2015-《域名信任体系-段海新》

网络空间的信任模型：现状与挑战之——DNS信任体系段海新，清华大学阿里安全峰会2015，北京提纲 •  •  •  •  网络空间和信任根 DNS信任体系的攻击面 ICANN和DNSSEC 总结网络空间（Cyberspace） •  通过互联网和计算机进行通信、控制和信息共享的虚拟空间 •  网络空间里没有明确的、固定的边界，也没有集中的控制权威 -‐-‐《网络空间安全一级学科论证报告》，2015年5月信任（Trust） •  相信某人（组织）或某物： – 真实（Truth） – 可靠（Reliability） – 有能力（Ability）或有强度（Strength） Firm belief in the reliability, truth, ability, or strength of someone or something-oxford dictionary Trust Fall 信任举例：网上购物告诉我服务在哪里？证明这真的是淘宝软件／硬件购物网站、支付平台信任根（Trust Anchors） •  域名服务系统（DNS） –  IP地址：你在哪里？ –  真实：不能给出假的、错误的地址 –  可靠：运营者必须诚实，不能故意造假 –  强壮：在受攻击的情况下仍可以工作　 •  公钥证书权威（CerAﬁcate Authority, CA） –  身份认证：怎么证明你的身份？ –  互联网保密、完整性通信的前提条件 –  对CA的真实、可靠、强壮要求更高 DNS和CA的信任模型 DNS : 树形结构 CA：森林结构你的浏览器信任多少个 CA? 提纲 •  •  •  •  网络空间和信任根 DNS信任体系的攻击面 ICANN和DNSSEC 总结 DNS工作过程客户端：递归/缓存 –  Cache, Recursive UDP 权威服务器（AuthoritaAve），Root, TLD, … . u.cn d e . a u ingh s t . w w w Recursive (Cache) Stub resolver ccTLD CN edu.cn tsinghua.du.cn hNp://www.tsinghua.edu.cn www.tsinghua.du.cn gTLD NET cernet.net DNS信任的攻击面（aNack surface）不可信的管理者不可信的管理者 5. 控制解析服务器 . 3. 劫持链路 Recursive (Cache) Stub resolver 4. 控制／劫持权威服务器 cn edu.cn 1. 入侵/DoS 2. 入侵/污染攻击者 Root gTLD DNS信任体系的攻击面之一：控制/劫持/权威服务器（Server）, 比如Root 控制/劫持权威服务器，如Root •  US GOV -‐> NSF -‐> Network SoluAons Inc.(NSI) –  从政府补贴、到收费、到被告 •  ccTLD => Jon Postel, RFC 1591(1994) –  先来先得的政策 –  IAB Review CommiNee 没有成立 –  .IQ（伊拉克）被授予美国的恐怖分子 •  Hijacking of Root by Jon Postel, 1998 –  邮件通知8个root管理员同步IANA而非NSI –  政府命令Jon 停止，同时坚强了对Root控制权段海新，伊拉克域名IQ被美国删除的背后以及早期的根域名管理 hNp://netsec.ccert.edu.cn/duanhx/archives/1850 Root Servers (anycast instances) 山寨一个Root ，自己控制 a.root-‐servers.net. (198.41.0.4) a.root-‐servers.net. (198.41.0.4) ISP3 AS AS AnyCast ISP1 ISP2 Stub resolver Stub resolver a.root-‐servers.net. (198.41.0.4) 14 到Root的延迟： CERNET & Europe, 2012 •  Root DNS delay in CERNET 除M(300ms)以外，Root延 < 30ms •  Root Delay in Europe 欧洲大多数根的延迟 100-‐200ms J. Liang, J. Jiang, H. Duan, K. Li, and J. Wu, “Measuring query latency of top level DNS servers,” presented at the PAM'13: Proceedings of the 14th internaAonal conference on Passive and AcAve Measurement, 2013. DNS信任体系的攻击面之二：控制解析服务器如果你可以控制解析服务器… From:Paul A Vixie[SMTP:paul@vix.com] Sent:Thursday, October 31, 1996 12:56 PM To:newdom@vrx.net Subject:requirements for parAcipaAon I have told the IANA and I have told InterNIC -‐-‐ now I'll tell you kind folks. If IANA's proposal stagnates past January 15, 1997, without obvious progressand actual registries being licensed or in the process of being licensed, I will declare the cause lost. At that point it will be up to a consorAum of Internet providers, probably through CIX if I can convince them to take up this cause, to tell me what I ought to put into the "root.cache" ﬁle that I ship with BIND. hNps://www.iet.org/mail-‐archive/text/iet/ 1996-‐11 Paul Vixie Author of BIND Chair of SAC of ICANN ORSN (2002-‐2008, 2013-‐) (Open Root Server Network) As a long Ame supporter of the universal namespace operated by IANA, it may come as a surprise that I have joined the Open Root Server Network project (ORSN). I'll try to explain what's going on and what it all means. 香港某酒店，DNS查询都被重定向有些ISP利用解析服务NXDOMAIN赚钱 N. Weaver, V. Paxson, and C.