DNS的主要缺陷
近日有关DNS最大的新闻,莫过于ICANN正式批准正式支持包括汉语、阿拉伯文等在内的非拉丁语,来之不易。
80年底初发明DNS的主要缘由是随着互联网上主机数量的不断上升,通过本地的hosts.txt文件找到对方越来越困难,也越来越不可靠 。DNS成功解决了这一问题,总体看很健壮,规模应用的扩展性也很好,也很轻易延伸到一些新的领域(如IPv6, E.164)。
作为互联网要害基础设施的DNS,目前仍然存在4个方面的主要问题:
技术方面:RFC1035规定DNS协议基于UDP,最长只能是512字节,全球最多只能有13台根服务器,IP分片难以处理,DNSSEC和IPv6也难以支持等。解决的方案提出了两个,一是虽然做了ENDS0的扩展但实际应用的很少,二是鼓舞基于TCP的DNS但可能会带来更大的问题。其他的问题还有缓冲区投毒,无法知道非法的gTLD和ccTLD而导致的根服务器污染,UDP的欺骗攻击,DNSSEC中的根密钥治理和更新问题等,与IPv6共存时DNS串行解析增加的新延迟,利用相似字符进行网络钓鱼等。
实现方面:常用的名字服务器软件(BIND和Windows)历史上有一些可以被利用的安全漏洞,可用来做投毒、中间人攻击和DOS攻击等,尤其是在递归解析时。另外,由于无效TLD、重复解析和源地址错误(如RFC1918)等,根服务器上75%-98%的流量实际上是没必要的,缺少缓存、UDP缺乏循环监测机制和anycast以及超额部署DNS,都污染了DNS。另外,WEB扫瞄器也喜欢为应用增加一些没法解析的名字上去。
运营方面:如不合格的代理机构,网络的差异性,开放的解析软件,没有SOA,名字服务器复杂的相互依靠,TTL的设置,名字空间的随意扩展,把DNS当作负载均衡技术用等。
注册方面:市场的混乱,无需多言。
