ICANN:推进域名系统安全扩展(DNSSEC) 提升域名安全

网络域名管理者互联网名称与数字地址分配机构（ICANN）近日发布消息称，DNS基础设施的关键部分存在持续且重大的安全更新。ICANN通过域名系统（DNS）来监督管理全球的互联网通信地址，系统将用户在浏览器中输入的地址转换成为唯一的数字地址，从而让用户访问对应的网站。不过ICANN本周五发布公告称，DNS基础设施正成为“恶意活动”的攻击目标。

针对此类DNS攻击，ICANN呼吁全面部署“域名系统安全扩展”（DNSSEC）。 DNSSEC是一种对数据进行数字“签名”的有效技术，可以阻止受害者重定向至恶意网站。通过部署DNSSEC，可以有效阻止“中间人”攻击方式。通过这种攻击方式，欺诈者可以将受害者重定向至精心制作的虚假网站，并诱骗他们提供登录凭证、付款信息以及其他个人信息。

虽然ICANN承认他们提出的解决方案（包括全面部署DESSEC）无法解决所有互联网的安全问题，但应该可以有效降低网络安全风险。不过目前DESSEC的部署情况并不乐观，财富1000强企业中DNSSEC的使用量低至3％。虽然这个数字现在增加到20％，但距离全面部署仍有很长的路要走。

什么是DNSSEC

随着互联网应用的不断深化，DNS已然成为网络攻击的热点目标，典型攻击包括DDoS攻击、放大攻击、递归攻击、缓存投毒、修改域名注册信息、隧道攻击、资源锁定攻击等，越来越多的基于DNS的攻击已经严重影响到用户的网络安全，使用户的数据、资产和信誉都处于风险之中。

以缓存投毒（Cache Poisoning）为例，通过向DNS服务器的本地缓存中注入非法数据，将用户正常的域名访问请求引导至攻击者服务器，而黑客将在 DNS 系统中发现的漏洞（如漏洞VU#800113）与技术进步相结合，大大缩短了劫持DNS 查找过程的任一步骤所需的时间，从而可以更快地取得对会话的控制以实施某种恶意操作（如将用户引导至恶意网站等），若要在技术上消除这样的安全隐患，一个有效的解决方案是以端到端的形式部署一种称为 DNS 安全扩展 (DNS Security Extensions, DNSSEC) 的安全协议。

DNSSEC是将一个特殊签名添加到root、TLD和授权名字服务器，从而为该区域建立一条信任链。DNSSEC能使区域确保DNS请求的应答没有被篡改，简言之，DNSSEC是通过将公钥密码系统引入DNS的层次结构，从而为域名系统生成一个开放的全球公钥基础设施（PKI），以此提高DNS的安全性。