不想「打破網際網路」?你需要更安全的DNS

2021-09-23 12:16:31 字數 2346 閱讀 7001

網際網路是否容易受到災難性攻擊?網路攻擊或dns故障是否可破壞大部分網際網路?

paul mockapetris:從理論上說,是這樣。從歷史上來看,也是如此。

與所有人類發明一樣,網際網路反反覆覆使用了關鍵技術和理念。如果其中一種技術出現故障或者存在可被利用的漏洞,那麼,使用該特定技術的任何裝置都可能出現故障或被控制。這個技術可能是乙個協議—對完善協議的不完善部署,例如網域名稱系統或邊界閘道器協議(bgp),或者因為錯誤理解或懶惰,所有人都選擇同一質數。

由於每台計算機裝置都在用dns,dns故障理論上就是災難性的故障。而bgp故障可能讓所有路由器「崩潰」,或者阻止使用者與服務通訊或與其自身isp(網際網路服務提供商)之外的使用者通訊。但更可能發生的事情是,特定的部署成為問題,例如我們在heartbleed事故中看到的:安全協議的特定部署讓所有使用該協議的伺服器面臨風險。

這會給我們帶來什麼後果?在未來,由於漏洞或黑客攻擊,我們可能會看到大部分網際網路遭到破壞。

如果在「大玩家」之間爆發網路戰爭,我們會看到很多漏洞被同時利用,而網際網路將會崩潰很長一段時間。

我們如何打造更安全的dns和網際網路?

mockapetris:安全需要時間、金錢,還會帶來不便利。我有三個建議:安全自動化、應用之間隔離以及法律責任。

人們會購買防火牆、路由器和電子郵件伺服器,用來阻止可疑流量。但是,通常情況下,他們不會配置這些裝置,或者只是偶爾手動配置它們。在這裡,更好的方法是部署自動化服務來根據以下資訊配置它們:可用的公共威脅資訊、專有資料和使用者的具體情況。向安全產品實時提供這些資訊,不要矇騙你的安全衛士。當然,你不一定需要自己構建這種自動化服務:很多**商都提供這種安全即服務。

我們都知道,通過應用共享資訊非常方便,但這通常並不安全。當然,我們很難讓人們對便利性說不,不過,我還是會在受保護的虛擬機器內執行我的網上銀行應用。這就是說,我們可以提供這些保護機制,我們應該讓那些想要更高安全性的人這樣做。

**商會優先考慮市場份額和功能開發,而不是安全性,這裡必須有乙個法律強制的平衡。

你曾說過,網際網路需要通過結合身份驗證與某種聲譽系統來改進命名,我們正在朝著這個方向發展嗎?

mockapetris:這裡的答案有兩部分。

30多年前,dns首次亮相,雖然它已經有所發展,但我認為還有很多發展空間。例如,我們可以實現瞬間建立新資料型別,通過在dns本身描述它們。我們還可以提高根系統的可靠性,分發根資料的簽名副本,而不是保護根伺服器抵禦日益增加的分布式拒絕服務(ddos)攻擊。我們可以新增訪問控制來更好地保護敏感資訊。正如dnssec提供的身份驗證讓我們可以使用dns用於更敏感的應用,這些功能可帶來新的dns應用。

網際網路安全是我們現在面臨的重大挑戰之一:iot、雲計算、大資料和雲聯合都帶來挑戰。由於dns會接觸每個計算裝置並在近實時執行,它是收集和分發安全資訊的理想載體。但新功能會讓它更加強大。

iot將如何影響dns?

mockapetris:到目前為止,dns已經被用於在10億裝置註冊,在未來這個資料可能會是1000億或萬億。但規模並不是這裡唯一的問題:iot需要受控制的資訊共享。

我可能會高興地讓別人檢視我室外的溫度計,但我可不想讓所有人都能監控我的家用裝置以及知道我是否在家。我喜歡採用rfid(射頻識別)標籤的產品概念,這樣我總是能找到事物,但當我在商店購買新的東西時,我可能會想改寫rfid標籤,這樣標籤就只對我有用。

如果dns是iot的關鍵技術,那麼,它還需要新的功能來讓這種受控制的共享成為可能。它還需要適當的部署以供家庭使用;現在的dns伺服器主要是針對高階使用者的需求。

我們有哪些方法來改進當前的技術以實現更安全的dns?

mockapetris:很多人在研究如何對付ddos攻擊。這非常重要,我認為需要考慮三個重要方面:

為所有想要網域名稱的人免費提供網域名稱,這可能不是新的tld(頂級網域名稱),但可能是新的.freetld tld下面的網域名稱。

自動化協調網域名稱之間的資料,也許通過區塊鏈技術,從而降低對人工干預的需要。

允許建立新的rrtypes;例如特設資料型別,通過dns本身內儲存的規格。使用dns問題部分多個條目建立更強大的查詢。

所有這些功能必須解決實際問題。我認為我們面臨的重要問題都需要受控制的共享,或對iot或其他未來應用的真正訪問控制。

你對所有新頂級網域名稱有什麼看法?喜歡?不喜歡?

mockapetris:我喜歡試驗,所以20年前我會在推向市場前嘗試少量新的tld,並且,現在的法律問題變得非常重要,而我們終於有了新的tld,這是很棒的事情。

我不認為這會有任何長期的危害,但我確定現有軟體和做法中存在很多漏洞需要解決。有人說我們已經讓攻擊者可很容易地獲得網域名稱或自己的tld,但我們需要處理這種可能性。

這裡是否有好處呢?現在有很多人想要tld來識別自己是某個社群的一部分,無論是巴黎或柏林的居民、某個行業的成員或者其他身份。我們很容易低估這一願望。

我認為還需要十年左右的時間,我們才可以清晰地分辨好和壞的新tld,當然,這只是我個人的意見。

不想「打破網際網路」?你需要更安全的DNS

網際網路是否容易受到災難性攻擊?網路攻擊或dns故障是否可破壞大部分網際網路?paul mockapetris 從理論上說,是這樣。從歷史上來看,也是如此。與所有人類發明一樣,網際網路反反覆覆使用了關鍵技術和理念。如果其中一種技術出現故障或者存在可被利用的漏洞,那麼,使用該特定技術的任何裝置都可能出...

網際網路你需要了解的

一些自己的感悟,之前自己太不努力了,現在開始努力學習,將一些感悟體會,學習到的分享出來 之前一直沒有理解,只是侷限於web的前後端,原來ios和android開發其實就像是web的前端一樣,頁面的跳轉,彈窗,提示,展示 前端是使用者直接去使用的,感官很強,會有一些簡單的處理,但是其實主要還是介面流暢...

網際網路與網際網路的區別

網際網路的英文單詞是 internet,網際網路的英文單詞是 internet。在英語中,專有名詞首字母都是大寫,用於特指某一事物。大寫的 internet 是作為乙個專有名詞出現的,所指的是由阿帕網發展而來的現如今全球最大的計算機網路,稱之為網際網路。小寫 internet 是作為乙個普通單詞出現...