國際網際網路交換中心發展趨勢及未來展望

作者:

林明源  TWIX技術團隊  資深工程師

王彥傑  TWIX技術團隊  資深工程師

自1981年,TCP/IP成為ARPANET及網際資訊網路Internet之標準通信協定後,散佈於世界各地之電腦、主機及系統開始彼此相連,逐漸形成錯綜複雜的網路。伴隨2000年WWW服務蓬勃發展,參與網際網路的角色也越趨多元,演變為交互影響的網路生態系統。

完整之商用Internet係由網路骨幹營運商(IBP)、網路服務營運商(ISP)、網際網路交換中心(Internet Exchange,IX)、內容供應商(ICP)及使用者所組成,彼此相互連結,完成點對點通訊(如圖1)。網路骨幹營運商(IBP)提供高速網際網路骨幹,網路服務營運商(ISP)連結骨幹營運商、內容提供商(ICP),並提供接取服務給使用者;網路交換中心(IX)則提供網路業者便捷的訊務交換環境。 閱讀全文 “國際網際網路交換中心發展趨勢及未來展望”

下一輪New gTLD真的快開放申請了嗎?

2007年,ICANN中負責制定通用頂級域名(generic top-level domain,gTLD)的通用域名支援組織(General Namese Supporting Organization,GNSO)理事會與ICANN董事會相繼決議通過了由GNSO提出的New gTLD發放政策建議。5年後,根據上述政策建議,ICANN公告New gTLD申請計畫,並首次開放新通用頂級域名(New gTLD)申請。

事實上,根據2007年通過的政策建議,New gTLD的申請應是「系統化、持續性的申請機制」。也因此,GNSO理事會於2014年6月成立新通用頂級域名討論小組,目的是回顧2012年申請流程的經驗,並確認是否需要啟動新一波政策發展流程(Policy Development Procedure,PDP),以解決2012年申請回合中遇到的問題。 閱讀全文 “下一輪New gTLD真的快開放申請了嗎?”

ICANN 2019年8月份域名濫用追蹤報告

域名濫用活動通報系統(Domain Abuse Activity Reporting System, DAAR)的建立,是因應網際網路社群針對相關安全威脅與濫用,所提出中立、可靠、持續的分析及洞察報告的要求。該系統採用公開及以社群為中心的方法論,研究並通報所有註冊管理機構(registry)與受理註冊機構(registrar)的頂級域名註冊,旨在整體評估及研析其所獲知的威脅,提供ICANN社群參考,以協助ICANN政策討論之用。有關DAAR基本概念,請參見此篇介紹,本文延續上一篇的文章介紹,追蹤8月份月報中域名濫用的趨勢。

8月31日的報告採用來自1,193個通用頂級域名(gTLD)中的195,148,739個解析域名,並與7月31日報告的1,193個gTLD中的194,695,116個域名進行比較。截至8月31日為止,DAAR系統在1,193個gTLD中,375個解析域名至少有一個具有安全威脅,與7月31日的報告相比,1,193個gTLD中,363個解析域名至少有一個具有安全威脅。因此,本報告僅對194,363,182個域名中,至少有一個安全威脅的375個 gTLD進行分析,如表1所示。

大約88%的解析域名是2010年之前發布的gTLD,以下簡稱「舊版(legacy) gTLD」。在728,775個被確定為安全威脅的域名中,425,908個(或58.44%)屬於舊版gTLD,其他302,867個(或41.56%)屬於新gTLD。在7月份月報中,在819,836個被確定為安全威脅的域名中,456,258個(或55.65%)屬於舊版gTLD,其他363,578個(或44.35%)屬於新gTLD。這表示舊版gTLD中,確認的安全威脅域名數量的大約增加了2.79%。被識別為具有安全威脅的域名,在本報告中並不是均勻分佈在所分析的gTLD中。新gTLD中,90%被識別為具安全威脅的域名,僅分布在29個gTLD中;而舊版gTLD中,90%的安全威脅域名僅出現在其中2個gTLD中。 

表1. DAAR收集域名解析及具安全威脅域名之TLD及域名數量比較表

從2018年12月起ICANN DAAR開始正式公布域名濫用報告,直到2019年8月為止,有安全威脅之域名數量趨勢圖如1所示,圖表呈現下降趨勢,新gTLD並未比舊版的gTLD多。2018年12月新gTLD具有安全威脅的域名已從約83萬個降至30.2萬個,舊版gTLD具有安全威脅的域名已從約70萬個降至42.6萬個,舊版TLD如.com、.net、.org等,雖然數量甚少,但仍為全球域名解析的主力,新開放的gTLD數量約略超過1,000個以上,但在ICANN持續強力監督下,其域名濫用情形並無想像中嚴重,其濫用域名總數目前是比舊版gTLD少。

圖1. 2018年12月至2019年8月有安全威脅之域名數量趨勢圖(依新舊gTLD區分)

2019年8月具安全威脅的728,775個域名中,其威脅形態屬於垃圾域名(Spam)的佔79.3%,仍然為最大宗,其次為釣魚域名(Phishing),佔10.9%,後面依序為惡意域名(Malware)4.9%、殭屍域名(Botnet Command & Control)4.9%,如圖2所示。

圖2. DAAR威脅型態分析

2018年12月至2019年8月 DAAR威脅型態分析趨勢如圖3所示。舊版gTLD的釣魚域名和垃圾域名有增加的趨勢,舊版gTLD的殭屍域名遠遠超過新gTLD,而垃圾域名部分則新、舊版gTLD約略相同。

圖3. 2018年12月至2019年8月DAAR威脅型態分析趨勢圖

另如要探究某一個TLD下的註冊域名,具安全威脅的比率 Pab表示如下,即某TLD的所有解析域名中,被確認為具有安全威脅的域名比率。

在2019年8月之比率約為0.38%,即1000個解析域名中,約有3.8個域名具安全威脅。2018年12月至2019年8月具有安全威脅的域名比率分析趨勢圖,如圖4所示,大致上呈現下降趨勢。

圖4. 2018年12月至2019年8月具有安全威脅的域名比率分析趨勢圖

再將具安全威脅的域名依類型區分,2018年12月至2019年8月各安全威脅類型的域名比率分析趨勢圖,如圖5所示。其中以垃圾域名最高,依序為釣魚域名、惡意域名和殭屍域名。

圖5. 2018.12-2019.08各安全威脅型態的域名比率分析趨勢圖

目前ICANN DAAR系統公布的資料中,仍屬大類綜合型、統計過的資料,並非為原始收集的資料(Raw Data),僅能約略看出舊版gTLD、新gTLD域名濫用總數及具安全威脅的類型比率,並未公布究竟是哪些域名具安全威脅,而且其威脅類型僅有四大類,仍屬於較粗略的分類。或許ICANN有追蹤具安全威脅的個別域名的使用狀況,例如發信警告該域名之註冊管理機構或受理註冊機構,其被註冊的域名具有安全威脅,應要求註冊人予以改善等,但目前其真正作法尚不得而知。因ICANN在域名解析及使用資料收集方面具有權威性,對註冊管理機構及受理註冊機構具有合約規範權利,期盼ICANN DAAR系統收集的原始資料,未來能夠開放給社群使用,且其統計方式亦可採開放資料開源方式,由社群創意呈現,進而能透過開放社群力量,共同監督註冊管理機構、受理註冊機構及註冊人(registrants)合法使用域名,以減少域名濫用的安全威脅。

有關DAAR相關訊息,包括DAAR各月的報告資料,可參考ICANN DAAR網站訊息

簡介《網路與管轄權全球現況報告》主要內容

全球首部網路跨境管轄權挑戰報告出爐

2016年開始的「網路與管轄權政策網絡全球會議」(The Global Conference of the Internet & Jurisdiction Policy Network)旨在降低網路跨境法規的衝突與緊張,並發展具體可行的解決方案。今年63日至5日於德國柏林召開的第三屆會議中,大會發布了全球首部的《網路與管轄權全球現況報告》(Internet & Jurisdiction Global Status Report)主要發現,該報告就網際網路跨境法律政策挑戰的過去、現在與未來趨勢提出完整描述,也期能作為全球利害關係人制定數位社會與經濟框架與政策標準的參考。 閱讀全文 “簡介《網路與管轄權全球現況報告》主要內容”

網路分裂案例-伊朗國家資訊網路

今年5月,伊朗官方宣布其打造的國家內網「國家資訊網路(National Information Network, NIN)」建置進度已達 80%,德黑蘭當局希望能透過NIN的建立來降低對全球網際網路的倚賴,建構網路空間的國家主權,以維護國家安全。據報導指出,公、私部門至目前為止投入在建置國家網路平臺上的經費分別約2.85億美元以及1.66億美元。 閱讀全文 “網路分裂案例-伊朗國家資訊網路”

介紹ICANN域名註冊資料標準化存取模型(SAM)

因應歐盟於2018525日開始施行GDPR,過去一年來ICANN全面檢視與檢討全球網路域名註冊人註冊資料的欄位項目及開放WHOIS查詢的資料欄位項目,是否符合GDPR個人資料收集、處理、利用之適法性要求。WHOIS(依新的RDAP協定建置的系統稱為Registration Directory ServiceRDS)這個全球公開的分佈式域名註冊資料查詢目錄服務,目前包含至少超過1.87億個域名的註冊記錄資訊。ICANN通過私人合約的方式與超過2,500個域名註冊管理機構和註冊服務商簽約,這些機構與ICANN一樣,皆受GDPR施行的影響。 閱讀全文 “介紹ICANN域名註冊資料標準化存取模型(SAM)”

漆咸樓觀點:解決網路分裂問題

英國非營利智庫皇家國際事務研究所(Royal Institute of International Affairs),或稱為漆咸樓(Chatham House)在6月12日發布Tackle the ‘Splinternet’(解決分裂網路)文章,其主要論述為:全球不同治理模式間的競爭增加了數位空間管制的難度,為避免壓制型治理模式持續擴散,西方國家得加把勁廣泛宣傳有關「開放與良好管制的治理模式」的優點。

兩位作者Marjorie Buchser及Joyce Hakmeh在文中首先提及,因為跟不上技術與安全威脅發展,用以保護資料隱私、防範犯罪、建立AI倫理標準等的必要機制與工具不足造成了政府在管制面的缺口。文中進一步解釋,不斷進展中的技術基礎建設包含了由不同企業、政府、非營利組織所設計出的硬體、系統、演算法、通訊協定與標準等元素。在不同的文化、經濟與政治背景下,也讓這些技術有迥然不同的實踐方式。 閱讀全文 “漆咸樓觀點:解決網路分裂問題”

網路審查與封鎖 – 日益增長的網路分裂

Fortune專欄作家Jeff John Roberts在今年5月底以「網路分裂日益增長」(The Splinternet Is Growing為題撰文提到,各國政府透過網路內容審查或網站封鎖,在虛擬的網際網路上劃出邊界,造成所謂網路巴爾幹化(balkanization)現象;即使此現象自20世紀90年代以來就已存在,但近年有加劇趨勢。 閱讀全文 “網路審查與封鎖 – 日益增長的網路分裂”

DNS的未來?—談DNS-over-HTTPS及其對網路治理的意涵

自從IETF RFC8484規範文件發布以來,DNS-over-HTTPS (DoH) 這項將域名解析安全化的方案,在技術社群引起不小的爭論。對於網路使用者來說,究竟域名解析是如何進行,或許已經大大超出一般使用者關心的範圍,然而,其在強化安全的背後,對於政府、ISP業者甚至網路治理組織而言,會帶來哪些可能的影響,也已經成為今年網路治理相關會議討論的焦點。

DoH技術概觀

DoH的基本作法,是將DNS解析請求透過HTTPS協定加密連線傳輸,補足傳統DNS解析安全性不足的問題,希望透過HTTPS來降低域名劫持等中間人攻擊的風險,進而強化網路安全性,並減少使用者資料被竊取的機會來保障隱私。Mozilla基金會除在IETF提出RFC8484規範文件,建立DoH的規範外,也在Firefox 62版開始支援,並與DNS服務業者Cloudflare合作,以1.1.1.1實作支援DoH的可信遞迴解析器(trusted recursive resolver)。TWNIC的Quad101,在RFC8484於去年10月生效後,也於12月宣布跟進支援DoH。此外,Google Public DNS和Quad9也在今年年初逐步支援DoH。

近年透過DNS進行大規模網路攻擊的事件層出不窮,在此情況下,直接透過使用者上網必定會使用的瀏覽器,以實作DoH的可信遞迴解析器來保護DNS解析傳輸,似乎是個快速簡便的解法。另外一項強化安全解決方案DNSSEC,推出多年來其全球普及率一直無法提升,是因為其簽署認證來自於ICANN的根域名伺服器,層層傳輸過程中進行簽署,形成信任鍊(chain of trust),確保解析結果自根域名伺服器始並未遭到竄改,故需要在各層DNS上均佈署支援DNSSEC的DNS管理軟體版本。對域名註冊商或ISP業者來說,這得冒著一旦其中任何一層認證發生錯誤,便有無法解析、影響服務的風險,還不如採取以不變應萬變的保守作法。

安全的代價

然而,看似簡易的DoH,其實更將徹底改變網路信任的生態。首先是傳輸集中化,將使瀏覽器成為新的守門員。現在,DNS傳輸散布在世界上許許多多的伺服器間,各受所在地相關法律管轄,使用者可以自由選擇;而在DoH廣泛使用的未來,四大網路瀏覽器公司掌握了全世界90%市占率,也將掌握90%的DNS傳輸,這些瀏覽器各受該公司所在國的法律管轄。而在隱私部分,雖然加密傳輸無法竊取查詢紀錄,但使用者的查詢資料就受到解析器所在國的相關法律規範、而非使用者所在國法律所管轄,DNS服務提供者也可能將這些資料作其他運用來獲利。

從使用者的角度,若對網路的信任以及安全,都掌握在少數的瀏覽器和解析器上,是不是可能會出現問題?在2月舉行的APRICOT2019/APNIC 47,APNIC主任科學家Geoff Huston 表示,為了達到保護DNS隱私的目的,使用者將必須自行選擇使用的遞迴解析器和加密方式,如果其解析器無法信任,對隱私的影響可能比什麼都不做更糟。近期Mozilla Firefox附加元件失效的事件,或許也能提供一些思考方向。極力推廣DoH的Mozilla,自2015年始便要求套件開發者都需要數位簽證,來確保使用者本機端和Firefox伺服器端都使用同樣的版本,但在5月4日,由於Firefox伺服器簽署認證過期,竟導致大量擴充套件和佈景主題失效。雖然Mozilla開發團隊盡全力修補,但使用者本機端很可能因擴充套件相容性,仍然使用較舊的版本,導致開發團隊即使釋出最新修補版,也無法徹底解決所有使用者的問題。這顯示,瀏覽器一旦發生問題,反而容易成為單點障礙(Single point of failure),且由於市場大者恆大,影響範圍將會非常廣。

對於ISP業者來說,DoH除了可能因強制使用遠端解析器,而影響內容傳遞網路的效率外,也有安全上的顧慮。許多ISP業者能夠透過在地化DNS設定過濾惡意軟體和殭屍網路,並且由監控DNS流量來了解網路問題,或者是否受惡意軟體影響。使用DoH則會讓ISP喪失這些途徑,遠端解析器不大可能對單一地區受威脅的狀況進行反應,而ISP業者更完全無法取得DoH流量資訊。當政府因執法需求,直接要求ISP業者提供使用者網路造訪紀錄時,在使用DoH的狀況下,亦無從回應。以英國為例,2016年通過的調查權力法案(Investigatory Power Act),要求ISP業者留存用戶長達12個月網路使用資料,使用DoH則ISP業者將無法達成此要求,這也使得英國各大電信業者紛紛公開表示DoH的可能影響,希望能夠協調出應對方案來因應。

更甚者,在廣泛使用DoH瀏覽器的未來,是誰真正負責管轄、具有型塑網路發展的能力?若是以DNSSEC強化安全,其信任的對象即是負責管理根域名伺服器的ICANN,以及其多方利害關係人治理架構,但使用DoH時,信任對象便轉移至瀏覽器公司以及合作提供DNS解析服務的業者,並將受到所在國法律管轄。在今年已經舉行的幾個網路治理重要會議上,DoH以及其潛在意涵都是核心討論議題,如3月的ICANN 64與5月11日剛結束的ICANN DNS Symposium,Open-Xchange的政策總監Vittorio Bertola在發表中提醒,DoH實質上是網路政策議題,而不單單是一個強化安全方案而已。

小結

雖然政府、ISP業者以及技術社群均提出疑慮,由現況來看,DoH的潮流恐怕已經很難避免,尤其市占率最大的Google Chrome,已經傳出將在下一次更新正式支援DoH,預期可能會大幅增加整體解析流量中DoH的占比,要如何因應,也將會是未來整個網路治理社群必須共同面對的議題。

  1. 101.101.101.101 支援 DoH (Queries over HTTPS), 台灣網路資訊中心2019年1月份電子報
  2. John E Dunn, DNS over HTTPS is coming whether ISPs and governments like it or not, naked security by SOPHOS 2019/04/24
  3. Zak Doffman, Google Chrome Update — ‘A Threat To Children, Cybersecurity And Government Snooping,’ The Forbes 2019/04/22
  4. Geoff Huston, DNS Privacy, APRICOT 2019, 2019/02/27