ICANN 博文

敬请阅读 ICANN 的博文,了解最新政策制定活动和区域事务等等。

ICANN向DNS-OARC捐献重要基础设施,以支持高风险字符串冲突的项目研究

2013 年 09 月 24 日
作者: Keith Mitchell

域名系统运营、分析和研究中心(以下简称”DNS-OARC“)约在10年前创立。鉴于域名系统在整个互联网架构中的重要地位,在各种滥用的过程中,域名系统不仅是受害者,也是滥用活动的途径,因此域名系统面临着巨大的风险。DNS-OARC的成立源于一个愿景,即通过运营商和研究社群之间的合作、数据搜集、分享和分析,可能可以预防滥用现象,从而使大家能够更深刻地了解域名系统和互联网的运营。

自2004年OARC设立以来,这些问题变得日益重要了,该组织也从互联网协会(ISC)下属的一个项目分离成为一个独立的、中立的、非营利的会员制组织,在职员工超过了70人。其使命是提高互联网域名系统基础设施的安全性、稳定性和大众对其的了解程度。

该组织每年将举办两次工作坊,并提供各种各样有利公众的工具,构建会员之间的合作平台。此外,OARC还负责多个大型数据搜集项目的运营,从其会员下属的基础设施中搜集数据。其中之一就是2004年启动的、由NSF赞助的、与CAIDA一起合作的项目,名为”互联网生命中的一天(A Day in the Life of the Internet“(DITL)。该项目每年至少会对域名系统向根运营商和顶级域名系统运营商提出的请求进行一次48小时的严密监控,以搜集详细的数据。此举旨在获取可进行年度比较的基准数据存档,在全球域名系统出现重要变化之时,也会搜集相应的数据,例如:第6版互联网协议(IPv6)授权之时和根服务器完成域名系统安全扩展技术(DNSSEC)签名之时。在过去十年间,OARC已经积累了超过40Tb的DITL请求数据。

OARC的能力与贡献的关键一环是原始运营数据的可用性。互联网流量的工程和故障模式中有许多基本原则都不为人熟知,还需注意的是,一个稳定并安全的互联网运营所面临的威胁并非都是恶意的。OARC的合作伙伴,例如CAIDA所做的研究则证明了:有很大一部分无用的域名系统流量和运营问题均源自域名系统的配置错误或基于上述错误而运行的应用程序。改善这种情况的唯一办法是推行科学的方法,对这一问题进行大规模的研究调查。

自ICANN于2008年成为OARC的会员以来,一直都是该组织的忠实支持者。ICANN一直以来都与OARC合作来运营L-根、提供域名系统的数据、支持各种联合会议的召开、保养维修基础设施,并于近期派出了一名成员加入该组织的董事会。

2012年,在ICANN的新顶级域名的部署过程中,ICANN的安全与稳定咨询委员会(SSAC)发现了一个潜在的新障碍。这个已识别的风险是:某些拟定的新顶级域名已经在企业内部得到了广泛使用,另外,仅限于内部使用SSL证书已经发放给了这些企业。这就可能会导致这类顶级域名的有效内部使用和这类证书在全球互联网上的潜在恶意滥用之间出现冲突。

很明显,这是一个重要的潜在问题,由于新顶级域名运营商们都希望看到他们的域名尽快投入运营,但他们的利益却与某些滥用活动所构成的实际风险相冲突,或是与一些无意造成的后果相冲突,无论出现那种情况,或是两者兼有,都会带来全球性的影响。

在制定如何应对这种情况的政策时,获取相关的数据做为基础是至关重要的。鉴于调度时间紧张,因此从头搜集数据可能会耗时耗力。所幸,人们马上发现,OARC搜集的DITL数据集能够提供有力的证据,可确定SSAC的关切是否在实践中实际存在,如果是,这类问题的严重性又如何。向根服务器和顶级域名服务器发出的请求日志不仅仅包括有效的顶级域名字符串,还包括仅用于内部使用的字符串由于各种配置错误而不慎流入广大的互联网的所谓”渗漏”字符串。本研究指出,正是这种无意间造成的后果可能会带来一定担忧,因此所搜集的数据正好可用于研究哪些地方可能出错,或被利用。

尽管OARC的DITL数据集被认为与这一需求具有高度相关性,但仍需注意的是,这只是域名系统的一个方面而已,而绝不是一个确定的或是完整的方面:例如,这类数据仅包含了短时间内向某些根运营商提出的请求,而不是向许多其他顶级域名运营商、或是向其注册人提供域名系统解析服务的互联网服务提供商提出的请求。通过流量搜集技术也许不可能获得域名系统的全貌,因此不应忽视各种其他方式的价值。

ICANN在发现问题并确认数据集可以做为解决方案后,ICANN就聘请了Interisle公司及其次级承包商RTFM公司来进行数据分析。短期来看,这项工作是通过向位于OARC的CAIDA暂时借出计算能力的方式来编制初始报告。

然而同时,还需满足好几项要求才能对数据进行进一步的分析:

  • 向OARC提交的来自不同司法管辖区的域名系统数据是潜在的敏感数据,该数据由OARC进行严格保密管理。这就使得从更广泛的社群中获取数据提交成为可能。然而,这些条款不允许将OARC的存档数据拷贝给任何第三方系统。
  • 由于OARC日益增长的数据集在过去几年间一直在进行定期更新,但该组织的大部分支持基础设施,包括会员和研究人员进行站内数据分析所需的计算资源,却自10年前NSF初始引导资金到位后就再也没有更新换代了,现在这些设备急需升级。
  • 许多新的顶级域名运营商都希望成为OARC的会员,以支持其使命,并在ICANN赞助的Interisle/RTFM的分析以外,在OARC内对自己掌握的DITL数据集进行分析。
  • 所有这一切都是在紧张的新顶级域名部署时间表和ICANN分析和评论时间表的大背景下发生的。

所幸的是,2013年初,OARC董事会决定推行再开发计划,将会对旗下的软硬件进行更新,一旦需要对冲突字符串进行研究,OARC的新系统工程师William Sotomayor就能立即部署所需的新的计算资源。

这样,OARC就得以尽快的将ICANN捐献的重要设备—4台戴尔r820-级服务器—投入使用;此外,OARC会员所捐献的其他类似服务器也能派上用场了。这些服务器都是高规格设备,拥有多个64-核处理器和至少48Gb的内存(RAM)。它们将使得OARC的分析能力提升至前沿水平,不仅仅对持续的冲突字符串研究具有重大意义,还能在接下来的几年间对OARC会员和研究人员的一般性使用带来巨大便利。

OARC自成立以来一直都处在“大数据”的业务中,但直到最近,这种大型数据搜集的价值才被广泛确定和认可。有了这次重大的设备捐献,以及未来潜在的设备和主机空间捐献,OARC期待着加入云计算和大数据的创新型革命。

从OARC的成立原则来看,该组织旨在强调在宽泛的”互联网科学”的背景下,采取中立的方式对数据进行一般性搜集的价值,因此对某一问题提供解决方案并不在OARC的管辖范围之内。

致谢辞

OARC希望借此机会向ICANN做出的慷慨的设备捐献表示衷心的感谢,我们期待继续与ICANN、我们的会员、合作伙伴和研究社群加强合作,以持续满足各方需求。

这一切的发生如此之快,完全基于各方的持续支持,在此OARC想向各位表示诚挚的谢意。我们还想向以下人员和团队致以特别谢意:ICANN的新域名系统运营总监Terry Manderson及其团队捐献的服务器;CAIDA向我们提供的计算容量,使得Interisle/RTFM能及时完成其工作;以及互联网协会的运营团队和OARC主机提供商为我们及时伸出援手,通过远程操作使得我们的服务器得以投入使用。

Keith Mitchell

DNS-OARC总裁

Authors

Keith Mitchell