互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)

胡寧，鄧文平，姚蘇

（1. 國防科技大學(xué)計算機(jī)學(xué)院，湖南 長沙 410073；2. 北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)

胡寧1，鄧文平1，姚蘇2

（1. 國防科技大學(xué)計算機(jī)學(xué)院，湖南 長沙 410073；2. 北京交通大學(xué)電子信息工程學(xué)院，北京 100044）

域名系統(tǒng)為互聯(lián)網(wǎng)的應(yīng)用提供域名與IP地址的相互轉(zhuǎn)換服務(wù)，是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施。DNS的安全是互聯(lián)網(wǎng)穩(wěn)定運(yùn)行的保障，也是互聯(lián)網(wǎng)安全研究的重要內(nèi)容?，F(xiàn)有研究主要通過設(shè)計增強(qiáng)協(xié)議、監(jiān)測機(jī)制和使用方法來提高DNS系統(tǒng)的安全防護(hù)能力，但近期的DNS攻擊事件表明，DNS安全依然存在很多極具挑戰(zhàn)性的問題沒有解決。從安全增強(qiáng)、行為監(jiān)測和隱私保護(hù)等方面對現(xiàn)有成果和挑戰(zhàn)問題進(jìn)行了總結(jié)和討論。

DNS安全；DNS監(jiān)測；DNS隱私保護(hù)；互聯(lián)網(wǎng)安全

1 引言

域名系統(tǒng)（DNS，domain name system）是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，是聯(lián)接互聯(lián)網(wǎng)各類應(yīng)用與資源的紐帶，為各種基于域名的Web應(yīng)用、電子郵件和分布式系統(tǒng)的正常運(yùn)行提供關(guān)鍵性支撐服務(wù)。目前，全球域名總數(shù)超過3億，域名服務(wù)器數(shù)量超過1 000萬臺，每天提供千億次的查詢服務(wù)。因此，DNS系統(tǒng)的安全對互聯(lián)網(wǎng)的正常運(yùn)營舉足輕重。隨著互聯(lián)網(wǎng)商業(yè)價值的提升，惡意攻擊者開始利用DNS系統(tǒng)實(shí)施網(wǎng)絡(luò)攻擊，一些大型惡意組織甚至可以利用他們特有的能力構(gòu)造攻擊行為，對互聯(lián)網(wǎng)整體的運(yùn)行造成嚴(yán)重的影響[1]。為了提高DNS系統(tǒng)的安全防護(hù)能力，涌現(xiàn)了大量優(yōu)秀的研究成果[2]，但隨著計算機(jī)技術(shù)的不斷發(fā)展以及互聯(lián)網(wǎng)應(yīng)用模式的不斷變化，DNS系統(tǒng)依然面臨許多安全威脅和技術(shù)挑戰(zhàn)[3,4]。

DNS系統(tǒng)最早于 1983年由 Mockapetris提出，其主要功能是解決域名與地址轉(zhuǎn)換的問題[5]。經(jīng)典的DNS系統(tǒng)包括域名空間和資源記錄、域名服務(wù)器和域名解析器。域名服務(wù)器提供域名空間和資源記錄的存儲和訪問服務(wù)，也稱為服務(wù)基礎(chǔ)設(shè)施。域名解析器負(fù)責(zé)接收客戶端請求并查詢域名服務(wù)器，也稱為客戶基礎(chǔ)設(shè)施。DNS的工作原理非常簡單，以域名www.example.com為例，首先是應(yīng)用程序通過操作系統(tǒng)的接口向域名解析器發(fā)出解析請求，域名解析器收到請求后，從根服務(wù)器查詢到能夠解析“.com”的名字服務(wù)器，然后從該服務(wù)器查詢到能夠解析“example.com”的名字服務(wù)器，再從“example.com”的名字服務(wù)器查詢能夠解析“www.example.com”的服務(wù)器，依次類推，最后能夠解析“www. example.com”的服務(wù)器查詢與“www. example.com”對應(yīng)的IP地址。上述查詢過程中產(chǎn)生的結(jié)果，在域名解析器本地緩存，為后續(xù)的查詢提高效率。

DNS系統(tǒng)的主要工作機(jī)制和協(xié)議規(guī)范在IETF的RFC1034和RFC1035已經(jīng)基本成熟，隨著其應(yīng)用環(huán)境的不斷變化以及互聯(lián)網(wǎng)自身的發(fā)展，DNS的相關(guān)規(guī)范也在不斷完善，截至 2015年11月，與DNS直接相關(guān)的RFC規(guī)范達(dá)到182條[6]?；ヂ?lián)網(wǎng)DNS系統(tǒng)已經(jīng)從一個簡單的查詢系統(tǒng)，發(fā)展成一個復(fù)雜的生態(tài)系統(tǒng)[7]。隨著 DNS被賦予更多的應(yīng)用功能支持，如負(fù)載均衡、緩沖、流量工程等[8,9]，上述這個簡單的過程變得非常復(fù)雜，尤其當(dāng)該過程被惡意用戶利用時，將會產(chǎn)生嚴(yán)重的DNS安全事件。事實(shí)上，近年來，發(fā)生的多起DNS安全事件，已經(jīng)廣泛引起了業(yè)界的重視[10～13]，DNS的安全問題并沒有得到完善的解決，依然存在一些挑戰(zhàn)和開放性課題。

為了能夠更好地理解DNS安全問題的本質(zhì)，把握研究熱點(diǎn)和方向，本文從脆弱分析、安全增強(qiáng)、診斷監(jiān)控和隱私保護(hù)等方面，對近年來關(guān)于DNS安全的多篇學(xué)術(shù)論文進(jìn)行了歸納分析，并在此基礎(chǔ)上，對今后的研究方向和挑戰(zhàn)問題進(jìn)行了預(yù)測。

2 研究現(xiàn)狀

2.1 脆弱分析

DNS系統(tǒng)在最初被提出時，在協(xié)議設(shè)計和系統(tǒng)實(shí)現(xiàn)等方面沒有過多考慮安全機(jī)制。雖然DNS系統(tǒng)的工作原理比較簡單，但是實(shí)際運(yùn)行過程中，卻表現(xiàn)出很高的復(fù)雜性，造成這種復(fù)雜性的主要原因包括用戶行為、系統(tǒng)結(jié)構(gòu)、緩沖機(jī)制等。DNS系統(tǒng)的這種復(fù)雜性為安全防護(hù)帶來了障礙。RFC 3833將DNS系統(tǒng)的安全威脅分為3個方面：1) 服務(wù)器與解析器之間的安全通信威脅；2) 利用已有服務(wù)構(gòu)造拒絕服務(wù)攻擊（DoS/DDoS）；3) 利用軟件實(shí)現(xiàn)上存在的漏洞或者錯誤控制提升權(quán)限，控制DNS服務(wù)器[14]。文獻(xiàn)[15]認(rèn)為DNS系統(tǒng)的安全威脅主要包括數(shù)據(jù)威脅、協(xié)議威脅、系統(tǒng)威脅和網(wǎng)絡(luò)威脅。文獻(xiàn)[16]將DNS系統(tǒng)面臨的安全威脅分為拒絕服務(wù)攻擊、數(shù)據(jù)虛假、信息泄露。

DNS系統(tǒng)之所以面臨上述安全威脅，其根本是因?yàn)閰f(xié)議脆弱性和系統(tǒng)脆弱性。

2.1.1 協(xié)議脆弱性

DNS系統(tǒng)的脆弱性來自DNS協(xié)議自身。傳統(tǒng)的DNS系統(tǒng)基于UDP交換DNS消息，在消息交換的過程中，所有請求消息和應(yīng)答消息都采用明文傳遞，資源記錄不提供數(shù)字簽名等防偽造保護(hù)。這類協(xié)議很容易受到中間人攻擊，通過竊聽、篡改和偽造DNS消息的方式對DNS系統(tǒng)進(jìn)行攻擊。

文獻(xiàn)[17]評估DNS系統(tǒng)在抵御DNS記錄注入攻擊時的脆弱性，發(fā)現(xiàn)利用緩沖區(qū)投毒實(shí)現(xiàn)DNS偽造記錄注入的現(xiàn)象是非常普遍的。當(dāng)前互聯(lián)網(wǎng)有大量免費(fèi)DNS解析器存在，為惡意攻擊者提供了更多的攻擊目標(biāo)，實(shí)驗(yàn)結(jié)果表明，有7%～9%的解析器容易受到注入攻擊[18]。文獻(xiàn)[19]展示了“流氓”DNS服務(wù)器如何通過構(gòu)造虛假的DNS解析路徑，導(dǎo)致用戶請求被發(fā)送到惡意的DNS名字服務(wù)器上。文獻(xiàn)[20]利用校園網(wǎng)數(shù)據(jù)和從alexa.com獲得的106個域名，對一些惡意DNS的行為進(jìn)行了定量分析，實(shí)驗(yàn)結(jié)果證明，使用域名服務(wù)作為隱形僵尸網(wǎng)絡(luò)命令和控制通道的可行性是非常大的。

DNS協(xié)議在安全防護(hù)方面的不足，還導(dǎo)致了用戶隱私泄露問題。隨著互聯(lián)網(wǎng)商業(yè)價值的不斷提升，用戶隱私問題成為DNS系統(tǒng)面臨的一個重要問題[21,22]。由于 DNS的查詢攜帶了足夠的信息，用戶應(yīng)用在通過DNS解析域名的過程中，可能會泄露用戶興趣愛好、身份信息和設(shè)備類型等隱私信息，一些公司通過收集用戶的DNS信息流來分析用戶行為，并為此設(shè)計商業(yè)行為。文獻(xiàn)[23]對這類安全威脅進(jìn)行了分析。文獻(xiàn)[24]通過校園網(wǎng)收集DNS的公告數(shù)據(jù)集，發(fā)現(xiàn)存在大量的隱私泄露風(fēng)險，如用戶真實(shí)姓名、設(shè)備名稱等。文獻(xiàn)[25]討論了DNS預(yù)解析和隱私泄露的矛盾。很多瀏覽器為了優(yōu)化瀏覽性能，往往會對網(wǎng)頁中包含的域名進(jìn)行預(yù)解析，這種做法可能會導(dǎo)致隱私威脅或被攻擊者濫用。文獻(xiàn)[26]在真實(shí)環(huán)境下，對基于流量的行為跟蹤技術(shù)進(jìn)行了可行性分析，提出一種基于樸素貝葉斯模型的行為分類器，結(jié)合DNS日志對用戶行為進(jìn)行分析，實(shí)驗(yàn)結(jié)果表明，通過 DNS的請求來分析用戶行為的準(zhǔn)確度可以達(dá)到88%，這說明惡意攻擊者是完全有可能通過分析用戶的DNS請求序列來分析用戶的隱私，同時也說明現(xiàn)有的 DNS協(xié)議在保護(hù)用戶隱私方面存在缺陷。

2.1.2 系統(tǒng)脆弱性

DNS系統(tǒng)的脆弱性來自DNS系統(tǒng)的組成與實(shí)現(xiàn)方式。DNS系統(tǒng)經(jīng)過多年的發(fā)展，已經(jīng)成為一個復(fù)雜的生態(tài)系統(tǒng)，包含了大量開放的 DNS服務(wù)提供商[27]，這些解析器有些是可信任的，有些則是半可信任甚至不可信任的。一次看似簡單的域名解析過程，很可能會涉及多臺位于多個不同層級、不同地域的域名服務(wù)器和解析器[28]，形成一條復(fù)雜的解析路徑，而構(gòu)成解析路徑的各個節(jié)點(diǎn)之間并沒有建立起有效的信任傳遞關(guān)系。

文獻(xiàn)[29]對互聯(lián)網(wǎng)的 DNS解析器進(jìn)行了探測，探測成果表明在當(dāng)前互聯(lián)網(wǎng)環(huán)境下，至少存在15×106～32×106個開放式DNS解析器，這些解析器可以分為3類：1) 專門負(fù)責(zé)接收用戶的解析請求；2) 負(fù)責(zé)與域名服務(wù)器交互，返回解析結(jié)果；3) 前2類解析的中間人，負(fù)責(zé)轉(zhuǎn)發(fā)各種解析請求。其中，后2類解析器對終端用戶并不可見，并且這些開放式解析器的管理和實(shí)現(xiàn)都存在不規(guī)范的現(xiàn)象，以TTL設(shè)置為例，只有19%的解析器能夠返回正確的TTL，其他一些研究成果也發(fā)現(xiàn)了類似現(xiàn)象[30,31]。

文獻(xiàn)[32]研究對DNS系統(tǒng)的域名服務(wù)器進(jìn)行了拓?fù)浞治觯l(fā)現(xiàn)在名字服務(wù)器之前，存在大量用戶無法直接訪問到的解析器，這些解析器起到Cache的作用，能夠?qū)v史的解析結(jié)果緩存起來，以便提高解析結(jié)果。由于這些解析器大多由第三方機(jī)構(gòu)管理，在部署和配置管理方面，沒有遵守最佳實(shí)踐原則，如RFC5452、RFC4697，因此存在許多安全隱患。

2.2 安全增強(qiáng)

對 DNS系統(tǒng)自身進(jìn)行安全增強(qiáng)的研究成果主要包括：對DNS協(xié)議的安全擴(kuò)充和對DNS系統(tǒng)的實(shí)現(xiàn)進(jìn)行增強(qiáng)2個方面。

2.2.1 DNS協(xié)議增強(qiáng)

傳統(tǒng) DNS協(xié)議安全的不足在于對信息缺乏真實(shí)性和保密性的保護(hù)，為了防止緩沖區(qū)投毒攻擊，DNSSEC和NSEC3被引入 DNS體系，DNSEC[33]是迄今最為著名的 DNS安全增強(qiáng)方案，以公鑰密碼機(jī)制作基礎(chǔ)，為DNS的資源記錄計算數(shù)字簽名，通過驗(yàn)證數(shù)字簽名來確保解析結(jié)果的真實(shí)性。DNSEC在DNS的基礎(chǔ)上，擴(kuò)展了一些重要的安全記錄，包括以下內(nèi)容。1) DNSKEY記錄，用于記錄域名服務(wù)器的公開密鑰。2) RRSIG記錄，用于存儲對資源記錄集合（RRSet）計算的數(shù)字簽名。3) DS記錄，存儲DNSKEY的散列值，用于驗(yàn)證DNSKEY的真實(shí)性，DS記錄存儲在上級域名服務(wù)器，因此，在驗(yàn)證某域名服務(wù)器數(shù)字證書的真實(shí)性時，需要從上一級域名服務(wù)器獲取其DS記錄，這樣就形成了逐級認(rèn)證的信任鏈。4) NSEC記錄，用于表示請求的域名不存在。DNSSEC在解析域名時，包括2個過程。一個是域名解析過程，與DNS解析過程一致，但域名解析的應(yīng)答結(jié)果中，除了包含資源記錄（RR），還同時包含域名服務(wù)器對資源記錄的數(shù)字簽名（RRSIG）；另外一個過程是數(shù)字簽名驗(yàn)證過程，該過程先通過逐級獲取DS記錄，驗(yàn)證域名服務(wù)器的公鑰，然后進(jìn)一步利用公鑰驗(yàn)證數(shù)字簽名的正確性。與傳統(tǒng)的 DNS工作過程相比，由于DNSSEC增加了數(shù)字簽名的驗(yàn)證過程，從而可以辨別DNS數(shù)據(jù)是否真實(shí)和完整。

DNSSEC的主要功能包括：1) 提供數(shù)據(jù)來源驗(yàn)證；2) 提供數(shù)據(jù)完整性驗(yàn)證；3) 提供否定存在驗(yàn)證。文獻(xiàn)[34]對DNSEC和NSEC3安全能力進(jìn)行了評估，重點(diǎn)測試DNSSEC對緩沖區(qū)投毒的抵抗，并給出了一些建議，以便最大限度發(fā)揮DNSSEC的能力。BIND在目前互聯(lián)網(wǎng)環(huán)境下被廣泛使用的開放源碼的DNS服務(wù)器軟件，在處理能力和安全性能方面都不夠理想。Nominum公司研制了一套新型的高性能安全 DNS系統(tǒng)[35]，能夠在毫秒級延遲的情況下，每秒處理100 000條查詢請求，并且完全兼容DNSSEC。

DNSSEC在最初被提出時，由于技術(shù)、成本、網(wǎng)絡(luò)性能等多方面因素的影響，一直未得到各方面的充分重視，部署進(jìn)展緩慢。隨著DNS緩存投毒攻擊數(shù)量及其破壞程度逐年上升，DNSSEC開始受到廣泛重視，進(jìn)入大規(guī)模部署階段，截至2016年12月6日，互聯(lián)網(wǎng)根區(qū)記錄中共有1 525個頂級域，其中1 376個完成部署[36]。

雖然 DNSSEC在理論上能夠很好地解決虛假域名信息的問題，但由于其部屬問題，導(dǎo)致在應(yīng)用過程中并沒有取得理想的結(jié)果，此外，DNSSEC沒有辦法解決DNS隱私泄露問題。文獻(xiàn)[37]對DNSSEC在部署方式上的缺陷進(jìn)行了評估，認(rèn)為DNSSEC不適合采取漸進(jìn)式部署，難以解決不同域之間的互操作和信息引用問題。例如，沒有部署 DNSSEC的域?qū)o法解析攜帶數(shù)字簽名的資源記錄，而部署了DNSSEC的域依然無法判定未攜帶數(shù)字簽名的資源記錄的真實(shí)性。另外，要求DNSSEC在全球范圍內(nèi)，一次性完成部署也是一個幾乎不可能實(shí)現(xiàn)的目標(biāo)，尤其是在二級域（TLD）。由于使用了公鑰密碼體系，在計算和驗(yàn)證數(shù)字簽名時，會引起額外的計算開銷和傳輸開銷，文獻(xiàn)[38]進(jìn)一步測試了DNSSEC在計算數(shù)字簽名時對DNS系統(tǒng)功能產(chǎn)生的影響，發(fā)現(xiàn)當(dāng)大量解析域名時，頻繁地驗(yàn)證計算會增加域名服務(wù)器的響應(yīng)延時，同時攜帶大量數(shù)字簽名的DNS應(yīng)答消息也會占用大量的網(wǎng)絡(luò)帶寬資源。因此，DNSSEC更容易受到放大攻擊的威脅[39]。

由于DNSSEC無法解決傳輸層面臨的威脅，文獻(xiàn)[40]基于TCP和TLS設(shè)計實(shí)現(xiàn)了一套DNS系統(tǒng)T-DNS。傳統(tǒng)DNS系統(tǒng)基于UDP傳輸消息，由于 UDP無法限制解析器與服務(wù)器之間的會話關(guān)系，在抵御放大攻擊、拒絕服務(wù)攻擊、搭線竊聽等方面無能為力。T-DNS的主要原理是使用TCP和TLS協(xié)議替代UDP傳輸DNS消息，解析器與服務(wù)器首先需要建立TCP連接，然后在TCP會話的基礎(chǔ)上使用TLS協(xié)議對DNS消息的內(nèi)容進(jìn)行加密保護(hù)，防止內(nèi)容泄露和惡意篡改。這種DNS的實(shí)現(xiàn)方式利用了TCP連接的數(shù)量限制機(jī)制，能夠防止惡意服務(wù)器主動推送虛假應(yīng)答信息，同時由于TLS的安全傳輸機(jī)制，解決了內(nèi)容泄露和惡意篡改問題。T-DNS嘗試借助傳輸層的安全增強(qiáng)機(jī)制來實(shí)現(xiàn)DNS安全，不需要修改DNS協(xié)議，類似地，文獻(xiàn)[41]以RFC草案的方式討論了基于TLS實(shí)現(xiàn)DNS的相關(guān)問題；文獻(xiàn)[42]提出DNS over DTLS的實(shí)現(xiàn)方案，利用 DTLS協(xié)議[43]傳輸DNS的請求和應(yīng)答消息，實(shí)現(xiàn)信息的保密性。

雖然將加密技術(shù)引入 DNS系統(tǒng)是比較直觀的研究思路，但考慮到系統(tǒng)部署、處理性能等方面，依然存在許多問題。文獻(xiàn)[44]討論了在DNS系統(tǒng)實(shí)施加密技術(shù)時，可能存在的誤區(qū)，重點(diǎn)對隱私保護(hù)、跨域互操作效率和計算/通信開銷進(jìn)行分析。實(shí)驗(yàn)結(jié)果表明：1) 現(xiàn)有的許多基于加密技術(shù)的DNS增強(qiáng)系統(tǒng)沒有辦法提供隱私保護(hù)功能；2) 由于是漸進(jìn)式部署，部分解決方案可能會造成不同域之間在互操作上存在問題；3) 端到端的加密方案會增加名字服務(wù)器的流量開銷。

2.2.2 FPG 繪制ROC曲線，F(xiàn)PG對2型糖尿病進(jìn)行診斷的最佳切點(diǎn)為6.44 mmol/L，特異度為86.3%，靈敏度為89.0%；在43例FPG＜6.44 mmol/L患者中，IGT7例，NGT18例，IFG5例，IFG+IGT5例，DM7例；而在 FPG≥4.44 mmol/L61例患者中，IFG、IGT與NGT均為0例，IFG+IGT6例，DM56例。

除了基于密碼學(xué)理論來解決 DNS信息安全問題，也出現(xiàn)了一些輕量級的解決方案，這類方案的特色是不引入密碼學(xué)方法，同時也不需要修改DNS協(xié)議的實(shí)現(xiàn)，易于實(shí)現(xiàn)和部署，但無法提供嚴(yán)格的安全保護(hù)。例如，文獻(xiàn)[45]描述了一種新的、實(shí)用和簡單的技術(shù)，使DNS查詢更能抵抗投毒攻擊，其工作原理如下：在查詢中混合組成域名字母的大小寫，該方法要求中毒DNS緩存的攻擊者必須猜測查詢的混合大小寫編碼，以及DNS中毒攻擊所需的所有其他字段。這增加了攻擊的難度，被許多DNS供應(yīng)商實(shí)施。

2.2.2 系統(tǒng)實(shí)現(xiàn)增強(qiáng)

通過修改DNS協(xié)議來提升系統(tǒng)的安全能力容易受到部署和兼容等問題的困擾，有學(xué)者提出，在實(shí)際構(gòu)建DNS系統(tǒng)時進(jìn)行安全增強(qiáng)，這類研究成果的研究思路是通過改善DNS生態(tài)系統(tǒng)的組成結(jié)構(gòu)和實(shí)現(xiàn)方式來提升DNS系統(tǒng)的安全防護(hù)能力。

文獻(xiàn)[46]通過引入認(rèn)證服務(wù)來阻止放大攻擊，該方法在域名解析過程中引入認(rèn)證服務(wù)器，所有的域名解析器首先向認(rèn)證服務(wù)器請求挑戰(zhàn)字，認(rèn)證服務(wù)器收到請求后，根據(jù)域名解析器將要訪問的域名服務(wù)器為其分配挑戰(zhàn)字，并在本地保存相應(yīng)的挑戰(zhàn)字。通過分配挑戰(zhàn)字，實(shí)現(xiàn)了域名解析器與域名之間對應(yīng)關(guān)系的綁定。在后續(xù)的域名解析過程中，認(rèn)證服務(wù)器進(jìn)一步檢查解析請求與挑戰(zhàn)字之間的對應(yīng)關(guān)系，并丟棄沒有綁定關(guān)系的解析請求。通過這種方式，杜絕惡意服務(wù)器通過仿冒源IP地址進(jìn)行放大攻擊。

文獻(xiàn)[47]認(rèn)為大量存在的開放式DNS解析器由于管理不夠規(guī)范，容易成為攻擊者的目標(biāo)，對整個 DNS系統(tǒng)造成危害，因此，提出一種解決DNS解析器漏洞的方法，即完全刪除開放式DNS解析器，對用戶保留遞歸查詢服務(wù)，這樣的做法雖然可能導(dǎo)致DNS系統(tǒng)整體性能下降，但實(shí)驗(yàn)結(jié)果表明，為了提升DNS系統(tǒng)的安全性，這種犧牲是可以接受的。

文獻(xiàn)[48]提出一種頂級匿名 DNS系統(tǒng)結(jié)構(gòu)OnionDNS，用于阻止對頂級域名服務(wù)器的惡意攻擊。與傳統(tǒng)的DNS系統(tǒng)架構(gòu)相比，OnionDNS引入了鏡像服務(wù)器，鏡像服務(wù)器位于域名解析器與域名服務(wù)器之間，所有的域名解析請求首先被發(fā)送到鏡像服務(wù)器，只有鏡像服務(wù)器才能獲得頂級域名服務(wù)器的真實(shí)IP地址，而域名解析器無法直接訪問頂級域名服務(wù)器。通過這種匿名的方式，實(shí)現(xiàn)對頂級域名服務(wù)器的保護(hù)。

2.3 診斷監(jiān)控

對 DNA系統(tǒng)進(jìn)行診斷監(jiān)控不需要改變現(xiàn)有DNS協(xié)同的實(shí)現(xiàn)，具有良好的漸進(jìn)部署能力，是安全增加解決方案的良好輔助手段。注冊惡意域名是許多攻擊行為在實(shí)施前的第一步，因此，盡早發(fā)現(xiàn)惡意域名或者惡意網(wǎng)絡(luò)域是檢測惡意行為的關(guān)鍵技術(shù)。

文獻(xiàn)[49]設(shè)計提出了一套惡意域名檢測系統(tǒng)Kopis，對高層DNS服務(wù)器之間的流量進(jìn)行統(tǒng)計分析，通過觀察統(tǒng)計指標(biāo)的變化來識別惡意域名，其主要原理如下：對于每個DNS的域名解析請求Qj以及相應(yīng)的域名d和應(yīng)答Rj，定義一個四元組Qj(d)= ＜Tj, Rj, d, IPsj＞，Tj用于指定時間單元，Kopis以一天為一個時間單元，Rj是發(fā)出Qj的主機(jī) IP，d是要求被解析的域名，IPsj是應(yīng)答信息中包含的IP地址集合。對于任何一個指定域名d，在指定的一段時間內(nèi)，可以統(tǒng)計出一組數(shù)據(jù)Qj(d)，j = 1,…,m。根據(jù)這組統(tǒng)計數(shù)據(jù)，Kopis計算3組統(tǒng)計參數(shù)：請求者多樣性參數(shù)（RD），表示解析域名 d的主機(jī)的分布情況；請求者權(quán)重（RP），表示與請求者相對應(yīng)的解析服務(wù)器的規(guī)模；目標(biāo)IP信譽(yù)（IPR），表示被解析出來的IP的信譽(yù)值。以請求者多樣性參數(shù)為例，主要是根據(jù)給定的域名d和Qj(d)，先將請求者的IP映射到其所屬的BGP前綴、自治域編號（AS number）和國家編號（CC），然后計算其頻率分布情況，進(jìn)一步計算均值、標(biāo)準(zhǔn)偏差和方差等。如圖1所示，解析惡意域名與解析良性域名請求者所在自治域的變化情況具有明顯的差異。

圖1 AS多樣性頻率分布

文獻(xiàn)[50]對全球600多個分布式遞歸解析器、超過260億個DNS查詢/響應(yīng)消息進(jìn)行了分析，發(fā)現(xiàn)在發(fā)給根服務(wù)器的查詢請求中，有50%的請求包含了對畸形TLD域名的解析，基于該事實(shí)，提出了一套以已知惡意域名為起點(diǎn)，根據(jù) DNS查詢之間的相關(guān)性來搜索其他未知惡意域名的方法。文獻(xiàn)[51]通過分析域名解析記錄的變化以及域名相關(guān)的 DNS查詢模式，提出了一些典型的DNS解析行為特征，并以此為依據(jù)實(shí)現(xiàn)惡意域名的早期檢測?！癉omain Fluxing”是一種通過不停改變和分配多個域名到一個或多個 IP地址的惡意行為，被許多僵尸網(wǎng)絡(luò)（如Conficker、Kraken、Torpig）用于進(jìn)行資源獲取、控制服務(wù)器定位等，同時提高自身生存能力。文獻(xiàn)[52]針對“DomainFluxing”用于自動產(chǎn)生域名的算法進(jìn)行分析，提出一種方法用于自動檢測由算法產(chǎn)生的惡意域名。文獻(xiàn)[53]設(shè)計一套大規(guī)模DNS流量被動監(jiān)測系統(tǒng)FluxBuster，用于對惡意網(wǎng)絡(luò)進(jìn)行早期發(fā)現(xiàn)。通過監(jiān)控分布在不同地理位置的數(shù)百個不同網(wǎng)絡(luò)中的遞歸DNS（RDNS）服務(wù)器生成的DNS對流量跟蹤。

惡意解析行為檢測是 DNS診斷監(jiān)控研究的另外一項(xiàng)重要研究內(nèi)容。文獻(xiàn)[54]嘗試通過測量一些量化指標(biāo)來分析用戶的行為模型，首先對用戶群體進(jìn)行分類，然后通過收集DNS resolvers的日志，進(jìn)行DNS的解析請求分析。針對不同群體的用戶分析其訪問域名的分布特征、訪問域名的數(shù)量和響應(yīng)時間的變化情況、不同用戶查詢請求的交集來分析不同類型用戶的 DNS查詢行為之間的關(guān)聯(lián)性。當(dāng)用戶終端產(chǎn)生的DNS解析請求沒有被直接發(fā)送到經(jīng)過授權(quán)的DNS服務(wù)器，而是被中間人劫持了，用戶終端可能會受到虛假的解析應(yīng)答，文獻(xiàn)[55]提出一種檢測技術(shù)，通過測量應(yīng)答消息的返回時延來判斷當(dāng)前應(yīng)答是否來自授權(quán)服務(wù)器。文獻(xiàn)[56]利用DNS解析失敗來鑒別惡意軟件行為，如利用DNS通道控制僵尸網(wǎng)絡(luò)。文章通過分析典型惡意行為，利用DNS的工作機(jī)理，發(fā)掘了一些奇怪的DNS解析失敗特征，這些特征可以用于判定是否是惡意軟件行為。文獻(xiàn)[57]提出了一套監(jiān)測系統(tǒng)，名為 EXPOSURE，對DNS進(jìn)行大規(guī)模的流量監(jiān)測，總結(jié)出15個重要的流量特征，并以此為依據(jù)對域名的使用方式進(jìn)行分類，判定其是否被惡意使用。為了抑制惡意行為，文獻(xiàn)[58]提出一種用于DNS的動態(tài)信譽(yù)系統(tǒng)Notos，Notos針對正常使用域名和惡意使用域名的行為建立計算模型，并使用該計算模型結(jié)合DNS數(shù)據(jù)流進(jìn)行信譽(yù)計算，通過信譽(yù)評價來約束惡意使用域名的惡行為。與基于密碼學(xué)的方法相比，建立信譽(yù)系統(tǒng)不會在域名解析過程中引起復(fù)雜的計算開銷，是一種輕量級的解決方案，但是，信譽(yù)系統(tǒng)具有滯后效應(yīng)，難以提早發(fā)現(xiàn)惡意行為。

2.4 隱私保護(hù)

隨著越來越多的用戶切換到第三方 DNS解析器（如Google公共DNS和OpenDNS），用戶經(jīng)常訪問的站點(diǎn)、感興趣的信息也可能在域名的解析過程中被泄露。DNS阻止（DNS blocking）是一種阻止用戶定位域名或站點(diǎn)的技術(shù)，最早于1997年被提出，用于阻止來自未知IP地址的垃圾郵件。隨著 DNS隱私保護(hù)需求的出現(xiàn)，DNS blocking技術(shù)開始用于這一方面。

文獻(xiàn)[59]對DNS解析的全過程進(jìn)行了分析，對每個步驟可能存在的隱私泄露問題進(jìn)行了歸納，并針對這些問題提出了一種簡單靈活的防隱私泄露查詢方案Range Query，該方案采取隨機(jī)算法將具體的查詢內(nèi)容隱藏在一定的范圍中，能夠最大程度地降低隱私泄露的可能。文獻(xiàn)[60]利用隨機(jī)噪聲和隱私保護(hù)查詢（PIR）技術(shù)來解決DNS的隱私保護(hù)問題，文獻(xiàn)[61]進(jìn)一步對這 2種解決方案進(jìn)行了評估，評估結(jié)果表明，第一種方法的優(yōu)點(diǎn)是簡單易于實(shí)現(xiàn)，缺點(diǎn)是增加了延遲和帶寬。而第二種方法需要對 DNS協(xié)議的標(biāo)準(zhǔn)實(shí)現(xiàn)進(jìn)行修改，不具備兼容性。文獻(xiàn)[62]提出EncDNS，一種新穎的輕量級隱私保護(hù)名稱解析服務(wù)作為替代傳統(tǒng)的第三方解析器。EncDNS協(xié)議基于DNSCurve，將加密的消息封裝在符合標(biāo)準(zhǔn)的DNS消息中。通過利用常規(guī) DNS解析器向EncDNS服務(wù)器提供發(fā)送者匿名的事實(shí)來保護(hù)用戶隱私。與諸如混合或洋蔥路由的傳統(tǒng)隱私保護(hù)技術(shù)不同，傳統(tǒng)隱私保護(hù)技術(shù)由于多跳路由消息而引入相當(dāng)大的延遲，所以EncDNS架構(gòu)僅引入一個附加服務(wù)器實(shí)現(xiàn)對現(xiàn)實(shí)對手足夠級別的保護(hù)。文獻(xiàn)[63]提出了一個隱私保護(hù)DNS（PPDNS，privacy-preserving DNS），在域名解析過程中提供隱私保護(hù)。PPDNS采用分布式散列表來取代傳統(tǒng)的層次結(jié)構(gòu)，使用可計算隱私查詢方法（cPIR，computation PIR）。隱私查詢方法是指通過諸如同態(tài)變化的加密方式實(shí)現(xiàn)查詢信息對信息提供方保密的一種方法。

目前，解決DNS隱私保護(hù)的研究成果大多需要對現(xiàn)有DNS協(xié)議進(jìn)行改造和擴(kuò)充，不具備漸進(jìn)部署的能力。

3 技術(shù)挑戰(zhàn)

針對DNS系統(tǒng)存在的安全問題，雖然已經(jīng)涌現(xiàn)了大量的研究成果，但不斷發(fā)生的安全事件和新出現(xiàn)的攻擊行為表明DNS安全依然是一個亟待研究和解決的領(lǐng)域，基于對第2節(jié)的總結(jié)和分析，筆者認(rèn)為DNS安全的研究目前在行為分析、漸進(jìn)部署和開放系統(tǒng)等方面依然存在較多的技術(shù)挑戰(zhàn)。

3.1 行為分析

DNS系統(tǒng)在安全防護(hù)過程中，如何識別惡意行為依然是一個難點(diǎn)問題。現(xiàn)有關(guān)于DNS行為分析成果的研究大多通過流量監(jiān)測的方式，結(jié)合歷史經(jīng)驗(yàn)來判別已知的攻擊行為，對于惡意行為對DNS系統(tǒng)可能造成的危害缺乏量化分析的技術(shù)手段。導(dǎo)致這一技術(shù)難題的原因包括3個方面。

1) DNS系統(tǒng)是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施，為多種應(yīng)用提供支撐服務(wù)，用戶在解析域名過程中產(chǎn)生的DNS數(shù)據(jù)流具有多樣性、動態(tài)性和二義性等特點(diǎn)，因此，難以形成一組固定的具有普適性的評價標(biāo)準(zhǔn)。

2) 用戶發(fā)出的域名解析請求在到達(dá)域名服務(wù)器之前，往往會經(jīng)過很多中間的解析器，這些解析器往往對用戶不可見，因此解析路徑難以跟蹤。

3) DNS協(xié)議缺乏對檢測應(yīng)用行為的必要支持，如DNS協(xié)議不會記錄查詢請求在經(jīng)過每個解析器和域名服務(wù)器時進(jìn)行的處理動作。

3.2 漸進(jìn)部署

如何設(shè)計支持漸進(jìn)部署的解決方案，與現(xiàn)有DNS系統(tǒng)兼容運(yùn)行是DNS安全研究的一個關(guān)鍵問題。DNS系統(tǒng)在最初被設(shè)計時，沒有過多考慮安全性問題，經(jīng)過多年的發(fā)展已經(jīng)形成了一套規(guī)模龐大、結(jié)構(gòu)復(fù)雜的生態(tài)系統(tǒng)。在這種情況下，任何不符合 DNS協(xié)議規(guī)范的解決方案在實(shí)際部署時，都將面臨如何與老系統(tǒng)共生共存的問題。例如，DNSSEC基于公鑰密碼技術(shù)實(shí)現(xiàn)了資源記錄的完整性和真實(shí)性保護(hù)，能夠有效防止緩沖區(qū)投毒攻擊，是目前最完善的DNS安全解決方案。然而，由于掌握了DNS根區(qū)管理權(quán)和絕大多數(shù)根域名服務(wù)器都在美國，如果DNSSEC在全球范圍部署，這將導(dǎo)致互聯(lián)網(wǎng)關(guān)鍵資源控制權(quán)的嚴(yán)重不平等。另外，目前很多針對DNS安全增強(qiáng)的解決方案都需要修改DNS協(xié)議的實(shí)現(xiàn)，且無法和傳統(tǒng)的DNS系統(tǒng)兼容運(yùn)行，這也為研究成果的推廣造成了障礙。事實(shí)上，截至 2016年 12月，雖然DNSSEC在頂級域的部署率達(dá)到了89%，但是在二級域的部署率僅為3%[64]。

3.3 開放系統(tǒng)

如何有效管理和控制開放的DNS系統(tǒng)，使它們正常、安全地運(yùn)行，避免成為攻擊者的工具是DNS系統(tǒng)安全管理面臨的技術(shù)挑戰(zhàn)。在目前的互聯(lián)網(wǎng)環(huán)境中，存在大量的開放式 DNS服務(wù)提供商，這些DNS服務(wù)提供商的存在，提高了互聯(lián)網(wǎng)域名解析的響應(yīng)速度，但與此同時，由于這些DNS系統(tǒng)的服務(wù)器缺乏統(tǒng)一的安全管理規(guī)范和準(zhǔn)入控制機(jī)制，很容易被惡意攻擊者控制，發(fā)起放大攻擊、緩沖區(qū)投毒攻擊、拒絕服務(wù)攻擊等惡意行為。因此，如果規(guī)劃建成整個互聯(lián)網(wǎng) DNS系統(tǒng)的組成，在提高性能的同時，保證整體系統(tǒng)的安全性依然是迫切需要研究的問題。

4 結(jié)束語

DNS的安全運(yùn)行對互聯(lián)網(wǎng)的長期健康運(yùn)行具有舉足輕重的作用。本文從脆弱分析、安全增強(qiáng)、診斷監(jiān)控和隱私保護(hù)等方面對DNS安全的相關(guān)研究成果進(jìn)行了分析和總結(jié)，并且列舉了DNS安全研究中的一些具有挑戰(zhàn)性的問題，為進(jìn)一步的深入研究提供參考。

[1] BARNES R, SCHNEIER B, JENNINGS C, et al. Confidentiality in the face of pervasive surveillance: a threat model and problem statement[S]. IETF RFC 7624, 2015.

[2] 王垚, 胡銘曾, 李斌, 等. 域名系統(tǒng)安全研究綜述[J]. 通信學(xué)報, 2007, 28(9): 91-103. WANG Y, HU M, LI B, et al. Survey on domain name system security[J]. Journal on Communications, 2007, 28(9): 91-103.

[3] 單既如, 羅萬明. 互聯(lián)網(wǎng)域名系統(tǒng)安全管理的現(xiàn)狀及研究進(jìn)展[J]. 數(shù)據(jù)通信, 2009, 2009(2): 17-19. SHAN J, LUO W. The present situation and research progress of internet domain name system security management[J]. Data Communications, 2009, 2009(2): 17-19.

[4] 柳青, 我國互聯(lián)網(wǎng)域名系統(tǒng)的安全問題[J], 現(xiàn)代電信科技, 2010, 2010(4):9-11. LIU Q. The security issues of Chinese DNS[J]. Modern Science & Technology of Telecommunications, 2010, 2010(4):9-11.

[5] MOCKAPETRIS P. Domain names concepts and facilities[S]. IETF RFC 1034, 1987,11.

[6] DNS RFC [EB/OL]. https://www.isc.org/community/rfcs/dns/.

[7] DNS Ecosystem[EB/OL]. https://www.nsrc.org/workshops/ 2016/ nsrc-nicsn-aftld-iroc/documents/prezo/DNS_Org.pdf.

[8] LEVINE J. DNS blacklists and whitelists[S]. IETF RFC 5782, 2010.

[9] LEIGHTON T. Improving performance on the Internet[J]. Commu-nications of the ACM, 2009, 52(2):44-51.

[10] 2016 Dyn cyberattack[EB/OL]. https://en.wikipedia.org/wiki/2016_ Dyn_cyberattack.

[11] Turkey DNS[EB/OL]. https://blog.radware.com/security/2015/12/ turkey-dns-servers-under-attack/.

[12] China DNS[EB/OL]. http://www.scmp.com/news/china/article/1410423/ major-internet-outage-hits-millions-china-cyberattacks-suspected.

[13] Chinese CN[EB/OL]. http://www.computerworld.com/article/2484097/ internet/major-ddos-attacks--cn-domain--disrupts-internet-in-china.html.

[14] ATKINS D. Threats analysis of the domain name system (dns)[S]. IETF RFC 3833, 2004.

[15] DNS threat analysis[EB/OL]. https://www.nlnetlabs.nl/downloads/ se-consult.pdf.

[16] Towards improving DNS security, stability, and resiliency[EB/OL]. https://www.internetsociety.org/sites/default/files/bp-dnsresiliency-201201-en_0.pdf .

[17] SCHOMP K, CALLAHAN T, RABINOVICH M, et al. Assessing DNS vulnerability to record injection[C]//The International Conference on Passive and Active Measurement. 2014:214-223.

[18] Black Ops 2008: It’s the end of the cache as we know it[EB/OL]. https://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Kamins ky/BlackHat-Japan-08-Kaminsky-DNS08-BlackOps.pdf.

[19] DAGON D, PROVOS N, LEE C, et al. Corrupted DNS resolution paths: the rise of a malicious resolution authority[C]//The Network and Distributed System Security Symposium(NDSS 2008). 2008.

[20] XU K, BUTLER P, SAHA S, et al. DNS for massive-scale command and control[J]. IEEE TDSC, 2013, 10(3):143-153.

[21] MOHAISEN A. Evaluation of privacy for DNS private exchange[S]. IETF Internet Draft, 2015-05.

[22] BORTZMEYER S. DNS privacy considerations[S]. IETF RFC7626, 2015.

[23] ROSSEBO J, CADZOW S, SIJBEN P, et al. A threat, vulnerability and risk assessment method and tool for europe[C]//The International Conference on Availability, Reliability and Security. 2007:925-933.

[24] KONINGS B, BACHMAIER C, SCHAUB F, et al. Device names in the wild: Investigating privacy risks of zero configuration networking[C]//The International Conference on Mobile Data Management. 2013:51-56.

[25] KRISHNAN S, MONROSE F. DNS prefetching and its privacy implications: when good things go bad[C]//The 3rd USENIX Conference on Large-scale Exploits and Emergent Threats: Botnets, Spyware, Worms, and More. 2010:10.

[26] BANSE C, Herrmann D, FEDERRATH H. Tracking users on the Internet with behavioral patterns: evaluation of its practical feasibility[M]//Information Security and Privacy Research. Berlin Heidelberg: Springer, 2012:235-248.

[27] OpenDNS[EB/OL]. http://www.opendns.com/technology.

[28] Google Public DNS[EB/OL]. https://developers.google.com/speed/ public-dns/docs/performance.

[29] SCHOMP K, CALLAHAN T, RABINOVICH M, et al. On measuring the client-side DNS infrastructure[C]//The Conference on Internet Measurement Conference. 2013:77-90.

[30] PANG J, AKELLA A, SHAIKH A, et al. On the Responsiveness of DNS-based Network Control[C]//The 4th ACM Sigcomm Conference on Internet Measurement 2004. 2004:21-26.

[31] CALLAHAN T, ALLMAN M, RABINOVICH M. On modern DNS behavior and properties[J]. ACM Sigcomm Computer Communication Review, 2013, 43(3):7-15.

[32] SHULMAN H, WAIDNER M. Towards security of Internet naming infrastructure[C]//Computer Security-ESORICS 2015. 2015.

[33] ATENIESE G, MANGARD S. A new approach to DNS security (DNSSEC)[C]//The 8th ACM conference on Computer and Communications Security. 2001:86-95.

[34] BAU J, MITCHELL J. A security evaluation of DNSSEC with NSEC3[C]//Network and Distributed System Security Symposium(NDSS 2010). 2010.

[35] VantioTM AuthServe. Authoritative DNS [EB/OL]. http://www. nominum.com/product/vantio-authserve/.

[36] ICANN Research[EB/OL]. http://stats.research.icann.org/dns/tld_ report/.

[37] HERZBERG A, SHULMAN H. DNSSEC: security and availability challenges[C]//Communications and Network Security. 2013: 365-366.

[38] LIAN W, RESCORLA E, SHACHAM H, et al. Measuring the practical impact of DNSSEC deployment[C]//USENIX Security 2013. 2013: 573-588.

[39] US-CERT[EB/OL].https://www.us-cert.gov/ncas/alerts/TA13-088A.

[40] ZHU L, HU Z, HEIDEMANN J, et al. Connection-oriented DNS to improve privacy and security[C]//ACM Conference on Sigcomm. 2015:379-380.

[41] HU Z, ZHU L. HEIDEMANN J, et al. DNS over TLS: initiation and performance considerations[S]. IETF Internet Draft, 2015.

[42] REDDY T, WING , PATIL P. DNS over DTLS (DNSoD)[S]. IETF Internet Draft, 2015.

[43] RESCORLA E. Datagram transport layer security version 1.2[S]. IETF RFC6347, 2012.

[44] SHULMAN H. Pretty bad privacy: pitfalls of DNS encryption[C]//The Workshop on Privacy in the Electronic Society. 2014:191-200.

[45] DAGON D, ANTONAKAKIS M, VIXIE P, et al. Increased DNS forgery resistance through 0x20-bit encoding[C]//ACM CCS’08. 2008:211-222.

[46] HERZBERG A, SHULMAN H. DNS authentication as a service: preventing amplification attacks[C]//ACM ACSAC’14. 2014: 356-365.

[47] SCHOMP K, ALLMAN M, RABINOVICH M. DNS resolvers considered harmful[C]//ACM Workshop on HotNets. 2014:1-7.

[48] SCAIFE N, CARTER H, TRAYNOR P. OnionDNS: a seizure-resistant top-level domain[C]//Communications and Network Security. 2015:379-387.

[49] ANTONAKAKIS M, PERDISCI R, LEE W, et al. Detecting malware domains at the upper DNS hierarchy[C]//The 20th USENIX Conference on Security. 2011:21-27.

[50] GAO H, YEGNESWARAN V, CHEN Y, et al. An empirical reexamination of global DNS behavior[J]. ACM Sigcomm Computer Communication Review, 2013, 43(4):267-278.

[51] HAO S, FEAMSTER N, PANDRANGI R. Monitoring the initial DNS behavior of malicious domains[C]//ACM Sigcomm Conference on Internet Measurement. 2011:269-278.

[52] YADAV S, REDDY A, RANJAN S, et al. Detecting algorithmically generated malicious domain names[C]//ACM Sigcomm Conference on Internet Measurement 2010. 2010:48-61.

[53] PERDISCI R, CORONA I, GIACINTO G. Early detection of malicious flux networks via large-scale passive DNS traffic analysis[J]. IEEE Transactions on Dependable and Secure Computing, 2012, 9(5): 714-726.

[54] SCHOMP K, RABINOVICH M, ALLMAN M. Towards a model of DNS client behavior[C]//PAM 2016. 2016:263-275.

[55] JONES B, FEAMSTER N, PAXSON V, et al. Detecting DNS root manipulation[M]//Passive and Active Measurement. Berlin: Springer. 2016.

[56] LUO P, TORRES R, ZHANG Z, et al. Leveraging client-side DNS failure patterns to identify malicious behaviors[C]// Communications and Network Security. 2015:406-414.

[57] BILGE L, KIRDA E, KRUEGEL C, et al. EXPOSURE: Finding malicious domains using passive DNS analysis[C]//The Network and Distributed System Security Symposium(NDSS 2011). 2011.

[58] ANTONAKAKIS M, PERDISCI R, DAGON D, et al. Building a dynamic reputation system for DNS[C]//Usenix Security. 2010: 18-36.

[59] ZHAO F, HORI Y, SAKURAI K. Analysis of privacy disclosure in DNS query[C]//The International Conference on Multimedia and Ubiquitous Engineering. 2007:952-957.

[60] ZHAO F, HORI Y, SAKURAI K. Two-servers PIR based DNS query scheme with privacy-preserving[C]//IEEE International Conference on Intelligent Pervasive Computing. 2007: 299-302.

[61] CASTILLO-PEREZ S, GARCIA-ALFRO J. Evaluation of two privacy preserving protocols for the DNS[C]//The International Conference on Information Technology: New Generations. 2009: 411-416.

[62] HERRMANN D, FUCHS K, LINDEMANN J, et al. EncDNS: a lightweight privacy-preserving name resolution service[C]// Computer Security-ESORICS 2014. 2014:37-55.

[63] LU Y, TSUDIK G. Towards plugging privacy leaks in the domain name system[C]//IEEE 10th International Conference on Peer-to-Peer Computing. 2010:1-10.

[64] DNSSEC deployment report[EB/OL]. http://rick.eng.br/dnssecstat/.

Issues and challenges of Internet DNS security

HU Ning1, DENG Wen-ping1, YAO Su2
(1. School of Computer, National University of Defense Technology, Changsha 410073, China; 2. School of Electronics and Information Engineering, Beijing Jiaotong University, Beijing 100044, China)

The domain name system is a critical component of the Internet infrastructure, which maps host names to IP ad-dresses and is involved in most Internet transactions. DNS security has a profound effect on the overall security of Internet and it is also a vital research content of Internet security. In order to improve the security capability of DNS, many enhanced protocols, monitoring mechanisms and best practices were proposed. But recent DNS attack events indicate there are still many recent major research challenges of DNS security problems. The existing achievements and challenges were summarized and discussed, which included security enhanced, behavior monitoring and privacy protection.

DNS security, DNS monitor, DNS privacy reserve, Internet security

TP393

A

10.11959/j.issn.2096-109x.2017.00154

胡寧（1972-），男，湖南長沙人，博士，國防科技大學(xué)研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、計算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)、網(wǎng)絡(luò)管理技術(shù)。

鄧文平（1981-），男，湖南耒陽人，博士，國防科技大學(xué)助理研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、計算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)、高性能路由與交換技術(shù)。

姚蘇（1986-），男，安徽舒城人，北京交通大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)用技術(shù)。

2016-12-15；

2017-01-28。通信作者：胡寧，huning@nudt.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.61202486）

Foundation Item: The National Natural Science Foundation of China (No.61202486)