3月23日消息,3月11日,苹果旗下iTunes商店、App Store软件店以及多个互联网在线服务发生了全球性大面积故障,中断时间达到了匪夷所思的11个小时,对此苹果宣称,是由于内部DNS系统错误导致上述问题。此次事件使苹果股价大幅下跌了1.82%,总市值下降逾130亿美元。
国内外近期频繁发生的重大互联网安全事件,似乎都指向同一关键词-DNS。这个曾鲜为人关注的领域,一时成为最热门的话题,国内行业专家一致惊呼,中国域名系统安全建设已迫在眉睫!赶紧随小编一起去看看互联网域名系统北京市工程研究中心(ZDNS)副主任、中网公司副总经理邢志杰怎么说!
域名系统整体发展状况及问题
从我国域名基础平台现状来看,数据统计显示,截至去年6月,国内网站数量为273万个,域名总数达到1915万个。根据域名工程中心监测数据显示,国内的域名服务器总量为880,841个,其中权威域名服务器96,786个,递归域名服务器784,055个。
这其中,域名服务安全等级为“安全”的域名占总体比例仅为四分之一,“存在隐患”约为三分之一;“比较危险”的高达43%。金融业网络基础设施的安全不容乐观。从监测数据上找原因,主要存在域名服务器节点少、域名设置不符合技术标准规范等原因,面对下一代互联网来临,也缺乏相应的推进措施。这些数据的背后,存在域名技术人员专业能力不够的情况,也反映了对域名安全重视不够,安全意识薄弱等问题。邢志杰表示,这方面普遍存在的问题分可分为三种情况:1. 域名服务商提供给用户免费的域名服务,但这种服务没有保障,一台服务器可能几十万域名同时托管使用,一旦其中一个域名被攻击,就会波及全部的域名;2.企业独立搭建DNS系统,由于他们没有一些灾备的措施甚至数据管理配置错误,导致瘫痪;3. 托管到专业的域名服务公司,这块在国外已经是个大的趋势,相比自己建设上安全性高很多,如ZDNS已成为未来发展的趋势。
域名系统面临的威胁和存在的风险
邢志杰讲到:这个问题可以分为三大方面来看,一方面是面临着来自黑客的网络攻击;另一方面是企业自身内部DNS的安全性与稳定性;第三是内部的管理使用。
1)域名注册,存在被劫持的风险。以近期谷歌事件为例,谷歌域名(google.com.vn)的nameserver被人篡改了,从而导致该域名下面的所有DNS查询,都被恶意的重定向了。虽然谷歌本身的域名服务做的很好,但是由于域名注册商的域名被攻击,导致谷歌域名无法被访问。
2)第二个层面是企业自身的DNS系统故障,以最近的苹果公司事件为例,在这次事件中,App Store、iTunes Store、Mac App Store和iBooks Store等在线服务全面宕机,中断时间达到了匪夷所思的11个小时,苹果自称的原因是遭遇了一个内部DNS(域名系统)错误。另外,其iCloud Mail和iCloud Account & Sign In服务业在美国东部时间9点(北京时间21点)前后受到了影响。据苹果公司网站提供的时间轴显示,其他服务则在美国东部时间5点(北京时间17点)宕机。
由此可见,由于DNS是作为互联网应用的初始入口,一旦DNS出现问题,则这些应用将无法访问。
3)内部管理使用,比如数据配置错误,导致数据不一致。域名服务最大的问题是,由于DNS是一套分布式系统,DNS发生问题的话,它的影响面会非常大。TTL(time to live)以及各种DNS系统中各级别cache的存在,使得如果DNS系统一旦出现问题,则该问题会一直持续,直到各级cache中的资源记录TTL到期,这也是为何Apple的服务耗费了11个小时才彻底恢复的原因。
综上可以看出,无论是来自外部黑客攻击,还是内部自身问题,一旦DNS发生故障,都会给企业带来不可避免的严重损失。
数据安全的保障
用户为了保证域名系统的正常运行,一般会同时与多家服务器运营商合作,随着大数据在各个领域的应用,对于这块的信息安全,他讲到:对于DNS的前台数据其实就是便于用户来查询信息,是用户访问入口。这方面不会涉及到信息的泄漏问题,但是由于DNS可以看到不同区域用户的访问情况,这方面需要企业加强保护意识,不要随便把数据放置到第三方,而是由专业的域名服务商来进行托管。
域名在移动互联网时代是否还重要呢?
关于这块邢志杰给大家强调了几个概念,一是移动互联网时代大家都在用手机,那域名还有价值吗?这个大家都会考虑,以为域名好像没有价值了,不需要域名了。其实这是一个误会,域名服务有两方面,即使在App后面没有域名,用户感觉这个就代替了域名服务,其实域名服务是把域名解析出来转换成IP地址服务。以这次苹果的事件为例,这次影响苹果公司的官网打不开,以致影响到他们整个手机的服务都不能用了,所以说域名实际上就是互联网的基础服务,它这种作为入口的基础服务不管是在移动互联网还是传统的互联网都是不变的,当我们在App上访问的时候,实际也在访问相关的域名,只不过不用手动输入了而是由后台的系统来运作,所以说域名服务作为这种入口的属性、基础的服务、互联网的中枢神经,不会因为移动互联而改变,这点希望大家要有这个认识,很多人觉得域名服务不重要了是错误的观念。第二方面,域名的时候还有另外一个属性就是它的品牌属性,大家最近比较关注的事件是很多企业用天价去购买域名的事件,比如360购买的360.com,大概花了差不多一亿元人民币,小米公司购买xiaomi.com、mi.com域名也花了两千多万,谷歌前段时间在拍顶级域名.app拍了两千五百多万美金。这些大的互联网公司对域名特别重视,他们看好了域名对品牌带来的重要性。现在互联网有了新的变动,以前传统的.com、.cn、.net这些域名,现在出现了新通用顶级域名,企业可以自己申请属于自己的顶级域名,比如说中信申请了.citic,这种新的顶级域名安全性更高,品牌属性更明显,企业自己可控制,域名被劫持的风险就更小,而且对企业的品牌更有意义,这应该是企业需要考虑和应该重视的一块。