網站IPv6升級中域名泛解析的安全分析

2023年12月8日發(作者：古詩四首)

-

Jiangxi Communication Science & Technology1009-0940(2020)-3-38-412020年3期 江西通信科技網站IPv6升級中域名泛解析的安全分析何黎明　江西省信息中心　南昌市　330036曾靚　江西廣播電視臺　南昌市　330036蔡敏　南昌市第十八中學　南昌市　330036摘?要：域名泛解析在日常網站域名維護中普遍使用，特別在網站的IPv6升級中廣泛使用。網站維護人員在享受域名泛解析帶來的便捷同時，也擔心泛解析引入的安全風險。本文深入分析泛解析的安全影響，給出網站運行維護過程中如何正確使用泛解析的建議。關鍵詞：IPv6　域名泛解析　網絡安全0 前言隨著全球IPv4地址的徹底枯竭，IPv6升級演進已經提到整個互聯網，乃至整個社會的議事議程。在此過程中，網絡的升級是前提，網站的改造是關鍵，因為沒有IPv6的網站和內容，IPv6網絡也無用武之地。但網站升級遠比我們想象中的復雜，IPv6相對于IPv4而言，不僅僅是底層代碼、內存變量、業務邏輯有所變化，即使最不引人注意的域名解析也會變成一個巨大的障礙。一些大型網站或網站群，網站內部的各級域名常常超過1000條，如果計算外部引用的域名，往往上萬條。如果每一條域名都明確配置AAAA記錄，解析IPv6地址，光是這種配置工作就相當繁重，甚至不具備操作性。所以域名的泛解析就普遍使用在IPv6域名解析中。甚至在IPv4階段，很多內部IPv4域名解析也使用泛解析來減少配置的工作量，簡化維護工作。1 域名泛解析原理和應用場景用戶上網，首先需要知道目的網站的域名，然后發出域名解析請求（DNS請求），向域名解析服務器（DNS）請求解析網站域名所對應的網絡地址，得到相應的網絡地址后，用戶才能根據網絡地址向目的網站發出內容請求。在請求解析網絡地址時，用戶將根據自身支持協議類型發出不同類型的DNS請求。如果支持IPv4協議，用戶將發出A類型的DNS請求，DNS將把相應被請求網站的A記錄返回給用戶，該A記錄所記錄的內容就是被請求網站的IPv4地址。如果支持IPv6議，用戶將發出AAAA類型的DNS請求，DNS將把相應被請求網站的AAAA記錄返回給用戶，該AAAA記錄所記錄的內容就是被請求網站的IPv6地址。至此，用戶已經完成DNS解析，獲得相應網站的IP地址，如果能獲得IPv6的地址，用戶將優先使用IPv6協議通信，向網站發起IPv6的HTTP請求，如果沒有獲得IPv6地址，才使用IPv4協議通信，向網站發起IPv4的HTTP請求。具體DNS解析和網站訪問流程如下圖所示。圖1　域名解析流程圖可見DNS解析在用戶上網過程中是至關重要的，如果不能成功進行DNS解析，相應域名所對應的網站或內容就無法訪問。一般情況下，為了開發、運營、38

-