递归网络信息中心

中国互联网络信息中心&国家域名安全联盟1中国互联网络信息中心&国家域名安全联盟2目录专业术语表31、前言42、摘要43、域名服务安全状况53.
1根域名服务系统53.
2顶级域名服务系统93.
3二级及以下权威域名服务系统133.
4递归域名服务系统174、域名服务安全评估224.
1权威服务安全状态224.
2递归服务安全状态235、域名服务安全态势分析256、国家域名安全联盟年度报告.
26中国互联网络信息中心&国家域名安全联盟3专业术语表缩略语英文全称中文全称ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DLVDNSSECLookasideValidation域名系统安全旁路认证DoSDenialofService拒绝服务攻击DSDelegationSigner授权签名者gTLDGeneralTopLevelDomain通用顶级域名ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPv4InternetProtocolversion4互联网协议第四版本IPv6InternetProtocolversion6互联网协议第六版本TCPTransmissionControlProtocol传输控制协议TTLTimeToLive生存时间UDPUserDatagramProtocol用户数据报协议中国互联网络信息中心&国家域名安全联盟41、前言域名系统(DomainNameSystem,DNS)是互联网重要的基础设施,目前大多数的互联网应用,如网页浏览、电子邮件、文件传输等,都依赖域名系统来实现网络资源的寻址和定位.
对域名系统的安全检测一方面有助于对域名服务器安全状态进行完整、精确、深入的把握,另一方面也可以借助于域名系统安全状况进行互联网安全态势的分析和评估.
自2009年起,中国互联网络信息中心(以下简称CNNIC)即开始从多角度对整个域名服务体系的配置情况和安全态势进行检测与分析,为了对域名服务体系的运行状态和安全配置情况进行更为准确、客观的了解,CNNIC基于此方面已有工作,2012年在全国范围内部署了更为广泛的检测节点,并设计开发了故障、配置、性能和流量等多角度的检测项,以对域名服务体系的根域名服务系统、顶级权威域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运行状态和安全状况进行全面检测和客观评估.
2、摘要周期性的重复检测及分析结果显示:1)Linux和BIND为权威及递归服务器所采用的最主要的操作系统和域名解析软件,但BIND的版本应答比例普遍较高,具有一定安全隐患;2)根域名服务系统的协议支持完善,安全保障较好.
此外,由于采用了全球范围内的镜像部署,可提供稳定高效的解析服务;3)顶级权威域名服务系统的冗余配置较好,保证了稳定的解析性能,但对DNSSEC及相关配套协议的支持还有待进一步完善;4)二级及以下权威域名服务系统分布广泛,服务器配置状态参差不齐,主要在DNSSEC和服务器冗余配置方面应进一步加强;5)递归域名服务系统的主要问题为端口随机性设置仍有待加强.
此外,虽然递归域名服务器对EDNS0的支持已经较为普遍,但并未有效配置以支持大数据包,仍有94%以上的服务器仅支持512bytes以内的数据包.
中国互联网络信息中心&国家域名安全联盟53、域名服务安全状况整个域名服务体系包括提供域名服务的所有域名系统,由两大类别、四个环节组成:第一类是权威域名解析服务系统,包括根域名服务系统、顶级域名服务系统和其他各级域名服务系统三个环节.
权威域名服务系统由各级域名持有者管理,负责维护和保存各级权威域的域名信息,并且接受递归服务器的查询请求.
第二类是递归域名解析服务系统,它们面向终端用户提供域名查询服务,主要由基础运营商运行管理.
具体架构如图1所示.
图1域名服务体系的构成根据域名服务体系构成及其各部分的服务模式,本报告从域名服务体系各系统的底层操作系统和DNS软件到上层的域名服务架构,以及服务器的功能配置和解析性能进行检测,以期全面反映域名服务体系的安全配置情况和运行状态.
3.
1根域名服务系统3.
1.
1简介DNS通过层次化的形式管理域名数据,从而以分阶段的方式将人们可以记住的域名转换为计算机使用的数字以寻找其对应的目的地.
根域名服务系统作为提供DNS权威数据的入口,其服务器数量和分布对互联网域名解析服务性能和安全稳定有很大的影响.
截至2012年12月17日,域名系统13个根服务器在全球的镜像节点数量共348个,其分布如图2所示,中国大陆有F根、I根、J根和L中国互联网络信息中心&国家域名安全联盟6根的镜像节点.
图2根镜像全球分布情况根服务器的运营管理者及对应的IP和AS号如表1所示.
表1根服务器主要情况1根服务器运营者IP地址AS号AVeriSign,Inc.
IPv4:198.
41.
0.
4IPv6:2001:503:BA3E::2:3019836BInformationSciencesInstituteIPv4:192.
228.
79.
201IPv6:2001:478:65::534CCogentCommunicationsIPv4:192.
33.
4.
122149DUniversityofMarylandIPv4:128.
8.
10.
90IPv6:2001:500:2D::D27ENASAAmesResearchCenterIPv4:192.
203.
230.
10297F*ISCIPv4:192.
5.
5.
241IPv6:2001:500:2f::f3557GU.
S.
DODNICIPv4:192.
112.
36.
45927HU.
S.
ArmyResearchLabIPv4:128.
63.
2.
53IPv6:2001:500:1::803f:23513I*AutonomicaIPv4:192.
36.
148.
17IPv6:2001:7fe::5329216J*VeriSign,Inc.
IPv4:192.
58.
128.
30IPv6:2001:503:C27::2:3026415KRIPENCCIPv4:193.
0.
14.
129IPv6:2001:7fd::1251521注:"*"表示在中国境内具有该服务器镜像节点.
中国互联网络信息中心&国家域名安全联盟7L*ICANNIPv4:199.
7.
83.
42IPv6:2001:500:3::4220144MWIDEProjectIPv4:202.
12.
27.
33IPv6:2001:dc3::3575003.
1.
2DNSSEC随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作.
若要在长期内消除此漏洞,唯一的解决方案是以端到端的形式部署DNSSEC协议.
开发DNSSEC技术的目的之一是通过对DNS数据进行数字签名来抵御此类攻击,从而使用户确信所接收到的数据有效.
但是,为了从互联网中彻底消除该漏洞,必须在从根区域到最终域名的查找过程中的每一步部署DNSSEC.
因此,作为DNSSEC信任链的根源,根服务器是否支持DNSSEC对于整个DNS服务体系部署DNSSEC至关重要.
检测结果显示,根服务器都已经部署了DNSSEC服务(ICANN于2010年已宣布,根区完成DNSSEC签名).
数据加密算法为RSA/SHA-256.
此外,所有根服务器都支持NSEC3,从而避免区文件被遍历、枚举的风险.
3.
1.
3IPv6和TCPIPv6的普及离不开DNS对IPv6的支持.
根服务器中有3个还未支持IPv6,分别为C、E、G节点.
此外,在现行DNS标准中,数据包大小被控制在512Byte以下,通过一个UDP数据包进行传输.
如果DNS支持IPv6的话,在DNS请求的应答当中,IPv6地址就会与IPv4地址一起发送过来.
这样一来,返回的信息量自然就超过了512Byte,而DNS服务器在交换超过512Byte的数据时应采用TCP代替UDP.
检测结果显示,所有的根服务器都支持TCP协议.
由此可见,根服务器的IPv6和TCP支持已经较为完善.
中国互联网络信息中心&国家域名安全联盟83.
1.
4服务架构为了保证全球DNS服务的高可用性以及抗攻击能力,根服务器采用Anycast机制在全球范围内广泛部署镜像节点.
截至2012年12月11日,全球共有348个DNS根服务器镜像节点,除了由InformationSciencesInstitute运维的B根和由UniversityofMaryland运维的D根外,其他11个根服务器均在全球范围内部署了广泛的镜像节点,具体分布如图3所示.
图3根服务器镜像部署情况3.
1.
5查询时延根域名服务系统采用Anycast机制保证多个镜像节点对于用户访问的透明性,该机制会将用户的DNS查询引导到距其最近的DNS根服务节点,从而起到了一定的负载均衡作用.
因此,根服务器查询时延的大小对于检测节点的位置有直接的依赖性.
为了全面反映国内互联网用户访问根服务器的时延,本报告对分布在全国范围内的39个检测节点的探测结果取平均值,具体结果如图4所示.
661249624370171296020406080100120140ACEFGHIJKLM镜像节点数量中国互联网络信息中心&国家域名安全联盟9图4根服务器查询时延分布情况(毫秒ms)中国早在2003年就拥有了第一个根服务器的镜像——F根镜像,这是由ISC和中国电信共同建立的.
2005年,I根的管理机构Autonomica在CNNIC设立了中国第二个根镜像.
2006年,原中国网通与美国Verisign公司正式开通J根的中国镜像服务器.
2011年,CNNIC在北京新增一个F根镜像.
此外,CNNIC于2012年又部署了国内第一个L根镜像节点.
这四个根的镜像节点也成为我国境内DNS查询请求最主要的根域名服务节点.
3.
2顶级域名服务系统3.
2.
1简介根据国际互联网域名体系的构成,顶级域名分为四类:通用顶级域名(gTLD)、国家与地区顶级域名(ccTLD)、基础设施类顶级域名(目前仅有.
arpa)和实验性顶级域.
其中通用顶级域gTLD可细分为组织主办类(Sponsored),通用类(Generic),及限制通用类(Generic-restricted),当前全球域名服务体系共有329个TLD.
3.
2.
2DNS软件顶级权威域名服务器所采用DNS软件分布如表2所示.
采用BIND的比例高达93.
04%,版本区间9.
2.
3rc1-9.
4.
0a0内的比例为98%.
可见,BIND在所有208219215269257236257295143218161245123050100150200250300350ABCDEFGHIJKLMABCDEFGHIJKLM中国互联网络信息中心&国家域名安全联盟10DNS软件中所占比例绝对领先,但有很大比例的BIND服务器仍使用较旧版本.
此外,37.
4%的BIND软件开启版本应答功能,具有一定的安全隐患.
表2顶级权威服务器的DNS软件分布软件类型软件版本所占比例DJBernsteinTinyDNS1.
050.
29%ISCBIND8.
3.
0-RC1--8.
4.
40.
49%9.
2.
0rc7--9.
2.
2-P31.
08%9.
2.
3rc1--9.
4.
0a091.
47%JHSOFTsimpleDNSplus0.
10%MeilofVeeningenPosadis0.
10%NLnetLabsNSD1.
2.
3--2.
1.
20.
20%2.
1.
30.
20%NominumANS0.
20%UltraDNS2.
7.
0.
2--2.
7.
30.
78%VeriSignATLAS5.
10%3.
2.
3DNSSEC随着业界对于DNSSEC的努力推动,各顶级域名管理机构陆续开始部署DNSSEC服务,至今已有31%的顶级权威域实现了DNSSEC签名,对于所支持的加密算法,均为RSASHA1-NSEC3-SHA1和RSA/SHA-256.
其中有91个TLD已经在根区发布了其对应的DS记录,其中有3个TLD也同时向ISC的DLV提交了DS记录,分别为.
am,.
kg和.
ua.
但是有20%的DNSSEC顶级权威域名服务器未支持NSEC3而采用传统的NSEC机制,具有区文件被遍历、枚举从而泄露所管理的域名解析数据的风险.
3.
2.
4IPv6和TCP顶级权威域名服务器对IPv6和TCP协议的支持情况如图5所示.
中国互联网络信息中心&国家域名安全联盟11图5顶级权威服务器的IPv6和TCP支持性(%)可见,顶级权威服务器的IPv6和TCP支持比较完善.
3.
2.
5服务架构TLD的权威服务器均具有冗余配置2,具体情况如图6所示.
图6服务器冗余性分布(%)但是1.
6%的权威服务器仍然开启递归服务,这种配置缺陷具有易遭受DoS攻击的风险.
3.
2.
6解析性能部署多台权威服务器能够起到增强权威解析服务鲁棒性和抗攻击能力的效2注:本报告以一个顶级域所具有的服务地址数量表示其冗余性程度.
43.
4456.
560102030405060IPv6TCP3.
7011.
4815.
9315.
9324.
0714.
817.
412.
591.
850.
740.
740.
740510152025302345678910111213中国互联网络信息中心&国家域名安全联盟12果.
但检测显示,16%的TLD域名具有数据不一致的问题,即同一个顶级域的多台权威服务器数据不完全相同,这将会导致客户端从不同服务器查询得到不一致的DNS信息3.
服务器如果设置较大的TTL,有可能会使客户端接收到过期的DNS缓存数据,但如果TTL设置过小,权威服务器将会因为频繁的DNS更新和区传输导致较大的开销,顶级权威域的TTL设置分布如图7所示.
图7顶级权威域的TTL设置分布(%)顶级权威域名服务器的查询时延分布如图8所示.
图8顶级权威服务器查询时延分布(%)由于顶级权威域的运维和管理都较为成熟完善,不仅整体配置和功能实现较为完善,查询时延也较平稳、服务状态良好.
3注:不排除检测时发生区传输等影响区数据的操作.
1.
4844.
4414.
8135.
563.
700102030405086400s5.
115.
766.
2519.
9717.
4525.
328.
524.
382.
601.
792.
92051015202530123456789101111s中国互联网络信息中心&国家域名安全联盟133.
3二级及以下权威域名服务系统3.
3.
1简介二级及以下权威域名服务系统的基础建设普遍比较薄弱,运维能力也参差不齐.
而其中一些域名服务器,如运行重点域名的服务器或运行重要信息系统的域名服务器,其所提供的权威数据直接影响到互联网用户各种应用的开展,一旦发生问题后果非常严重.
为了抽样了解二级及以下权威域名服务系统的安全状态,本报告选择在中国境内使用最广泛的.
CN、.
COM和.
NET顶级域下的超过1.
2亿个二级及以下域名作为检测对象.
3.
3.
2操作系统和DNS软件Linux为权威服务器使用的最主流的操作系统类型,所占比例高达70.
9%.
BIND在所有DNS软件中所占比例绝对领先,为92.
17%.
具体分布如表3所示.
表3二级及以下权威服务器的DNS软件分布软件类型软件版本所占比例DJBernsteinTinyDNS1.
040.
04%1.
055.
14%ISCBIND4.
9.
3--4.
9.
110.
04%8.
1-REL--8.
2.
1-T4B0.
04%8.
3.
0-RC1--8.
4.
40.
47%9.
1.
0--9.
1.
30.
02%9.
2.
0a1--9.
2.
2-P30.
02%9.
2.
0rc4--9.
2.
2-P30.
02%9.
2.
0rc7--9.
2.
2-P30.
56%9.
2.
3rc1--9.
4.
0a091.
20%JHSOFTsimpleDNSplus0.
49%MicrosoftWindowsDNS20000.
70%20030.
06%NT40.
04%NLnetLabsNSD2.
1.
30.
02%NominumANS0.
02%PowerDNS2.
8--2.
9.
30.
02%2.
9.
4--2.
9.
110.
06%SamTrenholmeMaraDNS0.
04%TZOTzolkinDNS0.
02%中国互联网络信息中心&国家域名安全联盟14UltraDNS2.
7.
0.
2--2.
7.
30.
02%XBILLjnamed(dnsjava)0.
02%bboyMyDNS0.
95%但有91%的BIND服务器使用的版本为9.
2.
3rc1-9.
4.
0a0.
此外,40%的BIND软件仍开启版本应答功能,具有一定的安全隐患.
3.
3.
3DNSSEC虽然DNS根区和顶级域的DNSSEC部署已经比较广泛,但是二级及以下的权威域中仅有0.
25%部署了DNSSEC服务,这也是整个DNS业界期望整体实现DNSSEC功能、避免安全孤岛的工作重点所在.
对于已经签名的区域,所支持的加密算法分布如图9所示.
图9支持DNSSEC的二级及以下各级权威域的加密算法分布(%)此外,有39.
7%的DNSSEC权威服务器未支持NSEC3而采用传统的NSEC机制.
3.
3.
4IPv6和TCP二级及以下各级权威域名服务器对IPv6和TCP协议的支持情况如图10所示.
0.
131.
7228.
9610.
2058.
730.
240.
010.
030.
0334.
9855.
738.
550.
660.
03010203040506070135781012DNSKEYDS1RSA/MD53DSA/SHA-15RSA/SHA-17RSASHA1-NSEC3-SHA18RSA/SHA-25610RSA/SHA-51212GOSTR34.
10-2001中国互联网络信息中心&国家域名安全联盟15图10二级及以下各级权威服务器的IPv6和TCP支持情况(%)由此可见,二级及以下各级权威的IPv6和TCP支持率仅为0.
77%和54.
68%,未能很好的支持DNS的演进.
3.
3.
5服务架构在服务冗余方面,二级及以下各级权威域配置较好,具体情况如图11所示.
图11二级及以下各级权威服务器冗余性分布(%)但是15.
9%的权威服务器仍然开启递归服务,这种配置缺陷具有易遭受DoS攻击的风险.
3.
3.
6解析性能二级及以下权威域名的TTL设置分布如图12所示.
0.
7754.
680102030405060IPv6TCP69.
246.
283.
863.
600.
630.
040.
020204060802345678中国互联网络信息中心&国家域名安全联盟16图12二级及以下各级权威域名TTL设置分布(%)服务器的查询时延分布情况如图13所示.
图13二级及以下各级权威服务器查询时延分布(%)由于二级及以下各级权威域的服务能力和运维水平参差不齐,因此服务器的查询时延分布较广、差别很大.
3.
3.
7.
CN重点域名权威服务器检测结果为了能够更加全面深入的了解.
CN域名体系的整体安全状态,本报告从.
CN顶级域区文件中抽样选择了300个来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生行业的重点域名,对其权威服务器配置情况进行扫描.
结果显示,.
CN重点域名权威服务器所用Linux比例为42%.
DNS软件中,采用各版本BIND软件所占比例为94%,但是,其中有高达30%的BIND服务器均开启了版本应答,存在一定的安全隐患.
.
CN重点域名权威服务器的协议支持情况如图14所示.
13.
9051.
076.
8927.
910.
23010203040506086400s1.
133.
146.
5816.
5820.
1718.
7512.
638.
095.
083.
354.
500510152025123456789101111s中国互联网络信息中心&国家域名安全联盟17图14.
CN重点域名权威服务器的IPv6和TCP支持情况(%)由此可见,.
CN重点域名对于IPv6的支持性有待进一步加强.
此外,有24.
5%的服务器开启递归服务,存在遭受DoS攻击的风险.
重点域名的TTL设置情况如图15所示.
图15.
CN重点域名的TTL设置分布(%)由此可见,大部分重点域名的TTL设置较大,域名权威数据稳定.
此外,超过95%的重点域名权威服务器的解析时延均小于100ms,具有良好的服务性能.
3.
4递归域名服务系统3.
4.
1简介递归域名服务系统作为和客户端直接交互的环节,其配置情况和运行状态对于用户所获取到的DNS解析数据的完整性、正确性和及时性有直接的影响.
为了了解全球范围内的递归服务器配置情况和运行状态,本报告以.
CN顶级域名权威服务器连续7天日志中的递归服务器作为检测样本,进行如下检测.
2.
1872.
76020406080IPv6TCP16.
2458.
674.
4320.
66020406080网络信息中心&国家域名安全联盟183.
4.
2操作系统和DNS软件Linux是递归服务器所采用的主要操作系统类型,所占比例达到51.
8%.
所采用的DNS软件中,BIND所占比例高达93.
5%,其中以9.
2.
3rc1—9.
4.
0a0软件最多,占所有BIND软件的96%,具体分布如表4所示.
表4递归服务器的DNS软件分布软件类型软件版本所占比例ATOSStargateADSL0.
09%CiscoCNR0.
04%DJBernsteinTinyDNS1.
050.
81%ISCBIND4.
9.
3--4.
9.
110.
09%8.
1-REL--8.
2.
1-T4B0.
43%8.
3.
0-RC1--8.
4.
41.
20%9.
1.
0--9.
1.
30.
04%9.
2.
0a1--9.
2.
2-P30.
09%9.
2.
0rc7--9.
2.
2-P32.
01%9.
2.
3rc1--9.
4.
0a089.
62%JHSOFTsimpleDNSplus0.
30%MicrosoftWindowsDNS20001.
07%20030.
13%NLnetLabsNSD1.
0alpha1.
20%NominumCNS1.
79%PaulRomboutspdnsd0.
09%PowerDNS2.
9.
4--2.
9.
110.
04%RaidenDNSD0.
13%VeriSignATLAS0.
34%bboyMyDNS0.
09%robtexVikingDNS0.
09%由此可见,BIND在所有DNS软件中所占比例绝对领先,但有很大比例的BIND服务器仍使用较旧版本.
此外,39.
34%的BIND软件仍开启版本应答功能.
3.
4.
3协议支持程度递归服务器对DNSSEC的支持率仅为0.
29%,而对TCP的支持率为61.
3%.
对EDNS0的支持率为96.
16%.
但对于大数据包的支持仍不乐观,如图16所示.
中国互联网络信息中心&国家域名安全联盟19图16递归服务器对最大数据包支持分布(%)长期以来,递归服务器一直受到缓存中毒攻击的威胁,而其中主要的原因就是递归服务器的端口随机性不足,从而提高了中毒攻击的成功率,图17所示为递归服务器的端口随机性分布.
图17递归服务器端口随机性分布3.
4.
4查询时延递归服务器的查询时延分布如图18所示.
由此可见,递归服务器解析时延差异较大.
94.
130.
131.
210.
144.
39020406080100网络信息中心&国家域名安全联盟20图18递归服务器查询时延分布(%)3.
4.
5国内递归服务器检测结果本报告抽样选择了26000个国内运行的递归服务器,对其配置情况进行针对性的检测.
结果显示,递归服务器BIND软件的比例为87.
4%.
BIND版本应答比例为19.
8%,低于全球递归服务器的BIND版本应答比例.
其协议支持情况如图19所示.
图19国内递归服务器协议支持情况(%)由此可见,递归服务器对于EDNS0的支持已经非常广泛,但是对于大数据包的支持却不容乐观,具体如图20所示.
5.
1410.
6122.
2630.
0522.
345.
651.
860.
630.
390.
260.
8005101520253035123456789101130.
8493.
17020406080100TCPEDNS011s中国互联网络信息中心&国家域名安全联盟21图20国内递归服务器对最大数据包支持分布(%)国内递归服务器的端口随机性分布如图21所示,该结果和全球递归服务器的端口随机性状况基本一致.
图21国内递归服务器端口随机性分布国内递归服务器的查询时延分布如图22所示.
图22国内递归服务器查询时延分布(%)由此可见,国内递归服务器查询时延基本分布在300ms以内,整体解析性能良好.
92.
260.
302.
690.
064.
690204060801001s中国互联网络信息中心&国家域名安全联盟224、域名服务安全评估域名服务体系安全评估旨在针对域名体系特定环节,选择恰当的检测项并进行归一化处理,然后根据域名系统常见安全威胁进行检测项的权重设置,从而通过量化以实现对该系统整体安全状态的客观、准确评估.
4.
1权威服务安全状态权威服务器主要用于维护和提供DNS权威数据,其可能遭受的攻击包括DoS攻击、数据篡改等,对权威服务器的安全评估主要考虑权威系统服务架构、服务器配置、安全功能支持以及服务器性能四个方面.
安全指标如表5所示.
表5权威服务安全指标安全指标值含义0≤#网络信息中心&国家域名安全联盟23图24各国家和地区的权威服务平均安全状态分布中国境内权威服务器平均安全指标为0.
39,安全状态差.
对于CN重点域名,其安全状态分布如图25所示.
图25CN重点域名安全状态分布(%)由此可见,CN重点域名权威服务器配置较为完善,安全状态良好.
4.
2递归服务安全状态递归服务器发起DNS解析操作,并对所获取到的权威数据进行缓存,其可能遭受的攻击包括DoS攻击、缓存中毒等,对递归服务系统的安全评估主要考虑服务器配置、安全功能支持以及服务器性能三个方面,安全指标如表6所示.
表6权威服务安全指标安全指标值含义0≤#网络信息中心&国家域名安全联盟24图26递归服务安全状态分布(%)由此可见,递归服务器安全状态整体较好.
各国家和地区的递归服务器平均安全状态如图27所示.
图27递归服务安全状态分布中国境内大部分递归服务器在配置和运维方面都较规范,其平均安全指标为0.
70,安全状态为优.
中国境内的递归服务器安全状态具体分布如图28所示.
图28国内递归服务安全状态分布(%)由此可见,递归服务器的安全状态相对较好.
但也有少部分服务器存在一定17.
253.
729.
101020304050600-0.
40.
4-0.
70.
7-10.
750.
720.
710.
700.
690.
690.
690.
680.
680.
680.
670.
670.
660.
650.
630.
610.
580.
580.
570.
5600.
10.
20.
30.
40.
50.
60.
70.
8MOSGHKCNTWVNKHTHLADMA1JPKRMVMYQANZUSPHLC4.
127.
568.
40204060800-0.
40.
4-0.
70.
7-1中国互联网络信息中心&国家域名安全联盟25的安全配置漏洞.
5、域名服务安全态势分析域名服务包含了权威域名服务和递归域名服务,域名服务器的正确、安全和可靠运行对于整个互联网的正常运作至关重要.
本报告的检测结果表明,权威域名服务和递归域名服务在配置管理和运行维护方面均存在不同程度的安全隐患.
对于国内域名服务体系,权威域名服务器安全状态整体较差,但.
CN重点域名的安全状态良好.
此外,递归服务器的安全状态整体较好.
结合本报告检测结果,全球域名服务体系应着实加强如下方面的工作,以全面应对DNS的不断演进,特别是DNSSEC部署步伐的加快和IPv6普及程度的深入:1)服务器的操作系统和DNS软件应进行及时升级,保证对最新漏洞的及时修补.
对采用BIND的DNS服务器,应关闭软件的版本应答功能,提供一定程度的安全保证;2)测试表明,实施DNSSEC后(以RSA/SHA1算法、密钥长度ZSK为1024、KSK为2048为例),权威区文件增大4倍,网络带宽增大为4.
5倍,CPU使用率增大7%,内存容量增大205%;递归服务器DNS应答包增大5倍,网络带宽增大5倍,CPU使用率增大20%,内存占用率增大66.
7%.
因此,随着新gTLD申请的开放,应加快对DNSSEC技术的培训和实际部署测试,以及时发现DNSSEC大规模部署之后密钥更新和数据加密操作中存在的故障;3)IPv6成为下一代互联网的基本特征,DNS系统对于IPv6资源记录和过渡环境的全面支持需要进一步完善;4)对于大数据包的支持不仅能使DNS平滑支持DNSSEC和IPv6,也为DNS以后的演进奠定基础,这不仅需要协议层面的功能支撑,而且需要整个网络环境对于大数据包的传输支持;5)DNS已经成为互联网恶意攻击的主要对象之一,因此,在服务架构方面增强DNS抗高强度DoS攻击能力不仅是提高DNS权威服务体系生存性的有效方法,还能够为物联网、CDN等需要大规模、高性能DNS解析支撑的新型应用中国互联网络信息中心&国家域名安全联盟26环境提供基本支持;6)DNS服务器本身的解析能力和网络环境的具体情况都会对客户端感受到的DNS解析性能造成影响,因此,优化DNS解析性能应配合整个网络环境的优化和升级.
6、国家域名安全联盟年度报告2012年3月27日,由工业和信息化部通信保障局作为指导单位,由CNNIC国家域名安全中心发起的"国家域名安全联盟"(以下简称联盟)在京正式成立.
CNNIC作为联盟秘书处,负责联盟日常事务的处理和协调、会议召集、突发事件处理等.
本着自愿加入的原则,截至目前已有45家国内域名注册管理机构和域名注册服务机构加入该联盟,成为联盟的正式成员单位,并依照联盟章程享有相应的权利和义务.
自成立以来,联盟依照联盟章程面向联盟成员开展了以下几方面工作:(一)DNS抗攻击设备免费发放和试用活动.
此项举措得到了广大联盟成员单位的积极响应和参与.
截至2012年底,联盟已陆续为北京新网互联科技有限公司、北京新网数码信息技术有限公司、成都西维数码科技有限公司、杭州电商互联科技有限公司、厦门易名科技有限公司共计五家成员单位完成了设备发放和上线部署工作,在提高相关单位域名服务稳定性、提高抵御攻击能力方面发挥了重要作用.
今后,联盟还将根据联盟成员的需求和反馈情况,继续推进此项工作.
(二)域名系统安全预警信息、安全事件分析、域名行业安全动态等方面信息的共享工作.
截至2012年底,联盟已面向广大联盟成员累计推送《DNS安全信息与动态报告》15期,通报DNS高危漏洞5次,提高了联盟成员对域名系统安全事件的预防和发现能力,得到了广大联盟成员的充分认可和肯定.
(三)面向联盟成员开展域名安全监测和域名应用检测服务.
今年六月,联盟向43家成员单位发送了《CN域名权威服务器安全检测报告》,同时逐月提供针对性的《域名不良应用检测服务报告》.
截至2012年底,已为联盟成员推送5期总计258份检测报告,累计检测域名1700万次,检出疑似不良应用域名99个.
此项服务加强了联盟成员对自身域名系统整体运行情况以及所属域名应用情中国互联网络信息中心&国家域名安全联盟27况的整体了解和把控,得到了广大联盟成员的积极反馈.
在新的一年里,联盟将继续开展和深入以上各项工作,同时积极拓展更多的服务形式,推进各成员单位间的协作创新,为促进域名行业安全、健康、快速的发展创造更加有利的环境.
中国互联网络信息中心&国家域名安全联盟28本报告版权归中国互联网络信息中心(CNNIC)所有.
如引用或转载请注明来源.
中国互联网络信息中心&国家域名安全联盟29