域名北京新网数码信息技术有限公司

中国互联网络信息中心&国家域名安全联盟1中国互联网络信息中心&国家域名安全联盟2目录专业术语表31、前言42、摘要43、域名服务安全状况53.
1根域名服务系统53.
2顶级域名服务系统93.
3二级及以下权威域名服务系统133.
4递归域名服务系统174、域名服务安全评估224.
1权威服务安全状态224.
2递归服务安全状态235、域名服务安全态势分析256、国家域名安全联盟年度报告.
26中国互联网络信息中心&国家域名安全联盟3专业术语表缩略语英文全称中文全称ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DLVDNSSECLookasideValidation域名系统安全旁路认证DoSDenialofService拒绝服务攻击DSDelegationSigner授权签名者gTLDGeneralTopLevelDomain通用顶级域名ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPv4InternetProtocolversion4互联网协议第四版本IPv6InternetProtocolversion6互联网协议第六版本TCPTransmissionControlProtocol传输控制协议TTLTimeToLive生存时间UDPUserDatagramProtocol用户数据报协议中国互联网络信息中心&国家域名安全联盟41、前言域名系统(DomainNameSystem,DNS)是互联网重要的基础设施,目前大多数的互联网应用,如网页浏览、电子邮件、文件传输等,都依赖域名系统来实现网络资源的寻址和定位.
对域名系统的安全检测一方面有助于对域名服务器安全状态进行完整、精确、深入的把握,另一方面也可以借助于域名系统安全状况进行互联网安全态势的分析和评估.
自2009年起,中国互联网络信息中心(以下简称CNNIC)即开始从多角度对整个域名服务体系的配置情况和安全态势进行检测与分析,为了对域名服务体系的运行状态和安全配置情况进行更为准确、客观的了解,CNNIC基于此方面已有工作,2012年在全国范围内部署了更为广泛的检测节点,并设计开发了故障、配置、性能和流量等多角度的检测项,以对域名服务体系的根域名服务系统、顶级权威域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运行状态和安全状况进行全面检测和客观评估.
2、摘要周期性的重复检测及分析结果显示:1)Linux和BIND为权威及递归服务器所采用的最主要的操作系统和域名解析软件,但BIND的版本应答比例普遍较高,具有一定安全隐患;2)根域名服务系统的协议支持完善,安全保障较好.
此外,由于采用了全球范围内的镜像部署,可提供稳定高效的解析服务;3)顶级权威域名服务系统的冗余配置较好,保证了稳定的解析性能,但对DNSSEC及相关配套协议的支持还有待进一步完善;4)二级及以下权威域名服务系统分布广泛,服务器配置状态参差不齐,主要在DNSSEC和服务器冗余配置方面应进一步加强;5)递归域名服务系统的主要问题为端口随机性设置仍有待加强.
此外,虽然递归域名服务器对EDNS0的支持已经较为普遍,但并未有效配置以支持大数据包,仍有94%以上的服务器仅支持512bytes以内的数据包.
中国互联网络信息中心&国家域名安全联盟53、域名服务安全状况整个域名服务体系包括提供域名服务的所有域名系统,由两大类别、四个环节组成:第一类是权威域名解析服务系统,包括根域名服务系统、顶级域名服务系统和其他各级域名服务系统三个环节.
权威域名服务系统由各级域名持有者管理,负责维护和保存各级权威域的域名信息,并且接受递归服务器的查询请求.
第二类是递归域名解析服务系统,它们面向终端用户提供域名查询服务,主要由基础运营商运行管理.
具体架构如图1所示.
图1域名服务体系的构成根据域名服务体系构成及其各部分的服务模式,本报告从域名服务体系各系统的底层操作系统和DNS软件到上层的域名服务架构,以及服务器的功能配置和解析性能进行检测,以期全面反映域名服务体系的安全配置情况和运行状态.
3.
1根域名服务系统3.
1.
1简介DNS通过层次化的形式管理域名数据,从而以分阶段的方式将人们可以记住的域名转换为计算机使用的数字以寻找其对应的目的地.
根域名服务系统作为提供DNS权威数据的入口,其服务器数量和分布对互联网域名解析服务性能和安全稳定有很大的影响.
截至2012年12月17日,域名系统13个根服务器在全球的镜像节点数量共348个,其分布如图2所示,中国大陆有F根、I根、J根和L中国互联网络信息中心&国家域名安全联盟6根的镜像节点.
图2根镜像全球分布情况根服务器的运营管理者及对应的IP和AS号如表1所示.
表1根服务器主要情况1根服务器运营者IP地址AS号AVeriSign,Inc.
IPv4:198.
41.
0.
4IPv6:2001:503:BA3E::2:3019836BInformationSciencesInstituteIPv4:192.
228.
79.
201IPv6:2001:478:65::534CCogentCommunicationsIPv4:192.
33.
4.
122149DUniversityofMarylandIPv4:128.
8.
10.
90IPv6:2001:500:2D::D27ENASAAmesResearchCenterIPv4:192.
203.
230.
10297F*ISCIPv4:192.
5.
5.
241IPv6:2001:500:2f::f3557GU.
S.
DODNICIPv4:192.
112.
36.
45927HU.
S.
ArmyResearchLabIPv4:128.
63.
2.
53IPv6:2001:500:1::803f:23513I*AutonomicaIPv4:192.
36.
148.
17IPv6:2001:7fe::5329216J*VeriSign,Inc.
IPv4:192.
58.
128.
30IPv6:2001:503:C27::2:3026415KRIPENCCIPv4:193.
0.
14.
129IPv6:2001:7fd::1251521注:"*"表示在中国境内具有该服务器镜像节点.
中国互联网络信息中心&国家域名安全联盟7L*ICANNIPv4:199.
7.
83.
42IPv6:2001:500:3::4220144MWIDEProjectIPv4:202.
12.
27.
33IPv6:2001:dc3::3575003.
1.
2DNSSEC随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作.
若要在长期内消除此漏洞,唯一的解决方案是以端到端的形式部署DNSSEC协议.
开发DNSSEC技术的目的之一是通过对DNS数据进行数字签名来抵御此类攻击,从而使用户确信所接收到的数据有效.
但是,为了从互联网中彻底消除该漏洞,必须在从根区域到最终域名的查找过程中的每一步部署DNSSEC.
因此,作为DNSSEC信任链的根源,根服务器是否支持DNSSEC对于整个DNS服务体系部署DNSSEC至关重要.
检测结果显示,根服务器都已经部署了DNSSEC服务(ICANN于2010年已宣布,根区完成DNSSEC签名).
数据加密算法为RSA/SHA-256.
此外,所有根服务器都支持NSEC3,从而避免区文件被遍历、枚举的风险.
3.
1.
3IPv6和TCPIPv6的普及离不开DNS对IPv6的支持.
根服务器中有3个还未支持IPv6,分别为C、E、G节点.
此外,在现行DNS标准中,数据包大小被控制在512Byte以下,通过一个UDP数据包进行传输.
如果DNS支持IPv6的话,在DNS请求的应答当中,IPv6地址就会与IPv4地址一起发送过来.
这样一来,返回的信息量自然就超过了512Byte,而DNS服务器在交换超过512Byte的数据时应采用TCP代替UDP.
检测结果显示,所有的根服务器都支持TCP协议.
由此可见,根服务器的IPv6和TCP支持已经较为完善.
中国互联网络信息中心&国家域名安全联盟83.
1.
4服务架构为了保证全球DNS服务的高可用性以及抗攻击能力,根服务器采用Anycast机制在全球范围内广泛部署镜像节点.
截至2012年12月11日,全球共有348个DNS根服务器镜像节点,除了由InformationSciencesInstitute运维的B根和由UniversityofMaryland运维的D根外,其他11个根服务器均在全球范围内部署了广泛的镜像节点,具体分布如图3所示.
图3根服务器镜像部署情况3.
1.
5查询时延根域名服务系统采用Anycast机制保证多个镜像节点对于用户访问的透明性,该机制会将用户的DNS查询引导到距其最近的DNS根服务节点,从而起到了一定的负载均衡作用.
因此,根服务器查询时延的大小对于检测节点的位置有直接的依赖性.
为了全面反映国内互联网用户访问根服务器的时延,本报告对分布在全国范围内的39个检测节点的探测结果取平均值,具体结果如图4所示.
661249624370171296020406080100120140ACEFGHIJKLM镜像节点数量中国互联网络信息中心&国家域名安全联盟9图4根服务器查询时延分布情况(毫秒ms)中国早在2003年就拥有了第一个根服务器的镜像——F根镜像,这是由ISC和中国电信共同建立的.
2005年,I根的管理机构Autonomica在CNNIC设立了中国第二个根镜像.
2006年,原中国网通与美国Verisign公司正式开通J根的中国镜像服务器.
2011年,CNNIC在北京新增一个F根镜像.
此外,CNNIC于2012年又部署了国内第一个L根镜像节点.
这四个根的镜像节点也成为我国境内DNS查询请求最主要的根域名服务节点.
3.
2顶级域名服务系统3.
2.
1简介根据国际互联网域名体系的构成,顶级域名分为四类:通用顶级域名(gTLD)、国家与地区顶级域名(ccTLD)、基础设施类顶级域名(目前仅有.
arpa)和实验性顶级域.
其中通用顶级域gTLD可细分为组织主办类(Sponsored),通用类(Generic),及限制通用类(Generic-restricted),当前全球域名服务体系共有329个TLD.
3.
2.
2DNS软件顶级权威域名服务器所采用DNS软件分布如表2所示.
采用BIND的比例高达93.
04%,版本区间9.
2.
3rc1-9.
4.
0a0内的比例为98%.
可见,BIND在所有208219215269257236257295143218161245123050100150200250300350ABCDEFGHIJKLMABCDEFGHIJKLM中国互联网络信息中心&国家域名安全联盟10DNS软件中所占比例绝对领先,但有很大比例的BIND服务器仍使用较旧版本.
此外,37.
4%的BIND软件开启版本应答功能,具有一定的安全隐患.
表2顶级权威服务器的DNS软件分布软件类型软件版本所占比例DJBernsteinTinyDNS1.
050.
29%ISCBIND8.
3.
0-RC1--8.
4.
40.
49%9.
2.
0rc7--9.
2.
2-P31.
08%9.
2.
3rc1--9.
4.
0a091.
47%JHSOFTsimpleDNSplus0.
10%MeilofVeeningenPosadis0.
10%NLnetLabsNSD1.
2.
3--2.
1.
20.
20%2.
1.
30.
20%NominumANS0.
20%UltraDNS2.
7.
0.
2--2.
7.
30.
78%VeriSignATLAS5.
10%3.
2.
3DNSSEC随着业界对于DNSSEC的努力推动,各顶级域名管理机构陆续开始部署DNSSEC服务,至今已有31%的顶级权威域实现了DNSSEC签名,对于所支持的加密算法,均为RSASHA1-NSEC3-SHA1和RSA/SHA-256.
其中有91个TLD已经在根区发布了其对应的DS记录,其中有3个TLD也同时向ISC的DLV提交了DS记录,分别为.
am,.
kg和.
ua.
但是有20%的DNSSEC顶级权威域名服务器未支持NSEC3而采用传统的NSEC机制,具有区文件被遍历、枚举从而泄露所管理的域名解析数据的风险.
3.
2.
4IPv6和TCP顶级权威域名服务器对IPv6和TCP协议的支持情况如图5所示.
中国互联网络信息中心&国家域名安全联盟11图5顶级权威服务器的IPv6和TCP支持性(%)可见,顶级权威服务器的IPv6和TCP支持比较完善.
3.
2.
5服务架构TLD的权威服务器均具有冗余配置2,具体情况如图6所示.
图6服务器冗余性分布(%)但是1.
6%的权威服务器仍然开启递归服务,这种配置缺陷具有易遭受DoS攻击的风险.
3.
2.
6解析性能部署多台权威服务器能够起到增强权威解析服务鲁棒性和抗攻击能力的效2注:本报告以一个顶级域所具有的服务地址数量表示其冗余性程度.
43.
4456.
560102030405060IPv6TCP3.
7011.
4815.
9315.
9324.
0714.
817.
412.
591.
850.
740.
740.
740510152025302345678910111213中国互联网络信息中心&国家域名安全联盟12果.
但检测显示,16%的TLD域名具有数据不一致的问题,即同一个顶级域的多台权威服务器数据不完全相同,这将会导致客户端从不同服务器查询得到不一致的DNS信息3.
服务器如果设置较大的TTL,有可能会使客户端接收到过期的DNS缓存数据,但如果TTL设置过小,权威服务器将会因为频繁的DNS更新和区传输导致较大的开销,顶级权威域的TTL设置分布如图7所示.
图7顶级权威域的TTL设置分布(%)顶级权威域名服务器的查询时延分布如图8所示.
图8顶级权威服务器查询时延分布(%)由于顶级权威域的运维和管理都较为成熟完善,不仅整体配置和功能实现较为完善,查询时延也较平稳、服务状态良好.
3注:不排除检测时发生区传输等影响区数据的操作.
1.
4844.
4414.
8135.
563.
700102030405086400s5.
115.
766.
2519.
9717.
4525.
328.
524.
382.
601.
792.
92051015202530123456789101111s中国互联网络信息中心&国家域名安全联盟133.
3二级及以下权威域名服务系统3.
3.
1简介二级及以下权威域名服务系统的基础建设普遍比较薄弱,运维能力也参差不齐.
而其中一些域名服务器,如运行重点域名的服务器或运行重要信息系统的域名服务器,其所提供的权威数据直接影响到互联网用户各种应用的开展,一旦发生问题后果非常严重.
为了抽样了解二级及以下权威域名服务系统的安全状态,本报告选择在中国境内使用最广泛的.
CN、.
COM和.
NET顶级域下的超过1.
2亿个二级及以下域名作为检测对象.
3.
3.
2操作系统和DNS软件Linux为权威服务器使用的最主流的操作系统类型,所占比例高达70.
9%.
BIND在所有DNS软件中所占比例绝对领先,为92.
17%.
具体分布如表3所示.
表3二级及以下权威服务器的DNS软件分布软件类型软件版本所占比例DJBernsteinTinyDNS1.
040.
04%1.
055.
14%ISCBIND4.
9.
3--4.
9.
110.
04%8.
1-REL--8.
2.
1-T4B0.
04%8.
3.
0-RC1--8.
4.
40.
47%9.
1.
0--9.
1.
30.
02%9.
2.
0a1--9.
2.
2-P30.
02%9.
2.
0rc4--9.
2.
2-P30.
02%9.
2.
0rc7--9.
2.
2-P30.
56%9.
2.
3rc1--9.
4.
0a091.
20%JHSOFTsimpleDNSplus0.
49%MicrosoftWindowsDNS20000.
70%20030.
06%NT40.
04%NLnetLabsNSD2.
1.
30.
02%NominumANS0.
02%PowerDNS2.
8--2.
9.
30.
02%2.
9.
4--2.
9.
110.
06%SamTrenholmeMaraDNS0.
04%TZOTzolkinDNS0.
02%中国互联网络信息中心&国家域名安全联盟14UltraDNS2.
7.
0.
2--2.
7.
30.
02%XBILLjnamed(dnsjava)0.
02%bboyMyDNS0.
95%但有91%的BIND服务器使用的版本为9.
2.
3rc1-9.
4.
0a0.
此外,40%的BIND软件仍开启版本应答功能,具有一定的安全隐患.
3.
3.
3DNSSEC虽然DNS根区和顶级域的DNSSEC部署已经比较广泛,但是二级及以下的权威域中仅有0.
25%部署了DNSSEC服务,这也是整个DNS业界期望整体实现DNSSEC功能、避免安全孤岛的工作重点所在.
对于已经签名的区域,所支持的加密算法分布如图9所示.
图9支持DNSSEC的二级及以下各级权威域的加密算法分布(%)此外,有39.
7%的DNSSEC权威服务器未支持NSEC3而采用传统的NSEC机制.
3.
3.
4IPv6和TCP二级及以下各级权威域名服务器对IPv6和TCP协议的支持情况如图10所示.
0.
131.
7228.
9610.
2058.
730.
240.
010.
030.
0334.
9855.
738.
550.
660.
03010203040506070135781012DNSKEYDS1RSA/MD53DSA/SHA-15RSA/SHA-17RSASHA1-NSEC3-SHA18RSA/SHA-25610RSA/SHA-51212GOSTR34.
10-2001中国互联网络信息中心&国家域名安全联盟15图10二级及以下各级权威服务器的IPv6和TCP支持情况(%)由此可见,二级及以下各级权威的IPv6和TCP支持率仅为0.
77%和54.
68%,未能很好的支持DNS的演进.
3.
3.
5服务架构在服务冗余方面,二级及以下各级权威域配置较好,具体情况如图11所示.
图11二级及以下各级权威服务器冗余性分布(%)但是15.
9%的权威服务器仍然开启递归服务,这种配置缺陷具有易遭受DoS攻击的风险.
3.
3.
6解析性能二级及以下权威域名的TTL设置分布如图12所示.
0.
7754.
680102030405060IPv6TCP69.
246.
283.
863.
600.
630.
040.
020204060802345678中国互联网络信息中心&国家域名安全联盟16图12二级及以下各级权威域名TTL设置分布(%)服务器的查询时延分布情况如图13所示.
图13二级及以下各级权威服务器查询时延分布(%)由于二级及以下各级权威域的服务能力和运维水平参差不齐,因此服务器的查询时延分布较广、差别很大.
3.
3.
7.
CN重点域名权威服务器检测结果为了能够更加全面深入的了解.
CN域名体系的整体安全状态,本报告从.
CN顶级域区文件中抽样选择了300个来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生行业的重点域名,对其权威服务器配置情况进行扫描.
结果显示,.
CN重点域名权威服务器所用Linux比例为42%.
DNS软件中,采用各版本BIND软件所占比例为94%,但是,其中有高达30%的BIND服务器均开启了版本应答,存在一定的安全隐患.
.
CN重点域名权威服务器的协议支持情况如图14所示.
13.
9051.
076.
8927.
910.
23010203040506086400s1.
133.
146.
5816.
5820.
1718.
7512.
638.
095.
083.
354.
500510152025123456789101111s中国互联网络信息中心&国家域名安全联盟17图14.
CN重点域名权威服务器的IPv6和TCP支持情况(%)由此可见,.
CN重点域名对于IPv6的支持性有待进一步加强.
此外,有24.
5%的服务器开启递归服务,存在遭受DoS攻击的风险.
重点域名的TTL设置情况如图15所示.
图15.
CN重点域名的TTL设置分布(%)由此可见,大部分重点域名的TTL设置较大,域名权威数据稳定.
此外,超过95%的重点域名权威服务器的解析时延均小于100ms,具有良好的服务性能.
3.
4递归域名服务系统3.
4.
1简介递归域名服务系统作为和客户端直接交互的环节,其配置情况和运行状态对于用户所获取到的DNS解析数据的完整性、正确性和及时性有直接的影响.
为了了解全球范围内的递归服务器配置情况和运行状态,本报告以.
CN顶级域名权威服务器连续7天日志中的递归服务器作为检测样本,进行如下检测.
2.
1872.
76020406080IPv6TCP16.
2458.
674.
4320.
660204060801s中国互联网络信息中心&国家域名安全联盟21图20国内递归服务器对最大数据包支持分布(%)国内递归服务器的端口随机性分布如图21所示,该结果和全球递归服务器的端口随机性状况基本一致.
图21国内递归服务器端口随机性分布国内递归服务器的查询时延分布如图22所示.
图22国内递归服务器查询时延分布(%)由此可见,国内递归服务器查询时延基本分布在300ms以内,整体解析性能良好.
92.
260.
302.
690.
064.
690204060801001s中国互联网络信息中心&国家域名安全联盟224、域名服务安全评估域名服务体系安全评估旨在针对域名体系特定环节,选择恰当的检测项并进行归一化处理,然后根据域名系统常见安全威胁进行检测项的权重设置,从而通过量化以实现对该系统整体安全状态的客观、准确评估.
4.
1权威服务安全状态权威服务器主要用于维护和提供DNS权威数据,其可能遭受的攻击包括DoS攻击、数据篡改等,对权威服务器的安全评估主要考虑权威系统服务架构、服务器配置、安全功能支持以及服务器性能四个方面.
安全指标如表5所示.
表5权威服务安全指标安全指标值含义0≤#北京新网数码信息技术有限公司、成都西维数码科技有限公司、杭州电商互联科技有限公司、厦门易名科技有限公司共计五家成员单位完成了设备发放和上线部署工作,在提高相关单位域名服务稳定性、提高抵御攻击能力方面发挥了重要作用.
今后,联盟还将根据联盟成员的需求和反馈情况,继续推进此项工作.
(二)域名系统安全预警信息、安全事件分析、域名行业安全动态等方面信息的共享工作.
截至2012年底,联盟已面向广大联盟成员累计推送《DNS安全信息与动态报告》15期,通报DNS高危漏洞5次,提高了联盟成员对域名系统安全事件的预防和发现能力,得到了广大联盟成员的充分认可和肯定.
(三)面向联盟成员开展域名安全监测和域名应用检测服务.
今年六月,联盟向43家成员单位发送了《CN域名权威服务器安全检测报告》,同时逐月提供针对性的《域名不良应用检测服务报告》.
截至2012年底,已为联盟成员推送5期总计258份检测报告,累计检测域名1700万次,检出疑似不良应用域名99个.
此项服务加强了联盟成员对自身域名系统整体运行情况以及所属域名应用情中国互联网络信息中心&国家域名安全联盟27况的整体了解和把控,得到了广大联盟成员的积极反馈.
在新的一年里,联盟将继续开展和深入以上各项工作,同时积极拓展更多的服务形式,推进各成员单位间的协作创新,为促进域名行业安全、健康、快速的发展创造更加有利的环境.
中国互联网络信息中心&国家域名安全联盟28本报告版权归中国互联网络信息中心(CNNIC)所有.
如引用或转载请注明来源.
中国互联网络信息中心&国家域名安全联盟29