哈佛大学：DNS 域名系统失去多样性

据哈佛大学的一组研究人员称，全球排名前8位的dns提供商现在控制了最大网站59%的解析，网络面临着巨大的风险。该组织由哈佛大学的谢恩•格林斯坦(shanegreenstein)领导，并警告说，自2011年以来，dns的“熵”(指的是其分布的广泛程度)已经下降，集中在“少数主要的云服务公司”。该组织的研究报告指出，如果攻击者在这些dns服务中发现了弱点，那么这种状态就会显得特别脆弱。

dns(将人类可读的url如www.theregister.co.uk转换为ip地址的数据库)总是被设计成高分布式的，因为如果每一个请求都通过每一个可能的链接到一个权威的服务器，那么系统就无法应付这么多请求。

dns的缓存记录逐渐在互联网上减少依赖顶级域名(tld)服务器,但格林斯坦的论文认为多样性下降,矛盾的是,因为公司为其客户提供云服务让事情如此简单:“公司如亚马逊网络服务,akamai和直流发电机提供可伸缩的和经常容易配置外部dns主机选项与其他云服务,使它比以往更容易管理dns”。

为了测量这种浓度，greenstein的团队从2011年11月到2017年5月，每个月都在网站、。net和org两个后缀中抽取了alexa上的排名前1000个域名，收集每个域名的域名信息。

这是通过统计计算得出的市场集中度，赫芬达-赫斯曼指数或hhi。这是美国司法部和联邦贸易委员会使用的反托拉斯文献的标准度量标准。上升的hhi是一个不好的信号，但这正是研究人员发现的。

dns中上升浓度(hhi)是攻击事件中的坏消息。

样本包括dyn,neustar,aws,akamai,ultradns,cloudflare。

在他们衡量的空间中，该团队发现，从2011年到2017年，排名前8位的供应商的市场份额从24%增至59%，而排名前四的供应商的市场份额从17%升至近50%。

该报道称:“在2011年11月，该样本的最高供应商占了4.9%的股份，而在2017年5月，这一比例已经达到17.3%。”他们发现的另一个趋势是，在一个使用易于使用的云服务的世界中，外部dns托管已经超过了内部dns服务器。

该报道称，对于那些担心这可能会让他们对一个miraio风格的僵尸网络公开他们的dns提供商的公司来说，解决方案很简单。

该报告称，企业应该通过从多个供应商那里获取dns管理服务，使其域名的来源多样化。与一天的停机成本相比，这是“一项相对成本较低且令人难以理解的决定”。