diff options
| -rwxr-xr-x[-rw-r--r--] | 200812-BCS2020-互联网基础资源论坛-上.md | 65 |
1 files changed, 65 insertions, 0 deletions
diff --git a/200812-BCS2020-互联网基础资源论坛-上.md b/200812-BCS2020-互联网基础资源论坛-上.md index 8129ef8..6f009d4 100644..100755 --- a/200812-BCS2020-互联网基础资源论坛-上.md +++ b/200812-BCS2020-互联网基础资源论坛-上.md @@ -56,6 +56,7 @@  <a id="3-%E9%98%BF%E9%87%8C%E4%BA%91dns%E6%89%93%E9%80%A0%E5%AE%89%E5%85%A8%E7%A8%B3%E5%AE%9A%E7%9A%84%E6%95%B0%E5%AD%97%E7%BB%8F%E6%B5%8E%E5%9F%BA%E7%A1%80%E8%AE%BE%E6%96%BD-%E9%98%BF%E9%87%8C%E4%BA%91%E9%AB%98%E7%BA%A7%E7%BD%91%E7%BB%9C%E6%9E%B6%E6%9E%84%E5%B8%88-%E5%AE%8B%E6%9E%97%E5%81%A5"></a> + ## 3. 阿里云DNS打造安全稳定的数字经济基础设施-阿里云高级网络架构师-宋林健 - __主要内容__:报告分为3个部分,首先概述DNS解析的基本概念、技术趋势和热点,然后介绍阿里云安全DNS上的解决方案与实践,最后对整体进行小结。 @@ -69,10 +70,74 @@   <a id="4-dns%E5%8A%A0%E5%AF%86%E5%8D%8F%E8%AE%AE%E5%8F%91%E5%B1%95%E5%8F%8A%E9%83%A8%E7%BD%B2%E7%8E%B0%E7%8A%B6-%E6%B8%85%E5%8D%8E%E5%A4%A7%E5%AD%A6%E7%BD%91%E7%BB%9C%E7%A0%94%E7%A9%B6%E9%99%A2%E5%8D%9A%E5%A3%AB%E5%90%8E-%E5%88%98%E4%BF%9D%E5%90%9B"></a> + ## 4. DNS加密协议发展及部署现状-清华大学网络研究院博士后-刘保君 +* **主要内容**:介绍发表在 IMC' 19上的工作:*[An End-to-End, Large-Scale Measurement of DNS-over-Encryption: How Far Have We Come?](https://conferences.sigcomm.org/imc/2019/program#p90)* 介绍DNS加密(DNS-over-Encryption)生态的研究内容,重点关注目前 IETF 已经标准化的两个协议 **DoT** 和 **DoH**。从用户的角度出发,依次回答 **DoE 部署现状、可用性和流量规模** 三个问题: + + 1. **Q1:全球有多少DNS服务器支持加密服务,安全现状如何?(部署现状)** + * Methodology:对于 DoT,可使用简单的端口扫描探测;而 DoH 由于443端口共享,无法通过端口探测识别区分 DoH 服务,由于大型厂商会使用常见的 URL 模板,考虑在大规模的 URL 数据集中尝试过滤寻找。 + * Results: + * 2019.2~2019.5,发现了~2K DoT 解析器;2020.7 二次测量,发现了约7.8K解析器,归属于1.2K服务提供商。时间间隔一年,DoT 解析器数量猛增。 + * 2019年的测量发现 DoT 中存在大量的无效证书,~70%为自签发证书,~15%的证书为过期证书,~15%证书链缺失,难以验证。作者建议DoT服务提供商定期检查证书的配置及有效性。 + * 采用 URL 模板的方法识别的 DoH 解析器较少。截至 2019.5,只发现了17个服务提供商,大部分位于 curl DoH list,识别出2个列表之外的服务提供商;2020.7 发现了50+有效DNS URIs,归属于37个服务提供商,很多已经不在列表中,这些大多数是由大型公司或 ISP 运行并维护的。 + + 2. **Q2:支持加密的DNS服务器中,性能表现如何?数据加密过程是否会成为 DNS 服务器的性能瓶颈?(可用性)** + * Methodology:在客户端侧构造定制的DNS请求,使用代理网络转发到出口节点,再转发到DNS解析服务器。使用2个代理网络,114k 测量节点,向 Google,cloudflare,Quad9 的 DNS公开解析服务器发送请求,检查失败节点是否能真正使用DoE。 + * Results: + * ~99% 的加密DNS请求可达,比传统DNS请求失败率低。 + * cloudflare 的公开DNS解析服务器1.1.1.1 由于存在劫持事件,解析失败率比其他服务器高;Quad9 DoH 由于设置了较小的超时时间,解析失败率较高,已向厂商反馈解决;国内访问 Google DoE,失败率 ~99%。 + * 在连接复用的情况下,DoE 域名解析所带来的额外时延开销可忽略,平均为毫秒量级。 + + 3. **Q3:DNS加密的应用现状如何,是否已有真实的加密流量?(流量规模)** + * Methodology:被动测量。DoT,检查853端口即可;DoH,观测特定域名在passive数据中的规模,间接反映使用情况。 + * Results: + * 从国内某运营商获取约18个月的netflow流量。在2019年前,DoT流量很小,比传统DNS流量小2-3数量级,但增长迅速。对客户端IP的归类,发现存在集中&分散用户两种模式。 + * DoH 流量流向大型服务提供商,使用量在逐步增长。 + * 公开的报告:cloudflare,8% DNS请求为加密;Qihoo 360,DoH服务拥有超过1.2M用户。 + + 最后,从服务提供商(修正错误配置、更新)、使用者(加密优势宣传)、研究者(结果、代码开源)给出相关建议。DNS 加密不是完善的解决手段,存在侧信道,降级攻击等安全问题,在协议设计上仍需进一步的改进。在DNS加密的部署实践上,还有许多的工作需要推进。 + +* **推荐度**:●●●●○ + +* **个人感想**:DoE 的测量论文,获得了 IMC 2019 的最佳论文奖提名,去年讨论班菁菁也分享过。总的来说工作量挺大的,作者选择的测量的点、总结的问题也很合理、全面,值得借鉴。 + <a id="5-%E5%8C%BA%E5%9D%97%E9%93%BE%E5%9F%9F%E5%90%8D%E6%95%B0%E6%8D%AE%E5%88%86%E4%BA%AB%E5%BC%80%E6%BA%90%E9%A1%B9%E7%9B%AE-%E4%BC%8F%E7%BE%B2%E6%99%BA%E5%BA%93cto-%E7%8E%8B%E4%BC%9F"></a> + ## 5. 区块链域名数据分享开源项目-伏羲智库CTO-王伟 +* **主要内容**: + * 首先介绍了互联网基础资源、服务及分配模式,呈现出树状结构的业务体系和管理架构,可以自上而下做集中式、集权式的管控。而用户在访问互联网服务时,往往不完全遵循自顶向下的模式,更多的像是依赖一个第三方代理(如DNS解析,由本地rDNS代为查询)。 + * 而互联网基础资源的管理和服务是存在内在矛盾的。资源管理者希望遵循一个精确唯一的自顶向下逐级分配和控制原则,而第三方在到用户最后一公里服务时,存在本地管辖和商业利益诉求,需要兼顾用户体验和个性化需求定制,这个体系的整体目标是达到用户,资源管理者和第三方的权力平衡。 + * 接着介绍了域名协议及系统的诞生的过程,命名空间分级自治,DNS 协议设计初衷由于商业运行模式的不合理性受到了挑战。ICANN 注册局体系通过注册费盈利,运营商和服务提供商只能通过流量变现。RFC陆续产生了用户侧的域名协议扩展,以提高本地服务的能力和地位,便于提升用户体验。这些用户侧的技术不断挑战&解构现有的域名体系,促进去中心化多放共治的治理形态。 + * 域名生态呈现明显的权力与义务不对等: + * 技术机理上,用户依赖于递归服务而非权威服务,承担了99%以上的商业负载; + * 产业链条上,递归服务自成体系,游离于以域名注册服务业务为中心的商业链条之外; + * 治理参与上,递归服务提供者在ICANN体系中参与度很低。 + * 之后介绍了互联网核心资源治理体系的再平衡思路,以递归服务为接入点突破现有体系利益格局: + * 递归服务是面向终端用户实现最后一公里实际交付的主体; + * 递归服务是实施当地网络治理政策和落实安全管控措施的抓手; + * 以ISP为代表的递归服务者是撬动现有治理体系的重要杠杆。ISP已经是ICANN-ASO的生态利益相关方,也是IETF的重要成员类型。 + * 明确方向之后,讨论了实现思路。介绍了以区块链为技术手段探索AT-SSR的实现途径。用户可以从构造的mesh网中获取数据,政府可以在mesh网中下发相应的管理措施,透明发布后,由ISP自主决定是否采取某种安全策略。同时与ICANN的利益链条也相符。目前正在进行系统的原型开发,开源项目预计9月发布。 +* **推荐度**:●●●●○ +* **个人感想**:王伟博士介绍了很多深刻的观点,着重强调了递归解析服务的重要性,以递归为切入,重新思考域名解析体系的构成和治理,很值得借鉴&思考。报告主要侧重于现阶段存在问题的分析和梳理,可能由于系统整体尚在开发过程中,后面介绍具体系统的设计实现部分内容相对较少。 + <a id="6-%E2%80%9C%E6%95%B0%E2%80%9D%E8%AF%B4%E7%96%AB%E6%83%85%EF%BC%88dns%E6%95%B0%E6%8D%AE%E5%B1%95%E7%A4%BA%E4%B8%8Epassive-dns%E5%BB%BA%E8%AE%BE%E7%9A%84%E5%87%A0%E7%82%B9%E4%BD%93%E4%BC%9A%EF%BC%89-%E4%B8%AD%E5%9B%BD%E7%94%B5%E4%BF%A1%E4%BA%91%E5%A0%A4%EF%BC%8C%E9%AB%98%E7%BA%A7%E7%A0%94%E5%8F%91%E5%B7%A5%E7%A8%8B%E5%B8%88-%E4%BD%99%E5%90%AF%E6%98%8E"></a> + ## 6. “数”说疫情(DNS数据展示与Passive DNS建设的几点体会)-中国电信云堤,高级研发工程师-余启明 + +* **主要内容:** + * 首先介绍电信的 DNS 系统和数据。全国每个省份至少部署一套,请求侧>2千万次/s,响应侧每天在10亿级别,数据表现出明显的长尾效应(Top 100 二级域名超过全天请求侧的80%)。 + * 然后介绍了数据各行业分布情况,展示了疫情期间DNS访问的Top榜单。qq,快手,抖音位于榜首,也有许多对手机厂商域名的访问。 + * 之后分析了不同行业的域名访问情况, + * 首先是视频行业,优质的互联网内容对在线的互联网内容流量有很强的拉动作用,整体上看,疫情对视频行业的影响不大。 + * 接下来是出行,疫情期间用户对火车、飞机、酒店站点的访问相对平时减少量很大。市内出行在4,5月份基本恢复到正常水平。市内出行影响相对较小,其次是火车。 + * 之后是生活,外卖类域名访问量柱形图整体为V形,影视行业一路下滑,7月份才有所提升。 + * 最后是工作类,在线办公域名访问量在3—5月份达到顶峰,相比2019年高了好几个量级。 + * 还分析了黑产的情况 + * 疫情补贴诈骗:发现了某 IP 地址存在诱导诈骗行为。 + * 博彩:域名解析到某CDN,发现该CDN上托管的几乎全为博彩网站。 + * 最后介绍了 DNS 系统建设过程中的坑。提出应该警惕拿来主义,开源框架应该根据不同业务场景,了解清楚优劣特性再决定使用。 +* **推荐度**:●●●○○ +* **个人感想**:主要介绍了对疫情期间的 DNS 数据分析,从域名的访问热门程度推断疫情对行业的影响,没有进一步的深层次分析。 + |