域名和空间组成建筑设计

7月31日至8月5日，2021年“黑帽”（Black Hat）大会在美国拉斯维加斯召开。
其间，网信安全公司“奇才”（Wiz）公布一份报告：“DNS的漏洞使国家级的特工活动仅需大略地注册一个域名”。
这份报告引起业内的高度关注。

据宣布，奇才公司成立仅18个月（员工约65人），但技能背景强势。
其前身是成立于2012年的Adallom公司，从事云安全的技能研发和做事；2015年7月，Adallom公司被微软公司以3.2亿美元收购，其CEO拉帕波特（Assaf Rappaport）成为微软公司云安全奇迹部总经理。
2020年，拉帕波特再创业，成立奇才公司（Wiz），紧张是供应网信安全的做事业务，并以其能力和成果，在目前科技股市处于低迷状态下，被投资人评估市值达到17亿美元。

一、概 述

奇才公司这份网信安全报告的背景，是通过对亚马逊向用户供应的AWS云DNS（Route 53）网络做事进行剖析时，创造了新的DNS攻击方法，潜在地被利用进行“国家级的特工活动”（Nation-State Level Spying），所涉及的是大略地注册特定域名。

亚马逊的“Route 53”域名做事系统供应了大约2000个DNS做事器，域名为“ns-852.awsdns-42.net”、“g-ns-812.awsdns-42.net”等。
如果注册与某个DNS域名相同的域名，并添加到在亚马逊DNS做事器（Route 53系统）中，将这个域名与受控做事器的IP地址关联，就会产生一些令人难以置信的结果。

每当DNS客户端向该域名做事器查询自身信息时，数千台DNS设备会自动更新其托管做事中的IP地址，数据将直接被发送到受控做事器的IP地址（即与虚假DNS做事器域名所捆绑的IP地址）。

奇才公司声称，从目前的创造中已得到来自15,000多个组织的DNS流量，个中包括财富500强公司、45个美国政府机构和85个来自其他国家和地区确当局机构；所泄露的数据包括内部和外部IP地址、打算机名称、用户名和办公地点等元数据。

这些数据进一步揭示，是来自运行Windows操作系统的终端设备的动态DNS数据。
显然，这个问题与运行Windows操作系统设备在IP地址改变时，用以探求和更新DNS主理事器的算法有关。

所透露的数据可以使任何人都能“一览无遗”（bird's eye view）地理解政府部门和公司内部所发生的行为与状况。
而这种能力无异于国家级的特工，且具备如此能力仅需大略地注册一个（分外）域名。

为了证明这种新的DNS攻击所产生的潜在影响，奇才公司利用从4万多台终端设备上得到的数据，绘制了一张大型做事公司的员工和位置分布图。

奇才公司声称，根据这种定位的映射，能够确定美国一家大型商品贸易公司和一家大型信用金融机构的子公司，在受美国制裁的国家或地区从事业务活动，显然违反了制裁法规或规定。

在这个问题被公布后，亚马逊和谷歌采纳了修复方法。
但是，其他DNS做事供应商也随意马虎遭受到类似的攻击，这意味着此类攻击（或数据透露）仍旧可能或正在发生。

对此，微软表示，这是“已知的缺点配置，当某个单位、部门/机构、机关利用公共DNS递归做事器时就会发生”，而不是漏洞。

业内专家警示，虽然域名做事供应商可以采纳一些方法来防止此类事宜发生，但是单位、部门/机构、机关（包括行业企业）应通过确保精确配置DNS递归做事器，防止DNS动态更新的失落控，以避免类似的数据泄露。

我国网信安全领域必须引起高度关联性警示和关注的是：

1）目前DNS的做事紧张因此“免费”为主，DNS系统软件因此“开源”为主，形形色色的做事商、集成商和代理商因此变通（workaround）形式的“马甲”为主。

各个渠道（环节）都很随意马虎天生利用域名注册进行DNS潜在攻击的漏洞和条件，必须高度重视，严格戒备，深入整改，武断纠正，切不可掉以轻心。

2）内容推送网络（CDN）是基于专属专用的域名做事器，其支配和配置对客户和用户完备透明（不可视、不知情），不仅改变了传统域名做事的体系架构，而且节制了互联网（Internet，下同）运用的定位和导航、指挥和掌握。

亚马逊的“Route 53”、谷歌的“DNS云”，仅仅是个中的某个部分，互联网的大型做事公司都具有自己的域名做事系统DNS，且潜在地相互关联（我们之前揭橥的文章《Akamai 断服断网深层缘故原由的再警示》曾以事宜驱动述及）；海内关键信息根本举动步伐的做事大量被外包、被托管到境外，很随意马虎遭受境外利用域名注册进行DNS潜在攻击，形成境外对我履行“国家级特工活动”的常态化、大略单纯化、边缘化（即简称ICTS的信息通信技能和做事供应链的交叉、结合部，而并非是传统形式的安全漏洞）。

请把稳：在奇才公司所能“窃听”的财富500强公司中，包括中国企业143家（2021年）。
个中第二名是中国国家电网公司，中国石油、中国石化、中国建筑集团、中国安然保险、中国工商银行、中国培植银行、中国农业银行、中国人寿保险、中国铁路工程、中国银行、中国铁建、华为投资控股排名在前50名。

3）中国大陆的递归域名做事器在数量和分布上呈现出明显的“非对称性”和“动态变革性”，被称为是网信安全事宜中的“非常”。
根据美国“影子做事器”（Shadow Servers）公司的实时统计，截至2021年8月20日，环球递归域名做事器（仅53端口/UDP协议）按数量在环球国家/地区的分布前十位是：

个中，在中国（大陆）的递归域名做事器按所属自治系统（ASN）的分布（个中，台湾的递归域名做事器紧张分布在自治系统3462，作为参考）：

互联网的“递归域名做事器”，又被称为是“域名空间的入口”。
在已知的一些安全事宜中，“递归域名做事器”（包括暗桩、后门、“马甲”）被利用，不仅可以恶意地重定向和挟制网络数据流的传输，而且可以发动难以抵御的DNS放大攻击（DNS Amplification Attack）。
在奇才公司创造的案例中，微软公司“推托”问题的根源是，连接公共递归域名做事器的“配置缺点”。

因此，无论如何，国家网信安全（特殊是关键信息根本举动步伐）决不能忽略域名空间及其构成根本和ICTS供应链的状态和状况，尤其是面对域名体系架构被“延展”、被“撕裂”的现实和寻衅，应该尽可能地避免被“惯性思维”所旁边的“一亩三分地”意识和作为（或不作为、乱作为）。

二、奇才报告（参考译文）

当下，代管DNS做事供应商（例如：亚马逊Route 53、谷歌Cloud DNS和阿卡迈Akamai等）的兴起以及无处不在的远程事情，使DNS这一为环球互联互通而设计的、历经数十年的协议构造体系被延展，并被撕裂出新的漏洞，而这对付终端用户和设备却是透明的。

我们创造，通过一个大略的安全漏洞，可以拦截通过亚马逊和谷歌等代管DNS做事供应商的环球动态DNS流量。
从实质上，我们“窃听”了15,000个机构组织（包括财富500强公司和政府部门）和数以百万台设备的内部网络行为和状况。
这是有代价情报的一个无底洞，包括：打算机名称、员工姓名和位置，以及关联网络域名的详细信息和暴露在互联网上的接入（访问）点。

我们无法知道这个漏洞是否已经被利用：任何人都可以在过去十多年来漏洞未被创造的情形下网络数据。

然而，我们可以确认，这个安全漏洞仍旧是一个生动的威胁载体。
虽然两个紧张的代管DNS做事供应商（亚马逊和谷歌）已经修复了这个问题，但是其他DNS做事供应商可能仍旧普遍地面临着这个安全漏洞的存在。
因此，数以百万计的终端设备仍有可能受到攻击。

（一）漏洞创造

在常日情形下，卖力监管DNS的紧张是两个方面：域名注册商和DNS托管做事供应商。
只管有某些DNS托管做事供应商供应域名注册，但是不应稠浊这两种做事。

DNS托管做事供应商一样平常具有易于利用的自助做事平台，许可客户更新其域名及其映射的域名做事器（或捆绑的IP地址）。
客户可以添加所需的任何域名（例如，amazon.com），由于域名本身不应该对网络流量产生任何影响（DNS托管做事供应商并不是威信域名的管理员）；注册域名的一个基本假设是，客户与客户之间是完备隔离的，在DNS上注册的任何内容都不应该对其他客户产生任何影响。
因此，亚马逊的域名做事器（Route 53）不会验证我是否注册并拥有域名“amazon.com”（与亚马逊的域名相同）。

我们创造，注册某些“分外”的域名，特殊是域名做事器本身的域名，毁坏了客户之间的相互隔离，会对所有利用该域名做事器的其他客户产生意想不到的后果。
我们成功地注册了一种类型的分外域名，但是我们疑惑还有许多其他类型的“分外”域名，具备产生类似未知后果的未知浸染（即“Unknown Unknown”）。

（二）详细方法

亚马逊云做事AWS的域名做事器系统（Route 53）拥有大约2,000个DNS做事器，供所有客户利用和共享。
我们在Route 53平台上注册了一个与亚马逊DNS做事器同名的新域名。
从技能上讲，我们在AWS域名做事器“ns-1611.awsdns-09.co.uk”中创建了一个新的“托管区”，并将其命名为“ns-852.awsdns-42.net”（即与亚马逊的一台DNS做事器同名）。

每当添加一个域名到Route 53时，都会被哀求选择四个不同的DNS做事器来管理该域名。
我们确保在Route 53平台上注册的任何域名做事器都属于同一做事器。
事实上，我们仅在AWS的大约2,000个域名做事器上重复了这个过程，域名做事器的域名“ns-1611.awsdns-09.co.uk”只是个中一个例子（图3）。

由此我们部分地掌握了“托管区”，并可以将其映射到我们掌握的IP地址（做事器）。
当DNS客户查询这个域名做事器时（数以千计的终端设备会自动这样做，以更新其管理网络中的IP地址），大量DNS数据就会被直接传输到我们设置的做事器。

（三）涉及范围

当我们第一次用与Route 53域名做事器相同的域名注册之后，立即开始收到来自天下各地超过一百万个具有唯一性终真个大量DNS数据。
经由剖析，我们认识到这是来自运行Windows操作系统机器的动态DNS数据，这些机器正在查询所关联的域名做事器被挟制的状况。
当IP地址发生变更时，动态DNS会自动更新其记录。
传统上，动态DNS被用于支持大型网络的内部做事，并利用在内网中的做事器。
简而言之，我们收到的数据中包含敏感信息，而这些信息是不应该在内部网络之外传输或交流。

被我们“窃听”到的动态DNS数据，来自15,000多个组织机构，包括财富500强公司、45个美国政府部门和85个国家政府机构。
这些数据包含大量有代价的情报，例如：内部和外部IP地址、打算机名称、员工姓名和办公地点。

（四）如何“窃听”

大略地说，微软Window操作系统利用一种专有的算法来探求和更新IP地址变更的主DNS做事器。
终极，该算法将查询被挟制的域名做事器并得到关联的IP地址。
其结果是，由于我们已经将该域名做事器映射到恶意的IP地址，我们开始吸收所有的DNS查询数据。

为了更好地理解这个问题征象，设想某公司的一名员工决定在家事情（就像我们大多数人在新冠疫情期间的事情模式），并连接到其家庭WiFi。
该员工的事情条记本电脑从他的家用路由器得到一个内部IP地址，并会考试测验找到公司在本地的主理事器，以更新内部IP地址。

终极，用户终端点将考试测验从DNS主理事器得到IP地址更新，这是一个管理数以千计客户的AWS共享的域名做事器。
但是，亚马逊AWS域名做事器不支持动态DNS更新，因此用户终端点的更新要求失落败。

至此，微软Windows操作系统的算法完备按预期事情，而且并没有停滞或放弃更新为DNS主理事器IP地址的考试测验——这便是问题涌现的地方。
微软Windows操作系统的算法连续寻求以另一种办法找到DNS主理事器，进而转向查询受控的（恶意的）域名做事器是否有DNS主理事器的记录。

在图3中，亚马逊AWS域名做事器相应查询要求的IP地址“1.3.3.7”，是我们预先设置的。
这是运行Windows操作系统的终端将自动发送DNS动态更新的主机端点——无意中将其内部 IP地址、打算机名称和其他信息透露到我们的恶意DNS做事器上。

（五）特工情报

结果开始变得出乎猜想。
从内部网络泄露的数据，为网信恶意行为者供应了发起成功攻击所需的所有情报。
更主要的是，被泄露的数据使得任何人都能对公司或政府部门内部发生的事情“一览无遗”。
我们将其比作拥有国家级的特工能力——并且具备这样的能力仅仅须要大略地注册一个域名。

例如，图4是天下上大型的做事公司之一。
我们根据从4万个终端收到的DNS数据，绘制了该公司员工数量和办公室的地理位置。

我们的窥伺并没有就此停滞。
从“窃听”的DNS数据中，我们能够确定那些涉嫌违反外国资产掌握办公室（OFAC）制裁的公司。
美国的一家大型商品贸易公司的员工在象牙海岸和缅甸事情，美国的一家大型信用金融机构的子公司在伊朗有一个分支机构（图5）。

（六）漏洞修复

上述被创造的DNS漏洞彷佛是属于边界模糊的“国际水域”（international waters）。
目前还不清楚谁该当卖力修复这个DNS漏洞。
是微软？还是代管DNS的做事供应商？或是每个客户单位部门？

微软可以通过更新其动态DNS算法来供应一个环球性的办理方案。
然而，当我们向微软报告这个DNS漏洞时，微软的答复是，他们不认为这是一个安全漏洞，而是一个已知的缺点配置，当一个单位或部门运用公共DNS递归做事时，这种缺点配置就会导致涌现安全问题（漏洞）。

代管DNS的做事供应商也能够采纳修补方法，以帮助他们的客户安全地运营。
例如，他们可以在许可客户注册新的域名之前，验证该域名的所有权。

但就当前的网信安全态势而言，每个客户（单位和部门、机关和机构、行业和企业）都该当采纳必要方法，防止DNS数据透露。
归根结底，客户有任务精确配置和运用其DNS做事器，并确保内部网络的动态DNS更新是被有效管理和常态监控的。

三、奇才公司报告的警示和启迪

DNS的上述安全漏洞所导致的数据透露，被作为是“国家级的特工能力”。
并请把稳，奇才公司公布的信息，是在亚马逊和谷歌修补了“漏洞”以及微软对此作出反应之后，“有选择”（或是得到“批准”）的部分信息表露。
奇才公司的“窃听”方法达到“国家级的特工能力”，而对付亚马逊、谷歌、阿卡迈等则无须“窃听”即具备了“国家级的特工能力”！

事实再一次证明：随着信息通信技能和做事（ICTS）供应链的动态演化，一定存在着（或衍生出）未知的安全风险和隐患、威胁和危急。
但是，绝不能也不应容忍“意想不到”成为“习以为常”，或麻木不仁。

有效应对网信安全寻衅的唯一路子是，直面缺少底层技能能力以及“深度依赖”的事实和现实，加强风险管理、管理和监管的机制和实行力，勇于“防偏”、长于“少偏”、敢于“纠偏”。

此外，网信安全漏洞并不都是“与生俱来”的天然毛病（或“零日”，0-day）。
随着网络信息空间的技能进步、创新发展，以及ICTS供应链的运用延伸、利益追逐，潜在、新生和陌生的未知漏洞会不断呈现乃至呈现。

无论技能研发公司、做事供应商，无论政府部门和企业（行业），都不能不主动创造剖析、关联溯源、探索研究实际存在的网信安全问题（特殊是关键信息根本举动步伐的安全威胁和漏洞），不能不加强应对息争救的积极方法、整改和反击（纠偏）的有效举措。

（作者：邱实，网络信息安全技能专家；牟承晋，昆仑策研究院高等研究员、中国移动通信联合会国际计策研究中央主任。
来源：昆仑策网【原创】，作者授权发布）