DNS的潜在危险性

　　当前DNS的潜在危险性主要有三：

　　1. DNS信息被篡改。由于DNS报文协议天生不足，其域名信息容易被篡改，包括报文欺骗、缓存中毒等，通过实施DNSSEC可以解决此问题。但实施DNSSEC需要完善的电子证书体系，以美国为核心的电子证书体系从国家层面来说存在更大的危险性。

　　2. DDoS攻击。由于DNS是一个拥有中心的树状结构，很容易遭受DDoS攻击，且无有效手段防范，攻击越靠近中心效果越显著。解决的方法是使DNS体系去中心化，提高DNS的自治能力。

　　3. 体系危险性。由于历史的原因，根域、重要的顶级域和根证书由美国政府掌控，这对各国互联网络的危险性始终存在。解决的思路同样是使DNS体系去中心化。

　　为了解决以上三个问题，在此提出以下七条不成熟

　　解决方案，比较极端，仅供引玉。

　　1. 要求我国境内所有使用.COM域名的网站必须同时注册.CN域名，建立与.COM域名的对应关系，并与.COM同时并行使用，做好宣传工作。.NET、.ORG亦然。一些知名网站已经这样做了，但力度不够。

　　2. 将.CN域的管理提高到国家安全层面，增建7个节点，达到13个，每个节点建立若干镜像，应充分考虑地理位置上的分散性。每个省、直辖市、自治区都拥有至少一个.CN节点或镜像。既可提高服务性能，又可提高安全性。

　　3. 国家层面建设三台“伪”根域服务器，替换美国航空航天管理局E节点、美国国防部网络信息中心的G节点、美国陆军研究所的H节点。立法要求国内所有运营商、各单位的DNS服务器软件的根设置指向这三个节点，不允许直接使用国外的13台根域服务器。考虑到根域所辖顶级域信息的有限性和稳固性，由管理人员手动操作与国外根域信息的同步。由于Bind和Windows DNS两种软件占有了DNS服务器的大多数，修改这两个软件的根定义文件即可实现。

　　4. 国家层面建设若干台“伪”.COM域服务器，三台“伪”根域服务器将.COM权威域指向“伪”.COM域服务器。在第1条中已得到国内网站的.COM信息，解析没有问题；国外的.COM网站由“伪”.COM域服务器访问境外的.COM域服务器进行递归解析，然后返回解析结果，通过充分利用DNS的缓存机制，性能不是问题。.NET、.ORG同样处理。

　　5. 理想情况下，每个省、直辖市、自治区都建设至少一个“伪”根域服务器镜像、一个“伪”.COM域服务器镜像，以分散负载，提高性能和安全性。DNS服务器镜像的设置应充分考虑国内网络的拓扑结构、地理位置和管理布局，例如中国电信、中国联通、教育网分别考虑。由于IPv6支持Anycasting，随着我国IPv6网络的建设深入，实施这一条具备了更多的可行性。通过合适的设置和布局，应该能使DNS体系具备基本的自治能力。

　　事实上，我国的智能DNS解析技术就已经使DNS具备了初步的自治色彩。

　　6. 从国家层面建设健全我国自己的电子证书体系，进而实施DNSSEC，而非基于美国的电子证书体系建设DNSSEC，否则在美国的网络军队面前，我国在DNS体系安全方面采取的所有措施，在特殊情况下都形同虚设。

　　7. 在规范的DNS解析过程中，解析一个新的域名，第一跳就是根域服务器，然后一层一层往下走，属于典型的从上至下型。如果反过来，解析的第一跳是询问自己的上一级域服务器，一层一层往上走，与规范查询过程及灵活的缓存方案相结合，也许能够实现DNS体系的自治。

　　总之，作为互联网的基础设施，DNS体系先天不足，其潜在的危险性，我们应该有充分的认识，并主动采取补救之措施，核心措施包括实现DNS体系的自治性和去中心化。