在IPv6大规模的部署下,DNS更加不容忽视
域名系统(DNS)的任务非常简单,但也非常重要,随着在IPv6网络中运行的设备的激增,该服务面临着一些挑战。乍看之下,域名系统只是执行一组相对简单的任务。它的主要目的是将易于阅读和记住的域名转换为数字IP地址。IP地址是在局域网和国际互联网上识别计算机的基础。作为DNS功能的一个例子,TechTarget网站的IPv4地址被DNS解析为206.19.49.102。
因此,在某一方面,DNS作为一种相对简单的服务来理解。然而,如果人们深入了解一下,就会发现DNS由于其层次性和分散性而充满复杂性。这也是一个存在着很多安全漏洞的日趋老化的系统,人们担心它可能无法满足日益增长的全球需求,以及无法跟上网络趋势的变化。
DNS的功能和架构
根据互联网号码分配机构(IANA)的统计,全球只有13个DNS根服务器系统。在这13个DNS根服务器系统中,有成千上万的DNS服务器充当根服务器角色。DNS功能使用层次结构来管理来自顶级和二级域的数百万个IP地址映射。而在这个层次结构的最底层,大中型组织经常在本地维护其自己的子DNS服务器,以便将专用服务器映射到内部DNS名称。当需要本地业务域之外的服务器解析时,这些DNS服务器会与递归解析器DNS服务器联系。递归解析器服务器通常是互联网上的互联网服务提供商(ISP)或第三方DNS服务。如果递归解析器服务器没有DNS所查询的答案,其请求继续向上请求查询,直到到达根服务器。虽然DNS的底层架构自成立以来一直未发生变化,但正在使用的DNS服务器数量仍在不断增加。
安全仍是首要关注的问题
DNS管理人员在2018年最担心的问题是如何处理不可避免的各种漏洞攻击、错误配置和分布式拒绝服务(DDoS)攻击。2016年,DNS服务提供商Dyn公司遭遇了大规模DDoS攻击,其中包括Twitter,GitHub和Spotify在内的主要互联网网站也遭遇攻击。并在同年,云计算服务提供商Scalr公司的一位管理员错误地删除了由于“有缺陷的逻辑”而导致的DNS记录,断开了其客户网站的网络连接,造成了不良影响。此外,一些流行的DNS服务器软件中仍然存在新的漏洞。谷歌公司在2017年10月发现了流行的Dnsmasq服务器软件中存在几个远程代码漏洞。这样的情况比比皆是。关键DNS服务器上的故障和攻击仍然是互联网的薄弱环节之一。尽管有许多方法和概念可以修复这些安全问题,但其进展比较缓慢。
端点的指数级增长和IPv6的影响
几乎每个驻留在IP网络上的端点都依靠DNS服务器来查找其他网络连接资源。虽然目前全球有80亿至90亿台物联网设备,但根据调查机构Gartner 公司的预测,到2020年底,这一数字将增加一倍以上,物联网设备将会超过200亿台。因此,除非运营中的DNS服务器数量显著增加,或者DNS查询流程得以简化,否则物联网设备的翻倍增长预计会给DNS服务器带来巨大的压力。
2018年DNS服务器部署的最大颠覆性影响可能是由于IPv6-only网络中运行的物联网设备数量的增加。直到最近,IPv6 DNS发现的独特问题已被大多数IPv6部署以双栈模式运行的事实所掩盖。双栈是指端点同时运行IPv4和IPv6。但是,越来越多的网络提供商(特别是移动互联网公司)正在开始推出IPv6协议,而不是与IPv4协议一起双重堆叠地使用。
随着这种只支持IPv6的设备的趋势继续发展,支持无状态地址自动配置和DHCPV6(动态主机配置协议第6个版本)的架构问题可能会将IPv6 DNS服务器部署分配到全球各地。因此,网络技术人员必须迅速解决这些低效问题。