网站IPv6升级中域名泛解析的安全分析

2023年12月8日发(作者：古诗四首)

-

Jiangxi Communication Science & Technology1009-0940(2020)-3-38-412020年3期 江西通信科技网站IPv6升级中域名泛解析的安全分析何黎明　江西省信息中心　南昌市　330036曾靓　江西广播电视台　南昌市　330036蔡敏　南昌市第十八中学　南昌市　330036摘 要：域名泛解析在日常网站域名维护中普遍使用，特别在网站的IPv6升级中广泛使用。网站维护人员在享受域名泛解析带来的便捷同时，也担心泛解析引入的安全风险。本文深入分析泛解析的安全影响，给出网站运行维护过程中如何正确使用泛解析的建议。关键词：IPv6　域名泛解析　网络安全0 前言随着全球IPv4地址的彻底枯竭，IPv6升级演进已经提到整个互联网，乃至整个社会的议事议程。在此过程中，网络的升级是前提，网站的改造是关键，因为没有IPv6的网站和内容，IPv6网络也无用武之地。但网站升级远比我们想象中的复杂，IPv6相对于IPv4而言，不仅仅是底层代码、内存变量、业务逻辑有所变化，即使最不引人注意的域名解析也会变成一个巨大的障碍。一些大型网站或网站群，网站内部的各级域名常常超过1000条，如果计算外部引用的域名，往往上万条。如果每一条域名都明确配置AAAA记录，解析IPv6地址，光是这种配置工作就相当繁重，甚至不具备操作性。所以域名的泛解析就普遍使用在IPv6域名解析中。甚至在IPv4阶段，很多内部IPv4域名解析也使用泛解析来减少配置的工作量，简化维护工作。1 域名泛解析原理和应用场景用户上网，首先需要知道目的网站的域名，然后发出域名解析请求（DNS请求），向域名解析服务器（DNS）请求解析网站域名所对应的网络地址，得到相应的网络地址后，用户才能根据网络地址向目的网站发出内容请求。在请求解析网络地址时，用户将根据自身支持协议类型发出不同类型的DNS请求。如果支持IPv4协议，用户将发出A类型的DNS请求，DNS将把相应被请求网站的A记录返回给用户，该A记录所记录的内容就是被请求网站的IPv4地址。如果支持IPv6议，用户将发出AAAA类型的DNS请求，DNS将把相应被请求网站的AAAA记录返回给用户，该AAAA记录所记录的内容就是被请求网站的IPv6地址。至此，用户已经完成DNS解析，获得相应网站的IP地址，如果能获得IPv6的地址，用户将优先使用IPv6协议通信，向网站发起IPv6的HTTP请求，如果没有获得IPv6地址，才使用IPv4协议通信，向网站发起IPv4的HTTP请求。具体DNS解析和网站访问流程如下图所示。图1　域名解析流程图可见DNS解析在用户上网过程中是至关重要的，如果不能成功进行DNS解析，相应域名所对应的网站或内容就无法访问。一般情况下，为了开发、运营、38

-