闵应骅的博客分享 http://blog.sciencenet.cn/u/ymin 一位IEEE终身Fellow对信息科学及其发展的看法

博文

关于域名服务器(091216)

已有 3779 次阅读 2009-12-16 09:03 |个人分类:计算机|系统分类:科研笔记| 因特网, 域名服务器

关于域名服务器(091216)
闵应骅
    域名服务器(DNS)的效率和安全是大家都关心的问题。DNS是一个分等级的、分布式的、自治的、可靠的数据库。它服务于全世界。每一个TCP/IP包括Web页的信息流都从至少一个域名服务器的交易开始。
    一个内容分布网络(CDN)直接指向某个Web浏览器,需要精确的IP地址。有的DNS就顺便帮着寻找内容服务器的地址。这个办法不可取,因为它影响DNS的性能。
    在每秒几百万次的请求中,有许多原因使得域名在DNS中寻找失败,譬如用户排字错、某链路断、或者软、硬件出错。如果你用递归名称服务器, 回答将是NXDOMAIN或RCODE=3。如果你用OpenDNS,你就可能得到一个欺骗性的回答。它会给你广告服务。其实,现在许多因特网服务提供商(ISP)就把广告附加在递归名称服务器里,以吸引更多用户用他们的域名服务器。在网络应用中,譬如Web浏览,查找失败会给出一个"error page"信息。而对邮件服务器,则会给出"bounced email"回应。公司可以利用NXDOMAIN来赚钱。假如你有google.com的cookie,你该出现NXDOMAIN时就会出现KJHSDFKJHSKJHMJHER.GOOGLE.COM,而进入一个广告服务器,于是,当你送你的HTTP GET请求时,你把自己的google.com cookie送给了那个广告服务器。对BANKOFAMERICA.COM cookie也有同样的问题。这种重新指向也出现在电子邮件中。如果你的邮件交换(MX)请求出现地址找不到的情况,许多NXDOMAIN重新指向另一个地址请求。为防止这一点,可以做到只启动A(地址)请求。为此就必须关闭缓存,因为SMTP启动者在得不到回答,即type=MX时,必须返回type=A。类似的赚钱办法还有你想访问www.---,但你输入ww.---,或---.cm。你的敲击错误就给他们赚钱的机会。
    有人提出一个IETF RFC,建议服务提供商对DNS重新定向,规定DNS如何谎报必须告知所有购买者和操作者。这被定义为网络层(包括以太网[MAC]地址或设备端口号)的事情,而不是传输层的事情。他们认为Web cookies不够好。他们提出DNSSEC(DNS安全性)。其问题在于存根解析器(stub resolver)。存根解析器是否可信依赖于ISP或DNS ASP使用的所谓信任锚(trust anchor)。
    DNS的数据来源于每一个被授权的名字服务器。例如www.google.com是在Google.com区域内。DNSSEC允许这些区域用公钥进行加密和检验,而私钥则由区域编辑器使用,以便对每一组实际纪录产生一个签署。公钥则由递归名称服务器使用,以检验该纪录的数据是由对应私钥所有者签署。公钥由DNS自己发布,把它放在其父区域里。所以,Google.com的公钥是放在COM区域里.
    理论上说,一个不想撒谎的端系统所有者并不希望和不想撒谎的区域编辑器合作,如果他们都安装了DNSSEC的话。在DNSSEC,用户该收到NXDOMAIN时会收到标明错误的消息signature not present。这可能本身就是一个错误,因为一个合法的用户也可能收到此消息。在一般情况下,区域编辑器并不在乎其区域是否受骗了。所以,DNSSEC仍然会保持沉默。我们必须在线地截住侵入,而不是在中间环节截住侵入。
    DNSSEC仍然能够签署政策性回答,而发出所有的回答和签字,同时也使系统管理和应用复杂化。对DNSSEC一个好的应用是用X.509可以互相认证的Web浏览器和服务器。
    像Microsoft和Mozilla浏览器,在你敲入URL的时候,就在进行DNS排队。当你键入www.c的时候,它就会问是www.cn(那是中国),还是www.cnn.co(那是哥伦比亚)。但是,同样存在信息漏洞或在网上增添愚蠢和无用的流量。DNS也在研究域名倒过来写也能识别,例如com.cnn.www,因为这对图形文件系统浏览器会有用。总之,DNS的谎言和安全性是一场竞争,看谁能较早出来,并占领市场,谁就会取得胜利。
   

https://wap.sciencenet.cn/blog-290937-278968.html

上一篇:社会网络(091212)
下一篇:非对称多核系统可以减少功耗(091218)
收藏 IP: .*| 热度|

1 teacherzhu

发表评论 评论 (0 个评论)

数据加载中...
扫一扫,分享此博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-3-29 02:39

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部