是谁以及为谁提供如此(异常)大规模及动态变化的公共递归域名解析服务?
换句话说,镜像的域名根服务器的响应和服务是被动的(依赖于递归域名解析服务),在开放的域名空间入口,有多少有效的域名查询请求会指向镜像的域名根服务器,完全未知;因而其采集(和存储)的是不完整和不确定数据,故其作为应急备份也是盲目的!那么,为“公共”服务的动机和意图又是什么?
事实 4:基于域名解析的层次化结构,镜像的域名根服务器没有指挥和控制的能力
域名根服务器的应用功能是,按根区文件把接收到的域名查询请求,推送(referral)到顶级域名服务器(图 1)。
根据中国信息通信研究院的报告(信通院 2020-6),截至 2019 年 12 月,我国域名注册市场规模为 5,108.8 万个,其中,国家顶级域“.CN”域名 2,300 万个;“.COM”域名 1,566 万个;合计占我国域名市场的 75.7%。活跃域名数量分布:
从图 5 可见,我国活跃域名的解析超过 91% 依赖于境外服务。其中,运营顶级域名“.COM、.NET、.CC、.TV、.NAME”的 Verisign 公司,也是管理域名 A 根和 J 根的运营商,并且是作为美国国家电信和信息管理局(NTIA)管理域名空间的合约代理商。
这就是说,在应急响应时,镜像的域名根服务器不得不把绝大多数接收到的有效域名查询请求,“推送”到境外的顶级域名服务器(如 .COM)。显然,假设境外的域名根服务器对中国“断服”了,而顶级域名服务器却仍然提供对中国的“服务”,怎么可能?近乎荒谬。
所以,镜像的域名根服务器没有实用性和实战性!
事实 5:基于经验和教训以及现状,镜像的域名根服务器受制于服务系统软件
据了解,中国大陆的域名系统服务软件以采用开源和免费的模式为主,包括以“自研代码”包围“开源代码”的“马甲”式二次开发。
最近,Solarwinds 网管软件被认为遭到“供应链攻击”,迫使全球各国重新认识在网信安全领域中的“供应链安全”。虽然“供应链”的表面形式是有形的物(包括技术),但是其本质和实质是人的因素(包括政治和意识形态使然)。
以开源和免费的 DNS 软件 BIND 为例。2000 年由美国国土安全部资助开发的 BIND 版本 9(BIND9),从 2004 年 1 月 28 日的第一个版本(BIND 9.0.0)到 2020 年 9 月 17 日(BIND 9.17.5),共计发布了 634 个版本,其中 2020 年(至 9 月 17 日)发布了 15 个版本。
BIND 软件版本的生命周期一般为 1 年。但是,已知国内有相当多的单位和企业仍然在使用已被废弃的BIND软件版本,甚至所使用的 BIND 软件(数年前)版本号仍在网络中裸露着。
另一方面,BIND 软件版本不断地被发现高危的安全漏洞,仅 2019 年公开发布的漏洞补丁(CVE)就是 17 个,不包括一般性的代码错误。如果没有及时下载补丁,等同于开放被入侵的大门。但是,投入和花费资源维护“免费”DNS 软件的单位和企业却并不多见。必要和必须的技术、行政、执法监管普遍不及时、不完善、不严谨或原本就不落实。
尤其是,并不能排除软件中固有的“暗桩”、尚未公开的漏洞,或在下载开源软件的过程中被植入或夹带了病毒。在这样的域名应用和服务环境中,镜像的域名根服务器怎么可能“独善其身”!
综上,从知彼(和对标)的角度,2014 年 7 月,美国国家安全局(NSA)发起了“安全的科学”(简称 SOS)计划,持续至今。SOS 计划明确界定:网信安全领域是一门新兴的、跨学科的、整体的知识体系,旨在作为一项持续发展的长期研究工作。因此,(网信)“安全的科学”既没有唯一的路径,也没有任何捷径。
科学是证伪的过程。所述的五个事实都可以充分证明,镜像的域名根服务器,不能也无法应对潜在的“断服”(或“断网”)风险。重新审视应对“断服”(“断网”)的方案和措施,对于坚持维护国家主权、安全、发展利益十分迫切、至关重要。
悖逆科学事实和常识的“镜像替代”论,“早有准备”和“不用担心”说,当休矣!
(作者:邱实,网络信息安全和工程技术专家;牟承晋,中国移动通信联合会国际战略研究中心主任,昆仑策研究院高级研究员,浙江省北斗未来网际网络空间研究院首席研究员。来源:昆仑策网)
