系統(tǒng)安全協(xié)議（DNSSEC）是不能包治百病的。它不能夠終止路過式（drive-by）攻擊、拒絕服務(wù)攻擊或其他任何類型的利用社會工程學(xué)和基于頂端DNS保護(hù)服務(wù)的攻擊。但它確實可以有效阻止病毒攻擊和DNS騎劫，而這正是互聯(lián)網(wǎng)電子商務(wù)的一個重大的威脅。DNSSEC正在穩(wěn)步發(fā)展，早期的采用者已經(jīng)開始不斷發(fā)展制訂技術(shù)標(biāo)準(zhǔn)和培訓(xùn)資料，以用來升級系統(tǒng)和對設(shè)備進(jìn)行適當(dāng)配置以適應(yīng)DNSSEC。那些屬于.gov域的聯(lián)邦機(jī)構(gòu)都必須在2009年年底前使用DNSSEC。而.Org是第一個應(yīng)用了DNSSEC的域。截至到本周，已有6000個使用.edu類域名的教育機(jī)構(gòu)注冊了DNSSEC的服務(wù)。預(yù)計在2011年.net和.com類域名也會注冊DNSSEC的解析服務(wù)。在這次采訪中，PIR的管理總監(jiān)（負(fù)責(zé)管理.org域名和Ram Mohan）Lance Wolak表示，他和Afilias公司的執(zhí)行副總裁Ram Mohan共同分享他們在此項目上的經(jīng)驗，并展望了今后的DNSSEC部署的道路。

問：.org是第一個登錄到DNSSEC的頂級域名。該項目是從什么時候開始的？為什么.org會成為第一個？

Lance Wolak：我們于6月2日成功的在.gov域?qū)嵤〥NSSEC，這是我們在實施中邁出的第一步，也是DNSSEC測試階段的開端，.Gov最近也開始部署DNSSEC。雖然.Gov和.org屬于通用頂級域名（GTLD），但它們卻是受到高度限制的GTLD。作為首個開放式的GTLD，.org正處于蓬勃發(fā)展中。1050萬個已注冊的域名對于通用頂級域這個領(lǐng)域來說，這個數(shù)字實在是一個重要的里程碑。

Ram Mohan：對于全球超過25個地點的.org類域名的解析服務(wù)器來說，都必須有效地回應(yīng)來自任何地方符合DNSSEC規(guī)范的解析請求，同時還要對請求進(jìn)行通暢的響應(yīng)。此外，.org還會在.org之下的空間加入其他域名。我們需要確保這些工作能夠順利的進(jìn)行，而且我們已經(jīng)開始開發(fā)一個程序，該程序能夠確保處理域名的事務(wù)不會受到影響。我們也需要確保能夠與今天操作域名一樣，達(dá)到順暢地從一個注冊商的域名轉(zhuǎn)到另一種域名的目的。

問：Afilias已經(jīng)提供了.gov的援助？

Mohan：有人要求我們提供一些專業(yè)的意見，以及共享自己與美國政府合作的經(jīng)驗。為此我們將提供一些具體的意見，這些意見來自于我們委員會里的專家，以及我們同公共注冊部門的合作中實施.org所積累的專業(yè)技術(shù)知識。需要學(xué)習(xí)的東西很多：例如，我們了解到，NSEC3數(shù)據(jù)是非常好的頂級域名基礎(chǔ)，因為你不愿看見不明身分的人士提取你所有的文件，并對這些文件進(jìn)行惡意的操作。我們還了解到，實施DNSSEC是以付出DNS查詢和響應(yīng)時間性能的降低為代價的，因為數(shù)據(jù)包比原來要大得多。所以，我們建議在提供域名解析的根（root）服務(wù)器中，改用NSEC代替NSEC3作為，因為大家都知道這個根服務(wù)器。他們也知道所有根服務(wù)器服務(wù)的頂級域名。 NSEC3增加了額外的加密文件校驗操作（hash），使得你不能真正猜測出下一個條目的區(qū)域文件，并且不能為任何目的而無視任何法律約束或協(xié)議地使用它。但在根區(qū)域，大家都知道這只會包含國家代碼（如cn，jp）和其他頂級域名。提高這個已經(jīng)具有很好的加密標(biāo)準(zhǔn)的做法是沒有額外價值的。

問：NSEC和NSEC3是否會增加帶寬的需求呢？

Mohan:的確是這樣，但有一個顯著性差異，這個差異僅僅是因為NSEC3增加了額外的關(guān)于NSEC頂層的hash算法。和NSEC相比，NSEC3對帶寬的要求更高一些。我們在自己的實驗室測試中發(fā)現(xiàn)，NSEC增加了約5％的查詢時正常響應(yīng)負(fù)荷。但我們發(fā)現(xiàn)NSEC3則達(dá)到了15％。不同的人可能會有不同的看法，15％的可能會是一個很大的數(shù)字。在我們的實際觀測中，我們得到了部署DNSSEC的.org類域名的測試結(jié)果，并且真正看到了傳輸控制協(xié)議（TCP）查詢的顯著增加，超過了一個用戶數(shù)據(jù)報協(xié)議（UDP）數(shù)據(jù)包的大小。這與我們的預(yù)期基本相符，這是由于某些DNS解析服務(wù)器在配置上存在缺陷。而在NSEC3下，我們看到，TCP的流量相比于UDP通信增加了600倍。對于解析.org的域名解析服務(wù)器來說，這的確有些應(yīng)付不過來。而作為測試結(jié)果而言，這其實與NSEC沒有多大的區(qū)別。為此我們的已經(jīng)給美國政府提出了一些意見，要小心地分配頂級的域名解析服務(wù)器，具體來說就是滿足NSEC3與NSEC的較量的各自需求。

問：如何進(jìn)行一次DNSSEC部署的測試？你怎么來進(jìn)行測試呢？

Mohan:當(dāng)你擁有自己域名的時候，一個比較大的問題是，部署DNSSEC并不方便。這不容易理解，因為還沒有很好地描述DNSSEC的意義，而網(wǎng)絡(luò)供應(yīng)商的那些更容易理解的DNSSEC計劃還沒有付諸實施。在我們的測試和部署的規(guī)劃中，我們所做的是編制手冊和具體的培訓(xùn)計劃，目的是允許一個域名所有者可以簡單地按一下按鈕，就能使用DNSSEC。字面上來講只是點擊一個按鈕，但在注冊端后臺里實際有一個腳本在運行，域名的關(guān)鍵字（key）被加載，并且立即傳播它。為了確保這種單點擊能夠正確實現(xiàn)DNSSEC的無縫部署，我們還計劃做一個大的、有足夠規(guī)模的測試。該測試即將在今年秋天舉行。

問：對于.gov網(wǎng)站而言，部署DNSSEC似乎會更容易些。真是這樣嗎？

Mohan:我認(rèn)為這個問題要從兩個方面來看。第一，你如何確定你的域名注冊級別。在你注冊級別中，.gov域是一個較小的區(qū)域，它們對誰能得到一個.gov以及誰將使用這個.gov域名的地步有更多的控制權(quán)。但是，當(dāng)涉及到網(wǎng)絡(luò)服務(wù)提供商和互聯(lián)網(wǎng)服務(wù)提供商（ISP）時，每個人都將面對同等難度的問題。即，他們都必須確保他們的DNS解析器是以適當(dāng)?shù)姆绞桨l(fā)送和轉(zhuǎn)發(fā)處理一個DNSSEC的要求。第二，這些網(wǎng)絡(luò)服務(wù)供應(yīng)商和互聯(lián)網(wǎng)供應(yīng)商還必須知道如何處理一個域名被撤銷的情況?，F(xiàn)在的DNS是完全不安全的。你可以通過它駕馭Mac這個“大卡車”，而我們正在做的事就是DNS中增加這個卡車的鎖和鑰匙，但在DNS解析端的人開始學(xué)習(xí)如何改變自己的程序和方法，這樣即使某個鑰匙發(fā)生了改變，也可以有新的鑰匙能夠快速準(zhǔn)確的添加到自己的域名解析服務(wù)器中。

問：現(xiàn)在關(guān)鍵字的管理問題仍未得到解決？

Mohan:是的。在域名注冊的級別上，雖然我們已經(jīng)對關(guān)鍵字的管理掌握得爐火純青了，但在網(wǎng)絡(luò)服務(wù)層次上，某些方面仍然存在些許問題沒有解決。

問：采用何種方法來解決這個問題呢？

Mohan: PIR已開始與網(wǎng)絡(luò)注冊安全組（RISG）展開了一項不錯的計劃。我們的系統(tǒng)管理員和網(wǎng)絡(luò)工程師已經(jīng)著手這件事，他們知道如何才能做到這一點。但是，如果他們正在運行著BIND，那么必須先轉(zhuǎn)到DNSSEC的決議。首先，DNSSEC能理解和執(zhí)行配置的更改。其次，當(dāng)缺乏足夠的培訓(xùn)時，沒有民間社會組織或IT主管會討論是否有必要花50萬美元為整個基礎(chǔ)設(shè)施購買一臺新的路由器，或者是否有必要將針對帶寬的基礎(chǔ)設(shè)施從T1升級到一個T3水平。事實上，除了這些實際情況以外，人們還有很多不必要的恐懼、不安和疑慮。我們正在試圖讓事實說話，它將不會消耗更多的帶寬，或要求用戶進(jìn)行一個較大的硬件升級（事實上，一般而言，它沒有任何硬件升級），而在大多數(shù)情況下，它只是一個配置更改或軟件升級。

問：你們每隔多久會不得不淘汰或者更換設(shè)備呢？

Mohan:關(guān)于這個問題，我們已經(jīng)有了很多經(jīng)驗。我也與瑞典的朋友們談過這個問題。瑞典是世界上第一個部署DNSSEC的國家，在域名的注冊級別上沒有升級需要，而在注冊級別也確實沒做什么重大的升級，只是做了一些尋常的升級和首要的替代程序。同樣，對于ISP來說也不需要升級。但是，如果一些地方出現(xiàn)了問題，那么我預(yù)計可能有升級的需要，比如家庭路由器。那些在2003年以前購入的家庭老式路由器雖然能夠支持DNS協(xié)議，并對DNS請求進(jìn)行解析，但在很多情況下這種路由器必須進(jìn)行更換，從而支持現(xiàn)在的網(wǎng)絡(luò)要求。當(dāng)然，話又說回來，我們還沒有看到任何超出家庭承受能力的巨大升級需要。

【編輯推薦】

1. Linux應(yīng)用:使用TSIG和DNSSEC加固域名服務(wù)器
2. 域名劫持是怎樣劫持的？
3. 研究人員披露互聯(lián)網(wǎng)域名驗證存在漏洞