什么是DNS白名单?
在当今的公共互联网上使用IPv4地址时,解析程序可以向权威的域名服务器查询并接收IPv4的地址A 记录。当一位权威DNS的管理员为指定域添加IPv6地址AAAA记录时,它将像A记录和其他RR一样被解析程序查询和接收。
然而,许多大型内容提供商担心用户在使用“损坏的”IPv6连接。互联网社区还没有获得有关“损坏的”具体是如何定义的(请查看下面的“缺乏数据”部分)数据。因此,ISP和其他(企业、大学等等)网络不了解任何潜在的IPv6问题,这导致无法制定一个解决方案。出于对这种对“损坏的”IPv6连接的考虑,内容提供商开始实施一个所谓的DNS白名单系统。即便这些指定域存在AAAA 记录,或者其他的网络可以访问这些AAAA记录,但如果你的解析程序的IP地址被添加到一个特权白名单中,那么你的解析程序将永远不会接收到AAAA响应。
挑战
这可能产生一个基于IPv6的双层公共互联网,将那些被添加到大型内容提供商的特权白名单中的用户和没有被添加进去的用户分隔开来。此外,以下操作在拥有百万域名和自治域的互联网中缺乏扩展性,比如维护人要求他们的解析程序添加到给定的白名单中、处理实现白名单过程中的各种反对意见、验证是否被成功地加进白名单、成功维护白名单状态,以及设法重新进入白名单(在被移出白名单的情况下)。很显然,通过使用AAAA 记录的DNS推广内容和服务对于部署IPv6是至关重要的。因此如果这样一个白名单系统作为普遍做法固定下来,从长远来看,IPv6部署和实施很可能会受到极大的损害。
我们已经知道两种DNS白名单的做法:一是每个内容提供商使用自己的DNS白名单,另一种是部署一个中心化、全互联网范围的白名单。在每个内容提供商使用一个白名单的情况下,不同的入白名单和出白名单策略、白名单联系人列表、先决条件、要求等将产生大量的不相同的排列组合。在全互联网使用一个公共白名单的情况下,如何以及由谁来安全地分发这些名单,由哪个组织来批准白名单,入白名单和去白名单的策略,以及管理申请的流程将成为关注的焦点。此外,这两种白名单实施方法可能都要面对各种各样的挑战(可能包括法律方面的挑战),这可能会进一步拖延任何一种方法的实施。
缺乏数据
内容提供商希望基于一些还没有共享给互联网社区的数据来使用DNS白名单系统。如果确实存在问题,公开而广泛地共享和讨论问题的信息至关重要,否则验证这样一个系统是是不可能的。而且使用白名单的动机,以及入白名单和去白名单的决策可能会被认为是随意的。因此,对问题的性质和范围达成一致是关键的第一步。ISP和内容提供商可以与互联网社区合作收集这些数据。
现实世界中挑战的例子
图表显示了在IETF的第77周(2010年3月21日至3月26日)Comcast网络的一个例子。
IPv6在排名前一百万网站中的可达性
我们测算Alexa列表的前一百万名,能够通过Comcast IPv6网络访问到的百分比。该图表显示一家大型内容提供商将Comcast大多数解析程序列入白名单中,显示为向上的红线,最后达到覆盖约一千万互联网用户的规模。由于少数的问题报告,这些解析程序被从白名单中移出,在这个图表中显示为接入IPv6的站点下降(从1,660降到1,500)。
在被去白名单之前无法了解到该问题报告的具体细节。当探测到这些问题时,Comcast没有机会在去白名单之前综合查找和排除任何可能的问题。在Comcast的递归域名服务器被列入白名单的大约六周时间内,Comcast没有观察到呼叫中心数量或故障报告有任何明显的增加。
完全恢复白名单目前还没有清晰的基本原则和时间表。最新信息表明,覆盖一千万用户的DNS服务器可能基于某个单独的报告而被重新加入白名单。
鉴于这种经验,我们关注入白名单和去白名单如何实际操作,它是否能很好地扩展,全世界的ISP如何进行管理,以及这是否会导致ISP考虑推迟IPv6部署。
值得考虑的其他解决方案
在问题得以陈述和理解之后,ISP特别是Comcast渴望与内容提供商合作开发出鉴别任何“损坏的”用户的工具。根据ISP和其联网客户的关系,他们乐意去修复任何潜在的网络问题。一项在IETF-77上由雅虎提供的统计数据宣称,有0.078%的用户是“损坏的”。这对大多数ISP来说是个微不足道的用户比例。例如,在Comcast网络中,这表示少于12,000个用户。如果该问题能用一种新的家庭网关设备解决,在这种可能的情况下,Comcast会迅速给受影响的用户送去替换设备。我们相信,只要数量微小,大多数ISP会依靠自己迅速解决这个问题(如果这个问题能被精确定义的话),而无需让内容提供商求助于DNS白名单。
除了依靠ISP在与他们的客户合作以解决连通性问题中扮演其传统角色之外,还可以想到的是,可能应该同时实施其他解决方案。根据不同的问题定义,这可能包括诸如操作系统补丁、网页浏览器补丁等方法。因此,重要的是在确定解决方案之前,首先对问题出在哪里达成一致。
ISP的观点
在今天的IPv4公共互联网上,如果其个别ISP的一小部分用户显示为“损坏的”或IPv4连接受损,内容提供商不会阻止用户访问他们的内容。在其ISP的支持下正确配置他们的主机,一直是终端用户的责任。因此,我们不知道内容供应商正在对某个ISP和该ISP的客户访问其内容进行大规模的阻塞,除了在发生特殊的恶意攻击的时候(而且这种阻塞通常更具针对性,可能具体到某个IP地址上)。所以有人会问,这为什么会在一个基于IPv6的互联网中进行改变。
此外,ISP可能会担心,当用户被阻止通过IPv6访问内容时,他们会联系ISP去抱怨(而不是作出此决定的内容提供商),从而增加客户支持成本,降低客户满意率,而且可能会对该ISP网络的用户数量带来负面影响。因此,ISP可能会因为DNS白名单的副作用而承担额外的负担。
如上所述,我们认为ISP应协同内容提供商检测和鉴别用户IPv6的问题。那么ISP就能够在协助用户配置连接到互联网中扮演其传统的角色。
Comcast的计划和思考
参与:Comcast曾尝试邀请DNS白名单的拥护者参与IETF相关的邮件列表的讨论,尝试逐步对以下概念进行定义:
1.定义:定义问题;
2.测量:确定如何检测和测量问题,并确定受影响的用户;
3.范围:确定测量出来的问题的规模或范围;
4.解决方案:制定一个可能的解决方案列表,然后采取行动去落实这些解决办法。
定义:基于本次(最近的)列表讨论,Comcast认为,问题可能是由于使用某些实现和/或6to4的终端用户配置以及Teredo转换机制造成的。当找到网站的一条AAAA记录时,可能同时导致最终用户接入一个网站的速度明显变慢,甚至无法访问。
测量:Comcast正在开发可用于在网站上检测上述情况的JavaScript和其他数据分析工具。一旦准备就绪,Comcast将让公众免费和公开地使用这些工具,并让互联网社区进行复用。Comcast还将很快和互联网社区共享通过这些方法收集到的统计数据,并将进一步尝试在Comcast IPv6信息中心的网站上(http://www.comcast6.net)说明这些统计数据。
Comcast对域名白名单政策
由于政策的原因,Comcast还没有计划对拥有的数以千计的域名中的任何一个实施DNS白名单。当我们发布AAAA记录时,公共互联网上的任何人都能看到,就像我们的A记录和其他RR那样。Comcast开始为选定的网站发布AAAA记录。
鼓励行业行动
就最近美国数字电视的迁移来说,我们不应低估消费者宣传活动的力量。例如,开发出一种良好的基于网页的检测问题的机制以及用户可以采取某些行动的建议,例如联系他们的ISP。那么,这种机制可以部署在ISP的网站、内容提供商的网站、监管机构的网站和行业协会的网站上。同样的,宣传活动可以用来找出受影响的用户,和他们沟通,并激励他们帮助解决任何潜在的、导致IPv6迁移的技术问题。Comcast乐于和其他核心的参与者合作,协调跨越互联网社区的尝试,这是能够提升ISOC和其他组织的价值的一个关键领域。
文章来源:《中国教育网络》杂志7月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。