DNS安全的未来

　　在互联网发展的过程中，人们需要认识的是，互联网问题的解决中，不可能十全十美，任何解决方案都是一种“成功的妥协”。正如美国加州大学洛杉矶分校张丽霞教授所言：“互联网本身是一个生长的系统，它会不断地发展，不断地面临新的挑战。一个好的设计在于很好地做出妥协。”

　　DNS将在未来更加重要，首先，IPv4 地址耗尽使IPv6日渐成为主流，IPv6的地址段数远远大于IPv4的，人们几乎不太可能通过记忆地址数段来打开网页。在这种情况下，DNS的作用更加重要。但是这一切的基础是安全。

　　相关人士指出，目前许多DNS创新应用得以蓬勃发展。DNS新技术的发展孵化出众多的创新应用，使DNS展现出前所未有的生命力，在这些应用发展的同时，也同样督促着DNS协议本身的不断进步，使得DNS协议常用常青。

　　CNNIC 2012年《中国域名服务安全状况与态势分析报告》显示，当前全球域名服务在安全方面应重点关注以下几个方面的工作，以全面应对DNS的不断演进，特别是DNSSEC部署步伐的加快和IPv6普及程度的深入。

　　首先，服务器的操作系统和DNS软件应进行及时升级，保证对最新漏洞的及时修补。对采用BIND的DNS服务器，应关闭软件的版本应答功能，提供一定程度的安全保证。

　　其次，测试表明，实施DNSSEC后（以RSA/SHA1算法、密钥长度ZSK为1024、KSK为2048为例），权威区文件增大4倍，网络带宽增大为4.5倍，CPU 使用率增大7%，内存容量增大205%；递归服务器DNS应答包增大5倍，网络带宽增大5倍，CPU使用率增大20%，内存占用率增大66.7%。因此，随着新通用顶级域申请的开放，应加快对DNSSEC 技术的培训和实际部署测试，以及时发现DNSSEC大规模部署之后密钥更新和数据加密操作中存在的故障。

　　第三，IPv6成为下一代互联网的基本特征，DNS系统对于IPv6资源记录和过渡环境的全面支持需要进一步完善。

　　第四，对于大数据包的支持不仅能使DNS平滑支持DNSSEC和IPv6，也为DNS以后的演进奠定基础，这不仅需要协议层面的功能支撑，而且需要整个网络环境对于大数据包的传输支持。

　　第五，DNS已经成为互联网恶意攻击的主要对象之一，因此，在服务架构方面增强DNS抗高强度DoS攻击能力不仅是提高DNS 权威服务体系生存性的有效方法，还能够为物联网、CDN等需要大规模、高性能DNS解析支撑的新型应用环境提供基本支持。

　　互联网的发展告诉我们，设计的成功推动了技术的革新，而技术的进步也推动了设计的成功，有一条忠告是，任何成功的系统，当它变大的时候需求就会变化，系统也要相应变化，所以如果想取得成功要遵照这个循环，也就是成功、规模扩大、发现问题、解决问题。然后才能迈上新台阶。