时代互联域名解析生效好慢_勿忘域名安全，筑牢网络根基的第一道防线

2009年5月19日晚19点左右，很多人上网时发现新浪、搜狐、网易等各大门户网站无法访问！一石激起千层浪。 19日至20日两天，全国多省份出现大面积网络瘫痪。经调查发现，这是由于某知名音视频软件的设计缺陷以及免费智能DNS软件的鲁棒性不强，导致DDoS攻击有机可乘。今天，当我们回顾“519断网事件”时，最引人深思的并不是人们已经习以为常的网络攻击，而是网络攻击的目标域名解析系统的漏洞。

“网络安全为了人民，网络安全取决于人民。”当我们思考2023年国家网络安全宣传周的主题时，我们是否也会扪心自问，域名系统作为网络安全的第一门户，其安全是否得到了足够的重视？要注意什么？如何更好地保护域名系统的安全？

攻击猛如猛虎

互联网关键基础资源安全不容忽视

“互联网+”时代，勒索软件、网络诈骗、信息泄露等安全威胁和风险无处不在、无孔不入。 “域名是互联网的入口，是流量的导航灯塔，保护入口的安全对于维护网络安全具有重要意义。”互联网域名系统（ZDNS）国家地方联合工程研究中心首席执行官邢志杰说。

邢志杰，互联网域名系统（ZDNS）国家地方联合工程研究中心首席执行官

网络安全风险产生的根源是什么？让我们剥开茧，逐层拆解互联网的三层架构体系（物理设施层、基础资源层、应用层）：最底层的物理设施层包括基础网络、传输设备、互联设备、接入系统等构成了我们常说的信息高速公路；最上层应用层包括互联网的各种应用，如电子商务、电子政务、网络游戏、视频通讯等，就像高速公路上飞驰的汽车一样；在这两层之间还有一个基础资源层，包括域名系统和路由系统。域名系统就像交通中的导航系统。一旦互联网导航系统出现故障，断网将不可避免。由于根服务器、顶级域名等互联网关键基础设施都在这一层，因此人们习惯将这一层比作“网络基础”。

关于物理设施和上层应用，业界已经讲了很多，这里不再赘述。相反，它是基础资源层，因为它“有形无形”，人们在访问互联网时已经将其视为理所当然。有时候，只需点击一下鼠标或者输入一个简单的URL，在线应用就可以触手可及，谁会去关注其背后的DNS（域名系统）的安全风险呢？

“基础资源层的DNS相对‘隐形’，就像互联网世界的‘空气和水’一样，用户平时基本意识不到它的存在，只有出现问题时才会警觉。 ‘519停电’网络事件影响恶劣，会刺痛人们的神经。”邢志杰分析，域名这样重要的基础网络资源，整体安全状况不容乐观。

深挖根源，从国家层面来看，DNS面临“斩根”、“断服务”、“断供给”三大挑战。所谓“断根”，是指关闭国家顶级域名，拒绝中国用户访问根服务器； “切断服务”是指通过顶级域名管理权阻断中国机构域名的全球互联； “断供”是指停止向我国提供域名基础软件和设备。

目前的情况是，全球有13个根服务器，主要分布在美国、欧洲等国家和地区。目前国内仅部署镜像根服务器。全球约有1500个顶级域名，其中在中国拥有管理权的不到3%。虽然我国运行域名系统的软件和设备有数千万套，但90%以上使用国外域名软件。由于国际形势变幻莫测，“斩草除根”、“断服”、“断供”并非危言耸听。 DNS 面临的安全挑战无法回避。中国需要更安全的网络基础。

从企业和组织层面来看，当前如火如荼的数字化转型需要更加安全的网络基础作为前提和基础。一方面，企业和组织内部越来越多的数据转移到线上；另一方面，为用户提供的服务也是在线上实现的。如果没有安全的网络基础，这些网络上的数据、应用程序和业务将陷入困境。

从个人用户来看，电信诈骗、恶意程序、各类钓鱼事件等保持快速增长。与此同时，黑客攻击和大规模个人信息泄露事件频发，导致大量个人信息泄露，财产损失不断加大。发布的《2023年度身份暴露报告》显示，2022年，共有7.215亿个账户信息在重大安全事件中被发现泄露，全球超过2200万台设备感染恶意软件。

众多事实证明，只有守住DNS安全线，建立全面、系统的保护机制和措施，才能保证网络访问的长期稳定。

先天的脆弱性和后天的缺陷

谁能承担起DNS安全的责任？

对于DNS来说，重要性和脆弱性并存。从近年来网络攻击的趋势来看，针对DNS的攻击呈上升趋势。统计显示：DNS DDoS攻击占攻击总数的33%；近91.3%的恶意软件被发现以DNS为主要手段；近68%的企业缺乏对递归DNS服务器有效的安全监控措施； DNS作为隐蔽通道，在攻击链的多个环节都可以被攻击者利用……可见，加强DNS的安全防护刻不容缓。

总体而言，域名安全是整个网络安全的短板。为什么传统DNS的安全基础如此薄弱？邢志杰给出了如下解释。

首先，DNS协议简单，易于掌握，相当于降低了攻击的门槛。诞生于1983年的DNS协议在设计之初并没有充分考虑数据安全问题。它采用无源认证机制，采用明文传输，缺乏完整性和保密性验证。因此，随着网络规模的爆发式增长和网络环境的不断恶化，DNS极易受到缓存中毒、信息拦截、域名劫持等各种攻击，为用户隐私数据的泄露打开了“天窗”。

其次，攻击成本低，但收益却非常高。针对 DNS 的攻击工具的开发和触发非常简单。一旦获得，由于处于网络的“入口”，攻击效果非常明显，让攻击者轻松获得巨额利润，因此攻击者趋之若鹜。

最后，DNS还没有建立有针对性的防御体系。传统的安全防护手段（如防火墙、IPS、上网行为管理等）无法全面有效地防御针对DNS的各种攻击。而且，他们缺乏有效的DNS威胁检测方法，无法及时发现域名滥用等情况。

从实际来看，一旦DNS出现安全问题，基本上会引发大规模的网络问题，甚至成为国家安全问题。国内外已经发生多起DNS被攻击导致域名解析异常、网络服务中断甚至完全瘫痪的案例。针对这一情况，ZDNS率先提出“下一代DNS”愿景，将安全放在第一位，致力于打造“更安全、更高效、更智能、自主可控”的下一代DNS ”推动网络基础设施安全高效持续演进。

安全第一

构建下一代 DNS

专业的人做专业的事。从公司成立到商业运营到现在，ZDNS已经走过了十年的风雨历程，组织了近400人的团队。这样的规模在全球DNS领域是首屈一指的。 ZDNS始终将技术创新视为公司的立身之本。针对DNS在安全方面的不足和不足，ZDNS从加密、威胁情报、人工智能技术三个维度将安全技术与DNS技术深度融合，引领下一代DNS的发展。

首先，ZDNS结合加密技术，实现了DNS的安全传输和分发同步。通过DOH、DOT等技术，突破了UDP传输协议的限制，提高了传统DNS系统的传输安全性和可控性。

其次，结合威胁情报技术，ZDNS构建了安全威胁“预测、防御、检测、溯源”能力闭环，在“入口层”拦截恶意程序、钓鱼网站等威胁，溯源溯源终端。 ZDNS通过威胁检测、安全基线、威胁拦截、事件追溯等技术，实现态势可视、主动处理、快速溯源，变被动防护为主动识别防护。

最后，ZDNS充分利用深度学习和大数据技术，实现攻击特征的发现和检测，防范DNS隧道，防范数据泄露风险；同时能够有效识别和防范DDoS攻击，保证服务可靠性；通过DNS隧道、DGA、域名窥探防护等技术，阻断利用DNS的安全渗透，避免数据泄露等安全事件。

基于以上三大安全策略，ZDNS构建了更加安全的下一代DNS，也为下一代DNS打造了传输可靠、威胁拦​​截、服务可靠的安全体系。截至目前，ZDNS已为国内80%以上的金融机构提供数据中心应用多活容灾调度解决方案，提升业务容灾能力；已为中国500强企业70%以上的客户提供系统的基础网络设施服务。解决方案打造高效、智能、敏捷、安全的核心网服务平台；为68%的政务客户提供自主可控、智能高效的基础网络服务，满足集约共享、安全可控、灵活智能的需求……

安全的三大基石

建立坚实的网络基础

在国家层面，我国高度重视DNS发展安全，相关政策文件对DNS安全提出了明确具体的要求。例如，《国家信息化“十三五”规划》（国发[2016]73号）提出“在根、关键顶级域名服务系统建设时，保障我国大陆域名服务系统正常运行”。 ”和“加强安全监管，以综合防护技术手段为支撑，提高我国域名系统的网络安全和应急响应能力。”工业和信息化部在《信息通信产业发展“十四五”规划》和《软件和信息技术服务业发展“十四五”规划》中也指出，“全面加强互联网基础管理，加强网络寻址管理，有序引进互联网域名根镜像服务器。 “着力提升大规模网络攻击防御能力，强化公共域名服务安全，保障能力建设，防范和遏制重大网络安全事件。”这也为DNS未来的安全演进指明了方向和路径。

顺应行业发展和客户需求，ZDNS倡导从系统安全、架构安全、核心安全三个维度不断夯实域名服务的安全基础。

在系统安全建设方面，核心工作是规范域名空间的使用，控制域名空间的使用和域名服务状态的变化；实现对DNS服务的观察、理解和预测，精准指导域名安全保护管理。上述工作的前提和核心是建立相关行业标准。目前，ZDNS本身已牵头制定了5项IETF国际标准和20项国内行业标准。总部及子公司已申请专利100余项，已获授权46项。在不断完善的行业标准引导下，系统安全建设已落到实处。

为了保证架构的安全，需要实现人机分离、内外分离、权限与递归分离、AD业务分离、业务与管理分离。只有实现网络基础设施的生态融合，才能实现上述应用效果。

保障核心安全，需要实现分析引擎技术自主可控，规避重大风险。这就需要投入更多的技术研发工作者，同时加强域名等网络基础技术的研发，为网络打下坚实的基础。

安全是必须遵守的底线。通过自主技术、国密算法、威胁管控、数据可信、隐私保护等实现域名解析安全，同时与操作系统、芯片等基础设施无缝对接，共同打造域名解析安全。自主可控的网络基础，为数字中国建设提供强大的网络、可靠的支撑，这是时代赋予DNS企业的历史使命。