2022年2月,俄罗斯与乌克兰之间爆发军事冲突,随即引发西方国家对俄实施制裁。全球互联网和基础设施同样受到影响:部分互联网服务提供商宣布暂停对俄业务;俄政府亦要求将重要域名和服务迁回至俄境内,并着手构建自主的互联网基础设施。因此,外界普遍猜测俄罗斯将逐渐摆脱对俄境外互联网基础设施的依赖。
论文从技术的角度,定量分析了近年来俄罗斯域名背后的DNS解析、数字证书等基础设施变化情况,特别是在俄乌冲突爆发前后是怎样迁移的。论文发表于网络测量领域顶级会议ACM IMC 2022,作者团队来自荷兰University of Twente等机构。
【研究背景】
作为全球互联网运行的基石,域名系统、数字证书等基础设施在网络安全、互联网治理等领域的地位日益凸显。与此同时,互联网基础设施也比以往更加容易受到各类国际局势的影响,并产生新的问题。例如,2021年美国司法部以散播虚假消息为由查封伊朗媒体域名,造成后者服务中断,引发普遍争议 [1]。
2022年2月,俄乌冲突爆发,全球互联网基础设施再次受到波及。一方面,冲突方寻求借助互联网基础设施实施制裁:乌克兰副总理曾公开致信互联网名称和数字地址分配机构(ICANN,系互联网域名空间的多边管理机构),主张撤销俄罗斯的顶级域名和根服务器节点,但遭到拒绝 [2]。另一方面,西方国家的制裁也蔓延至互联网基础设施:美国头部网络运营商Cogent、域名注册商Sedo、数字证书签发机构DigiCert等宣布停止对俄服务,亚马逊、Google等则暂停了俄罗斯境内的新用户注册。
而作为回应,俄罗斯也出台了一系列措施,令外界猜测其将逐渐摆脱对境外互联网基础设施的依赖。2022年3月,俄罗斯宣布国有的重要网站必须使用俄境内的基础设施,包括DNS解析和主机地址。除此之外,俄罗斯还建立了脱离于现有互联网信任体系的独立证书签发机构(CA),以应对数字证书被境外机构撤销的风险 [3]。
图表 1:俄罗斯的自建证书签发机构
论文从技术的角度,对近年来俄罗斯域名背后的基础设施迁移现象进行量化分析,从两个方面展开:
1. 域名解析方面:俄罗斯域名依赖的基础设施,是否有撤回俄境内的明显趋势,迁移又是否和俄乌冲突直接相关?
2. 数字证书方面:俄罗斯域名的数字证书,签发机构是否发生显著变化,有多少被撤销,又有多少开始依赖自建CA?
【研究方法】
(一)数据收集
论文将俄罗斯域名作为研究对象,具体包括.ru(俄罗斯国家顶级域)和.рф(俄罗斯国家顶级域的西里尔文形式)下的所有域名。借助OpenINTEL和Censys测量框架,作者获取了以下数据:
.ru和.рф的完整区域文件每日快照(2017至2022年):共包含1170万个域名,其中107个对应的实体明确被美国财政部和英国政府列入制裁清单
域名的主动DNS查询结果,包括A记录、NS记录以及权威服务器的IP地址
域名的数字证书,通过证书透明度(CT)日志获得
被撤销的数字证书,通过CRL和OCSP数据获得
(二)基础设施定位
对于一个域名,使用以下的方法定位它所依赖的基础设施:
域名解析方面:查询每个域名的A记录,以及权威服务器的IP地址归属地,并据此分为:全部在俄境内(full)、部分在俄境内(part)、完全不在俄境内(non)三类。
数字证书方面:通过数字证书的Issuer DN字段定位签发机构。
【主要发现】
在数据覆盖范围内,作者通过研究.ru和.рф域名的DNS解析和证书数据,得到以下结论:
(一)域名解析基础设施的迁移
1. 域名指向的IP地址(A记录):跨境迁移幅度很小,基本为俄境外网络之间的迁移
在数据覆盖的5年期间,约71%的域名指向的地址全部位于俄境内,另有28%完全不在俄境内,这个比例随时间推移并无显著变化。
从所属自治系统(AS)来看,部分域名指向的IP地址在俄境外的网络之间存在明显迁移,这大多和迁出网络的制裁措施有关。例如,亚马逊和Sedo均宣布对俄业务的缩减,指向这两个网络的域名也因此大量转移到了荷兰的Serverel,但并未全部回迁至俄境内的网络。
图表 2:域名指向的IP地址所属网络演变趋势
2. 域名权威服务器的IP地址:冲突爆发后小幅向俄境内迁移
图3展示了权威服务器IP地址的分布变化。冲突爆发前大体保持稳定,约70%域名的权威服务器全部位于俄境内;冲突爆发后出现小幅回迁,约5%域名舍弃了位于俄境外的权威服务器。通过进一步分析回迁的域名,发现它们的权威服务器主要从Netnod(瑞典互联网运营商)的网络中回迁至RU-CENTER(俄罗斯域名注册商)。
图表 3:权威服务器IP地址演变趋势
3. 域名权威服务器所属顶级域:有向俄境外迁出的趋势,冲突爆发后仅小幅回迁
图4展示了权威服务器所属顶级域的分布变化。意外的是,俄罗斯域名的权威服务器所属顶级域有向外迁出的趋势,并且因此更加依赖俄境外的基础设施(如域名注册局);在此期间,依赖增长最多的顶级域是.com(由美国的Verisign公司管理)。
冲突爆发后,权威服务器所属顶级域同样有小幅回迁,但比例不到1%。
图表 4:权威服务器所属顶级域演变趋势
4. 被明确制裁的107个域名:指向的IP地址冲突前已位于俄境内,权威服务器IP地址回迁明显
在冲突爆发前,107个域名中有101个已经全部指向俄境内的IP地址,所以影响不大。而它们的权威服务器地址回迁明显,仍主要从瑞典Netnod网络中迁出。
图表 5:被制裁域名的权威服务器IP地址演变趋势
5. 主流服务提供商采取的措施和域名迁移趋势对比
部分服务提供商公开宣称限制对俄罗斯的服务。论文对俄罗斯域名在4家主流服务提供商网络的迁移现象进行了分析(2022年5月对比2022年3月),结果如下:
(二)数字证书的迁移
1. 证书签发机构:曾经为俄域名签发数字证书的十大机构,多数都暂停了签发行为
从CT日志中发现,自2022年3月下旬开始,10个主流机构中仅3家(Let"s Encrypt、Google、GlobalSign)仍然稳定地为俄域名签发数字证书,其余均有暂停迹象。也因此,ru和.рф下的域名目前呈现出集中依赖少量证书签发机构的现象:99%都依赖Let"s Encrypt(仍为一家美国公司)。
图表 6:主流机构签发俄罗斯域名证书的时间分布(绿色代表当天至少存在一次签发行为)
2. 证书撤销行为:部分机构的证书撤销比例在冲突后偏高
从CRL和OCSP数据中发现,DigiCert和Sectigo签发给所有被制裁域名的证书均已经被(主动或被动地)撤销,对于其他域名的证书撤销比例也偏高。
3. 俄自主CA签发的证书:目前观察到的案例仍然较少,对证书生态系统的影响暂不大
作者选择从Censys的互联网主动扫描结果中,提取每个IP地址上的数字证书信息。然而在这个数据集中,只观察到了170张由自主CA签发的证书。
【结论】
在俄乌冲突的背景之下,论文定量分析了俄罗斯域名背后的基础设施迁移现象。与外界猜测稍有差异的是,大规模的“回迁”现象似乎并没有发生:一方面,在冲突发生前,大量俄罗斯域名依赖的基础设施本身已完全位于俄境内;另一方面,并非所有的服务提供商都停止了对俄服务,即使从境外网络中回撤,受影响的域名也很快找到了新的提供商,自身的业务并未受到明显的影响。然而,部分基础设施出现集中化依赖的趋势,或许是不利的。
原文链接
https://dl.acm.org/doi/pdf/10.1145/3517745.3561423
参考文献
[1] 陆超逸,刘保君,段海新. 美国查封伊朗媒体域名事件背后的技术分析. https://mp.weixin.qq.com/s/IxXskW5r66Alyz9zFkCwCg
[2] Göran Marby. (Letter to Mykhailo Fedorov, Deputy Prime Minister of Ukraine). https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf
[3] Russia creates its own TLS certificate authority to bypass sanctions. https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/
陆超逸,编辑&审校|刘保君、张一铭
声明:本文来自NISL实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。