網際網路是否容易受到災難性攻擊?網路攻擊或dns故障是否可破壞大部分網際網路?
paul mockapetris:從理論上說,是這樣。從歷史上來看,也是如此。
與所有人類發明一樣,網際網路反反覆覆使用了關鍵技術和理念。如果其中一種技術出現故障或者存在可被利用的漏洞,那麼,使用該特定技術的任何裝置都可能出現 故障或被控制。這個技術可能是乙個協議—對完善協議的不完善部署,例如網域名稱系統或邊界閘道器協議(bgp),或者因為錯誤理解或懶惰,所有人都選擇同一質 數。
由於每台計算機裝置都在用dns,dns故障理論上就是災難性的故障。而bgp故障可能讓所有路由器「崩潰」,或者阻止使用者與服務通訊或與其自身 isp(網際網路服務提供商)之外的使用者通訊。但更可能發生的事情是,特定的部署成為問題,例如我們在heartbleed事故中看到的:安全協議的特定部 署讓所有使用該協議的伺服器面臨風險。
這會給我們帶來什麼後果?在未來,由於漏洞或黑客攻擊,我們可能會看到大部分網際網路遭到破壞。
如果在「大玩家」之間爆發網路戰爭,我們會看到很多漏洞被同時利用,而網際網路將會崩潰很長一段時間。
我們如何打造更安全的dns和網際網路?
mockapetris:安全需要時間、金錢,還會帶來不便利。我有三個建議:安全自動化、應用之間隔離以及法律責任。
人們會購買防火牆、路由器和電子郵件伺服器,用來阻止可疑流量。但是,通常情況下,他們不會配置這些裝置,或者只是偶爾手動配置它們。在這裡,更好的方法 是部署自動化服務來根據以下資訊配置它們:可用的公共威脅資訊、專有資料和使用者的具體情況。向安全產品實時提供這些資訊,不要矇騙你的安全衛士。當然,你 不一定需要自己構建這種自動化服務:很多**商都提供這種安全即服務。
我們都知道,通過應用共享資訊非常方便,但這通常並不安全。當然,我們很難讓人們對便利性說不,不過,我還是會在受保護的虛擬機器內執行我的網上銀行應用。 這就是說,我們可以提供這些保護機制,我們應該讓那些想要更高安全性的人這樣做。
**商會優先考慮市場份額和功能開發,而不是安全性,這裡必須有乙個法律強制的平衡。
你曾說過,網際網路需要通過結合身份驗證與某種聲譽系統來改進命名,我們正在朝著這個方向發展嗎?
mockapetris:這裡的答案有兩部分。
30多年前,dns首次亮相,雖然它已經有所發展,但我認為還有很多發展空間。例如,我們可以實現瞬間建立新資料型別,通過在dns本身描述它們。我們還 可以提高根系統的可靠性,分發根資料的簽名副本,而不是保護根伺服器抵禦日益增加的分布式拒絕服務(ddos)攻擊。我們可以新增訪問控制來更好地保護敏 感資訊。正如dnssec提供的身份驗證讓我們可以使用dns用於更敏感的應用,這些功能可帶來新的dns應用。
網際網路安全是我們現在面臨的重大挑戰之一:iot、雲計算、大資料和雲聯合都帶來挑戰。由於dns會接觸每個計算裝置並在近實時執行,它是收集和分發安全 資訊的理想載體。但新功能會讓它更加強大。
iot將如何影響dns?
mockapetris:到目前為止,dns已經被用於在10億裝置註冊,在未來這個資料可能會是1000億或萬億。但規模並不是這裡唯一的問題:iot 需要受控制的資訊共享。 我可能會高興地讓別人檢視我室外的溫度計,但我可不想讓所有人都能監控我的家用裝置以及知道我是否在家。我喜歡採用rfid(射頻識別)標籤的產品概念, 這樣我總是能找到事物,但當我在商店購買新的東西時,我可能會想改寫rfid標籤,這樣標籤就只對我有用。
如果dns是iot的關鍵技術,那麼,它還需要新的功能來讓這種受控制的共享成為可能。它還需要適當的部署以供家庭使用;現在的dns伺服器主要是針對高 級使用者的需求。
我們有哪些方法來改進當前的技術以實現更安全的dns?
mockapetris:很多人在研究如何對付ddos攻擊。這非常重要,我認為需要考慮三個重要方面:
1. 為所有想要網域名稱的人免費提供網域名稱,這可能不是新的tld(頂級網域名稱),但可能是新的.freetld tld下面的網域名稱。
2. 自動化協調網域名稱之間的資料,也許通過區塊鏈技術,從而降低對人工干預的需要。
3. 允許建立新的rrtypes;例如特設資料型別,通過dns本身內儲存的規格。使用dns問題部分多個條目建立更強大的查詢。
所有這些功能必須解決實際問題。我認為我們面臨的重要問題都需要受控制的共享,或對iot或其他未來應用的真正訪問控制。
你對所有新頂級網域名稱有什麼看法?喜歡?不喜歡?
mockapetris:我喜歡試驗,所以20年前我會在推向市場前嘗試少量新的tld,並且,現在的法律問題變得非常重要,而我們終於有了新的tld, 這是很棒的事情。
我不認為這會有任何長期的危害,但我確定現有軟體和做法中存在很多漏洞需要解決。有人說我們已經讓攻擊者可很容易地獲得網域名稱或自己的tld,但我們需要處 理這種可能性。
這裡是否有好處呢?現在有很多人想要tld來識別自己是某個社群的一部分,無論是巴黎或柏林的居民、某個行業的成員或者其他身份。我們很容易低估這一願 望。
我認為還需要十年左右的時間,我們才可以清晰地分辨好和壞的新tld,當然,這只是我個人的意見。
原文發布時間為:
2023年01月27日
鄒錚
不想「打破網際網路」?你需要更安全的DNS
網際網路是否容易受到災難性攻擊?網路攻擊或dns故障是否可破壞大部分網際網路?paul mockapetris 從理論上說,是這樣。從歷史上來看,也是如此。與所有人類發明一樣,網際網路反反覆覆使用了關鍵技術和理念。如果其中一種技術出現故障或者存在可被利用的漏洞,那麼,使用該特定技術的任何裝置都可能出...
網際網路你需要了解的
一些自己的感悟,之前自己太不努力了,現在開始努力學習,將一些感悟體會,學習到的分享出來 之前一直沒有理解,只是侷限於web的前後端,原來ios和android開發其實就像是web的前端一樣,頁面的跳轉,彈窗,提示,展示 前端是使用者直接去使用的,感官很強,會有一些簡單的處理,但是其實主要還是介面流暢...
網際網路與網際網路的區別
網際網路的英文單詞是 internet,網際網路的英文單詞是 internet。在英語中,專有名詞首字母都是大寫,用於特指某一事物。大寫的 internet 是作為乙個專有名詞出現的,所指的是由阿帕網發展而來的現如今全球最大的計算機網路,稱之為網際網路。小寫 internet 是作為乙個普通單詞出現...