中国互联网络信息中心&国家域名安全联盟

1目录专业术语表.
21、前言.
32、摘要.
53、域名服务安全状况.
63.
1根域名服务系统.
63.
1.
1简介.
63.
1.
2协议支持.
73.
1.
3服务性能.
83.
2顶级域名服务系统.
103.
2.
1简介.
103.
2.
2系统软件.
103.
3.
3协议支持.
113.
3.
4服务性能.
113.
3二级及以下权威域名服务系统.
143.
3.
1简介.
143.
3.
2系统软件.
143.
3.
3协议支持.
153.
3.
4服务性能.
153.
3.
5国内重点权威域名服务系统.
163.
4递归域名服务系统.
193.
4.
1简介.
193.
4.
2系统软件.
193.
4.
3协议支持.
203.
4.
4服务性能.
213.
4.
5国内递归域名服务系统.
214、域名服务安全评估.
244.
1权威域名服务系统.
244.
2递归域名服务系统.
255、我国域名基础设施安全态势分析.
28中国互联网络信息中心&国家域名安全联盟2专业术语表缩略语英文全称中文全称ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DLVDNSSECLookasideValidation域名系统安全旁路认证DoSDenialofService拒绝服务攻击DSDelegationSigner授权签名者gTLDIANAGeneralTopLevelDomainInternetAssignedNumbersAuthority通用顶级域名互联网数字分配机构ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPv4InternetProtocolversion4互联网协议第四版本IPv6ISCInternetProtocolversion6InternetSoftwareConsortium互联网协议第六版本互联网系统协会TCPTransmissionControlProtocol传输控制协议TLDTopLevelDomain顶级域名TTLTimeToLive生存时间UDPUserDatagramProtocol用户数据报协议中国互联网络信息中心&国家域名安全联盟31、前言域名服务系统是互联网的重要基础设施,目前大多数互联网应用,如网页浏览、电子邮件、文件传输等,都依赖域名系统来实现网络资源的寻址和定位.
整个域名服务体系包括提供域名服务的所有域名系统,由两大类别、四个环节组成:第一类是权威域名解析服务系统,包括根域名服务系统、顶级域名服务系统和其他各级域名服务系统三个环节.
权威域名服务系统由各级域名持有者管理,负责维护和保存各级权威域的域名信息,并且接受递归服务器的查询请求.
第二类是递归域名解析服务系统,它们面向终端用户提供域名查询服务.
具体架构如图1所示.
图1域名服务体系的构成对我国域名基础设施网络安全的监测一方面有助于对我国域名系统安全状态进行完整、精确、深入的把握,另一方面也可以借助于域名系统安全状况进行我国互联网安全态势的分析和评估.
自2009年起,中国互联网络信息中心(以下简称CNNIC)就开始对整个域名服务体系的配置情况和安全态势进行多角度的监测分析.
为了对域名服务体系的运行状态和安全配置情况进行更为准确、客观的了解,CNNIC基于自身建设的国家域名安全监测平台,在全球范围内部署了广泛的监测节点,截至2013年中国互联网络信息中心&国家域名安全联盟412月,该平台所拥有的监测点数已达到46个,其中海外监测点2个.
同时,我们还设计开发了故障、配置、性能和流量等多角度的监测项,以对域名服务体系的根域名服务系统、顶级域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运行状态和安全状况进行全面监测和客观评估.
中国互联网络信息中心&国家域名安全联盟52、摘要经过周期性的重复监测及分析,我国域名基础设施网络安全状况主要存在以下特点:1)各级权威及递归域名服务器使用Linux/Unix操作系统的比例均高于80%,选择ISCBIND作为域名解析软件的比例均在90%以上.
另外,BIND软件版本应答比例较去年有所降低,但总体依然较高,具有一定安全隐患;2)根域名服务系统协议支持完善,安全保障较好,较去年新增38个镜像服务器,监测显示,根域名服务器的平均解析速度较去年提升了3%;3)顶级域名服务系统的冗余配置较好,递归开启比率降低至0.
5%,进一步提升了抗攻击能力,对相关协议的支持情况较去年有了明显提升,其中DNSSEC支持率达到46.
4%;4)二级及以下权威域名服务系统在解析性能和协议支持程度方面较去年均有所提升,但是16.
8%的服务器仍然开启了递归服务,具有一定安全风险;5)递归域名服务系统在DNSSEC支持率和端口随机性程度方面有所改善,但仍然存在较大的提升空间,此外大数据包支持比率由去年的不足一成提高到了今年的超过一半;6)总体而言,国内递归域名服务器的总体安全状况要好于全体递归域名服务器,国内重点权威域名服务器的总体安全状况要好于全部权威域名服务器.
中国互联网络信息中心&国家域名安全联盟63、域名服务安全状况3.
1根域名服务系统3.
1.
1简介域名服务系统通过层次化的形式管理域名数据,从而以分阶段的方式将人们可以记住的域名转换为计算机使用的数字以寻找其对应的目的地.
根域名服务系统作为提供域名权威数据的入口,其服务器数量和分布对互联网域名解析服务性能和安全稳定有很大的影响.
截至2013年12月31日,域名系统13个根服务器在全球的镜像节点数量共386个(较去年同期新增38个),其中中国大陆有F根、I根、J根和L根共计4个镜像节点.
根服务器的运营管理者及对应的IP和AS号如表1所示.
表1根服务器主要情况1根服务器运营者IP地址AS号AVeriSign,Inc.
IPv4:198.
41.
0.
4IPv6:2001:503:BA3E::2:3019836BInformationSciencesInstituteIPv4:192.
228.
79.
201IPv6:2001:478:65::53noneCCogentCommunicationsIPv4:192.
33.
4.
122149DUniversityofMarylandIPv4:199.
7.
91.
13IPv6:2001:500:2D::D27ENASAAmesResearchCenterIPv4:192.
203.
230.
10297F*InternetSystemsConsortium,Inc.
IPv4:192.
5.
5.
241IPv6:2001:500:2f::f3557GU.
S.
DODNetworkInformationCenterIPv4:192.
112.
36.
45927HU.
S.
ArmyResearchLabIPv4:128.
63.
2.
53IPv6:2001:500:1::803f:23513I*NetnodIPv4:192.
36.
148.
17IPv6:2001:7fe::5329216J*VeriSign,Inc.
IPv4:192.
58.
128.
30IPv6:2001:503:C27::2:3026415KRIPENCCIPv4:193.
0.
14.
129IPv6:2001:7fd::125152L*ICANNIPv4:199.
7.
83.
42201441注:"*"表示在中国境内具有该服务器镜像节点.
中国互联网络信息中心&国家域名安全联盟7IPv6:2001:500:3::42MWIDEProjectIPv4:202.
12.
27.
33IPv6:2001:dc3::3575003.
1.
2协议支持随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作.
若要在长期内消除此漏洞,唯一的解决方案是以端到端的形式部署DNSSEC协议.
开发DNSSEC技术的目的之一是通过对DNS数据进行数字签名来抵御此类攻击,从而使用户确信所接收到的数据有效.
但是,为了从互联网中彻底消除该漏洞,必须在从根区到最终域名的查找过程中的每一步部署DNSSEC.
因此,作为DNSSEC信任链的根源,根服务器是否支持DNSSEC对于整个DNS服务体系部署DNSSEC至关重要.
检测结果显示,根服务器都已经部署了DNSSEC服务(ICANN于2010年已宣布,根区完成DNSSEC签名).
数据加密算法为RSA/SHA-256.
此外,所有的根服务器都支持NSEC3,从而避免区文件被遍历、枚举的风险.
IPv6的普及离不开DNS对IPv6的支持.
根服务器中有3个还未支持IPv6,分别为C、E、G节点.
此外,在现行DNS标准中,数据包大小被控制在512Byte以下,通过一个UDP数据包进行传输.
如果DNS支持IPv6的话,在DNS请求的应答当中,IPv6地址就会与IPv4地址一起发送过来.
这样一来,返回的信息量自然就超过了512Byte,而DNS服务器在交换超过512Byte的数据时应采用TCP代替UDP.
检测结果显示,所有的根服务器都支持TCP协议.
图2显示的是根域名服务器的协议支持比例分布情况.
可见,根域名服务器在协议支持程度方面与去年相比没有发生变化.
中国互联网络信息中心&国家域名安全联盟8图2根域名服务器协议支持比例情况(%)3.
1.
3服务性能为了保证全球DNS服务的高可用性以及抗攻击能力,根服务器采用BGPGlobalAnyCast技术2在全球范围内广泛部署镜像节点.
截至2013年12月31日,全球共有386个根服务器镜像节点(较去年同期新增38个),除了由InformationSciencesInstitute运维的B根以外,其他12个根服务器均在全球范围内部署了广泛的镜像节点.
图3所示为13个根服务器各自所部署的镜像数量分布情况.
图3根服务器部署镜像数量分布情况根域名服务系统采用BGPGlobalAnyCast机制保证多个镜像节点对于用户访问的透明性,该机制会将用户的DNS查询引导到距其最近的DNS根镜像节点,从而起到了一定的负载均衡作用.
因此,根服务器查询时延的大小对于监测点的位置有直接的依赖性.
为了全面反映国内互联网用户访问根服务器的时延,本报告对分布在全球范围内的46个监测点的探测结果取平均值,具体结果如图4所2DNS多点部署IPAnycast+BGP实战分析:http://tech.
sina.
com.
cn/b/2010-01-25/15341227860.
shtml100.
076.
9100.
0100.
076.
9100.
0DNSSECIPv6TCP201220136161124962437017129681821256624370171466ABCDEFGHIJKLM20122013中国互联网络信息中心&国家域名安全联盟9示.
从中可以看出,大部分根域名服务器的查询时延较去年都有了一定程度的减少.
图4根域名服务器查询时延分布情况(毫秒)中国早在2003年就拥有了第一个根服务器的镜像——F根镜像,这是由ISC和中国电信共同建立的.
2005年,I根的管理机构Autonomica在CNNIC设立了中国第二个根镜像.
2006年,原中国网通与美国Verisign公司正式开通J根的中国镜像服务器.
此外,CNNIC于2012年又部署了国内第一个L根镜像节点.
这四个根的镜像节点也成为我国境内DNS查询请求最主要的根域名服务节点.
从图4中也可以看出,相对于其他根服务器,上述4个在国内拥有镜像的根服务器的查询时延明显较小,这也表明根服务器镜像在国内的部署可以有效提升我国互联网连接根服务器的响应速度.
208219215269257236257295143218161245123126194217269222151246271116171182121101ABCDEFGHIJKLM20122013中国互联网络信息中心&国家域名安全联盟103.
2顶级域名服务系统3.
2.
1简介根据国际互联网域名体系的构成,当前顶级域名共包含四类:通用顶级域名(gTLD)、国家与地区顶级域名(ccTLD)、基础设施类顶级域名(infrastructure,目前仅有.
arpa)和实验性顶级域(test).
其中通用顶级域gTLD可细分为组织主办类(sponsored),通用类(generic),及限制通用类(generic-restricted).
根据IANA的统计,截至2013年12月31日,全球域名服务体系共包含383个TLD,较去年同期新增54个TLD,其中绝大部分是新通用顶级域(NewgTLD)33.
2.
2系统软件.
监测显示,顶级域名服务器普遍采用了Linux或者Unix操作系统,两者所占比例达到99%以上.
顶级域名服务器所采用的DNS软件比例分布情况如表2所示.
可以看出,绝大部分顶级域名服务器都采用了ISCBIND软件,比例高达95.
9%,较去年略有提升(去年比例为93.
04%).
值得注意的是,这些采用ISCBIND软件的顶级域名服务器,它们当前的BIND版本普遍存在过低的问题,主要以9.
2.
3rc1~9.
4.
0a0为主,而ISCBIND软件的当前稳定版本为9.
8.
6,因此应立即升级到当前最新版本.
此外,38.
1%的BIND软件开启了版本应答功能,相比去年增加了0.
7个百分点,具有一定的安全隐患,应当引起足够的重视.
表2顶级域名服务器DNS软件比例分布情况软件类型2012年所占比例(%)2013年所占比例(%)ISCBIND93.
095.
9VeriSignATLAS5.
12.
4UltraDNS0.
81.
3DJBernsteinTinyDNS0.
80.
2JHSOFTsimpleDNSplus0.
10.
1NominumANS0.
20.
13随着ICANN于2012年1月开放新通用顶级域(NewgTLD)申请,未来还将有无数新通用顶级域诞生并写入根区.
中国互联网络信息中心&国家域名安全联盟113.
3.
3协议支持顶级域名服务器的协议支持分布情况如图5所示.
可见,和去年相比,顶级域名服务器的协议支持程度均有了明显的提升.
随着业界对于DNSSEC的努力推动,各顶级域名管理机构陆续开始部署DNSSEC服务.
截至2013年12月31日,已有46.
4%的顶级权威域实现了DNSSEC签名,与去年相比提升了15.
4个百分点.
其中所支持的加密算法,以RSA/SHA-256和RSASHA1-NSEC3-SHA1为主,两者占到了89%.
依然采用传统的NextSECure(NSEC)机制的DNSSEC顶级域名服务器比例占到了26.
1%,具有区文件被遍历、枚举从而泄露所管理的域名解析数据的风险,该比例相比去年上升了6.
1个百分点,应当引起足够重视.
IPv6支持比率由去年的43.
4%提升到今年的58.
9%,TCP支持比率由去年的56.
6%猛增至92.
1%,这种变化有助于加速下一代互联网的过渡进程.
图5顶级域名服务器协议支持程度分布情况(%)3.
3.
4服务性能监测显示,顶级域名服务器均具有冗余配置44注:本报告以一个顶级域所具有的服务地址数量表示其冗余性程度.
,但是顶级域名服务器的总体冗余程度相比去年略有下降,平均每个顶级域所拥有的服务器数量由去年的5.
6个减少为今年的5.
2个,具体情况如图6所示.
31.
043.
456.
646.
458.
992.
1DNSSECIPv6TCP20122013中国互联网络信息中心&国家域名安全联盟12图6顶级域名服务地址数量比例分布情况(%)权威域名服务器开启递归服务具有易遭受DoS攻击的风险.
监测显示,顶级域名服务器的递归服务开启比例由去年的1.
6%减少为今年的0.
5%,总体抗攻击能力进一步提高.
部署多台权威域名服务器能够起到增强权威域名服务鲁棒性和抗攻击能力的效果.
但检测显示,15.
5%的TLD域名具有数据不一致的问题,即同一个顶级域的多台权威域名服务器数据不完全相同,这将会导致客户端从不同服务器查询得到不一致的DNS信息5服务器如果设置较大的TTL,有可能会使客户端接收到过期的DNS缓存数据,但如果TTL设置过小,权威域名服务器将会因为频繁的DNS更新和区传输导致较大的开销,顶级权威域的TTL设置分布如图7所示.
.
图7顶级域的TTL设置比例分布情况(%)顶级域名服务器的查询时延分布如图8所示.
由于顶级域名服务器的运维和管理都相对成熟,不仅整体配置和功能实现较为完善,查询时延也较平稳、服务状态良好.
5注:不排除检测时发生区传输等影响区数据的操作.
3.
711.
515.
915.
924.
114.
812.
65.
116.
222.
213.
120.
212.
610.
6234567>7201220131.
544.
414.
835.
63.
70.
947.
615.
233.
52.
886400s20122013中国互联网络信息中心&国家域名安全联盟13图8顶级域名服务器查询时延比例分布情况(%)5.
15.
86.
320.
017.
525.
38.
54.
42.
61.
82.
92.
510.
512.
97.
918.
915.
613.
79.
34.
51.
92.
412345678910112012201311s中国互联网络信息中心&国家域名安全联盟143.
3二级及以下权威域名服务系统3.
3.
1简介二级及以下权威域名服务系统的基础建设普遍比较薄弱,运维能力也参差不齐.
而其中一些域名服务器,如运行重点域名的服务器或运行重要信息系统的域名服务器,其所提供的权威数据直接影响到互联网用户各种应用的开展,一旦发生问题后果非常严重.
为了抽样了解二级及以下权威域名服务系统的安全状态,本报告选择在中国境内使用最广泛的.
CN、.
COM和.
NET三大顶级域下的超过1.
3亿个二级及以下域名作为监测对象,以下是详细的监测结果.
3.
3.
2系统软件Linux/Unix为二级及以下权威域名服务器使用的主流操作系统类型,所占比例高达85.
9%,较去年有了明显提高(去年比例为70.
9%).
ISCBIND在所有DNS软件中所占比例绝对领先,为91.
45%.
具体分布如表3所示.
与顶级域名服务器面临的问题相同,大部分BIND服务器使用的是位于区间9.
2.
3rc1~9.
4.
0a0的较旧版本.
此外,28%的BIND软件仍开启版本应答功能(去年该比例为40%),具有一定的安全隐患.
表3二级及以下权威域名服务器DNS软件比例分布情况软件类型2012年所占比例(%)2013年所占比例(%)ISCBIND92.
1791.
45DJBernsteinTinyDNS5.
184.
64bboyMyDNS0.
952.
58JHSOFTsimpleDNSplus0.
490.
5MicrosoftWindowsDNS20000.
70.
33PowerDNS0.
080.
09UltraDNS0.
020.
06NominumANS0.
020.
04MicrosoftWindowsDNS20030.
060.
03NLnetLabsNSD0.
020.
02Other0.
310.
26中国互联网络信息中心&国家域名安全联盟153.
3.
3协议支持监测显示,虽然根域和顶级域的DNSSEC部署已经比较广泛,但是二级及以下权威域中仅有0.
26%部署了DNSSEC服务,这也是整个DNS业界期望整体实现DNSSEC功能、避免安全孤岛的工作重点所在.
对于已经签名的区域,同样以RSA/SHA-256和RSASHA1-NSEC3-SHA1为主,两者占到了95.
8%.
依然采用传统的NSEC机制的DNSSEC权威服务器由去年的60.
3%减少为今年的4.
1%,有效的降低了域名解析数据的泄露风险.
同时,二级及以下权威域的IPv6和TCP支持率与去年相比,都有了一定的提升,分别达到了14.
6%和81.
7%.
二级及以下权威域名服务器的协议支持比例情况如图9所示.
图9二级及以下权威域名服务器协议支持比例情况(%)3.
3.
4服务性能在服务冗余方面,73.
8%的二级及以下权威域具有冗余配置,但是二级及以下权威域的总体冗余程度相比去年略有下降,平均每个域所拥有的服务器数量由去年的2.
2个减少为今年的2.
0个,具体情况如图10所示.
图10二级及以下权威域服务地址数量比例分布情况(%)0.
37.
754.
70.
314.
681.
7DNSSECIPv6TCP2012201361.
25.
64.
02.
30.
60.
10.
0234567>720122013中国互联网络信息中心&国家域名安全联盟16另外,16.
8%的服务器仍然开启了递归服务(去年比例为15.
9%),这种配置缺陷具有易遭受DoS攻击的风险.
二级及以下权威域名的TTL设置分布如图11所示.
图11二级及以下权威域名TTL设置分布(%)二级及以下权威域名服务器的查询时延分布情况如图12所示.
可见,由于二级及以下权威域的服务能力和运维水平参差不齐,因此服务器的查询时延分布较广、差别很大,查询时延在0.
1秒以内的服务器占到了36.
8%,相比去年有了大幅度提升,表明二级及以下权威域名的解析性能和服务水平在不断提升,同时监测点所处网络环境的改善也是产生该结果的部分因素.
图12二级及以下权威域名服务器查询时延比例分布情况(%)3.
3.
5国内重点权威域名服务系统3.
3.
5.
1简介为了能够更加全面深入的了解我国域名体系的整体安全状态,本报告还抽样13.
951.
16.
927.
90.
25.
566.
812.
215.
50.
086400s201220131.
13.
16.
616.
620.
218.
812.
68.
15.
13.
44.
536.
88.
47.
915.
112.
29.
14.
72.
81.
30.
71.
012345678910112012201311s中国互联网络信息中心&国家域名安全联盟17选择了约三百个来自政府机构、金融机构、网络运营商以及涉及到国计民生行业的热门域名,对其权威域名服务器的安全配置情况进行了监测.
3.
3.
5.
2系统软件监测显示,我国重点权威域名服务器采用Linux或Unix操作系统的比例为80.
7%.
DNS软件中,采用各版本BIND软件所占比例为94.
16%,但是,仍然有23.
2%的BIND服务器开启了版本应答,存在一定的安全隐患(去年该比例为30%).
3.
3.
5.
3协议支持国内重点权威域名服务器的协议支持情况如图13所示.
图13国内重点权威域名服务器协议支持情况(%)由此可见,国内重点域名对于IPv6以及DNSSEC的支持性相比去年略有提高.
此外,仍然有10.
15%的服务器开启了递归服务,存在遭受DoS攻击的风险(去年该数据为24.
5%).
3.
3.
5.
4服务性能在服务冗余方面,92.
5%的国内重点权威域名具有冗余配置,总体冗余程度较高.
此外,有10.
2%的服务器开启递归服务,较去年有所降低(去年比例为24.
6%),仍然存在遭受DoS攻击的风险.
国内重点域名的TTL设置情况如图14所示.
由此可见,大部分国内重点域名的TTL设置较大,域名权威数据稳定.
0.
02.
272.
80.
75.
773.
3DNSSECIPv6TCP20122013中国互联网络信息中心&国家域名安全联盟18图14国内重点域名TTL设置比例分布情况(%)此外,大约73.
5%的重点权威域名服务器的解析时延均小于100毫秒,具有良好的服务性能.
16.
258.
74.
420.
72.
537.
416.
743.
41s中国互联网络信息中心&国家域名安全联盟223.
4.
5.
2系统软件结果显示,国内递归域名服务器使用ISCBIND软件的比例为95.
9%,同样以版本9.
2.
3rc1—9.
4.
0a0居多,占到所有BIND软件版本的95.
7%,其中BIND版本应答比例为30.
2%,略低于全球递归域名服务器的BIND版本应答比例(38.
9%).
3.
4.
5.
3协议支持国内递归域名服务器的协议支持情况如图19所示.
图19国内递归域名服务器协议支持比例分布情况(%)由此可见,国内递归域名服务器对于EDNS0的支持已经非常广泛,但是对于TCP支持低于全球平均水平(73.
8%).
另外,国内递归域名服务器的DNSSEC支持率同样偏低,仅有0.
64%.
值得注意的是,国内递归域名服务器对于大数据包的支持情况较去年相比有了明显改善,支持超过512字节的大数据包的服务器从去年的不足10%猛增至今年的超过50%,具体如图20所示.
图20国内递归域名服务器最大数据包支持比例分布情况(%)国内递归域名服务器的端口随机性程度比例分布情况如图21所示,该结果0.
630.
893.
20.
653.
897.
5DNSSECTCPEDNS02012201392.
30.
32.
70.
14.
747.
51.
622.
70.
627.
61s中国互联网络信息中心&国家域名安全联盟244、域名服务安全评估域名服务体系安全评估旨在针对域名体系特定环节,选择恰当的检测项并进行归一化处理,然后根据域名系统常见安全威胁进行检测项的权重设置,从而通过量化以实现对该系统整体安全状态的客观、准确评估.
4.
1权威域名服务系统权威服务器主要用于维护和提供DNS权威数据,其可能遭受的攻击包括DoS攻击、数据篡改等,对权威服务器的安全评估主要考虑权威系统服务架构、服务器配置、安全功能支持以及服务器性能四个方面.
安全指标如表5所示.
表5权威服务安全指标安全指标值含义0≤#<0.
4服务安全差,如存在配置漏洞0.
4≤#<0.
7服务安全良,如无配置漏洞0.
7≤#≤1服务安全优,如具有若干安全防护配置根据测试结果,得出图23所示的权威域名服务安全状态分布.
图23权威域名服务安全状态分布(%)由此可见,和去年的监测数据相比较,安全状态为差的权威域名服务器比例仍占据八成以上,配置漏洞现象在权威域名服务器中普遍存在.
另外,安全状态为优的权威域名服务器比例略有提升,由去年的0.
3%升至今年的4.
17%.
各国家和地区的权威域名服务器平均安全状态如图24所示.
0.
318.
381.
44.
212.
983.
0优良差20122013中国互联网络信息中心&国家域名安全联盟25图24各国家和地区的权威域名服务平均安全状态分布情况中国境内的权威域名服务器平均安全指标为0.
41,安全状态为良,较去年分值(0.
39)略有提升.
对于国内重点权威域名服务器,其安全状态分布如图25所示.
图25国内重点权威域名安全状态分布情况(%)由此可见,国内重点权威域名服务器的安全状况相对优于全体权威域名服务器的总体安全状况,大部分国内重点权威域名服务器配置较为完善,安全状态良好.
4.
2递归域名服务系统递归服务器发起DNS解析操作,并对所获取到的权威数据进行缓存,其可能遭受的攻击包括DoS攻击、缓存中毒等,对递归服务系统的安全评估主要考虑服务器配置、安全功能支持以及服务器性能三个方面,安全指标如表6所示.
表6权威服务安全指标安全指标值含义0≤#<0.
4服务安全差,如存在配置漏洞0.
4≤#<0.
7服务安全良,如无配置漏洞0.
530.
520.
500.
470.
470.
460.
440.
430.
430.
410.
400.
400.
390.
390.
390.
390.
390.
390.
380.
38IMIDTWNZUSCAAUGUAPCNJPKYEUANDOMLVNIELKMP0.
0199.
200.
792.
9092.
524.
58优良差20122013中国互联网络信息中心&国家域名安全联盟260.
7≤#≤1服务安全优,如具有若干安全防护配置根据测试结果,得出图26所示的递归域名服务安全状态分布.
可见,递归域名服务器安全状态整体较好.
图26递归域名服务安全状态分布情况(%)各国家和地区的递归域名服务器平均安全状态如图27所示.
图27递归域名服务安全状态分布情况中国境内大部分递归域名服务器在配置和运维方面都较规范,其平均安全指标为0.
72,相比去年同样有略微提升(去年为0.
70),安全状态为优.
中国境内的递归域名服务器安全状态具体分布如图28所示.
图28国内递归域名服务安全状态比例分布情况(%)由此可见,国内的递归域名服务器的安全状况相对优于全体递归域名服务器的总体安全状况,但也有少部分服务器存在一定的安全配置漏洞.
另外,可以发现,权威域名服务器和递归域名服务器的安全评估结果存在一29.
1153.
6717.
2233.
1251.
8115.
07优良差201220130.
800.
780.
770.
760.
760.
750.
730.
720.
710.
680.
670.
640.
640.
630.
610.
600.
590.
590.
590.
59VCBIJPPABYKHVNCNOMAPSGBSKRMWIQA1MOGPSCTN68.
4327.
524.
0563.
2429.
677.
09优良差20122013中国互联网络信息中心&国家域名安全联盟27定差异,递归域名服务器的安全评估结果相对较好.
由于针对递归域名服务器和权威域名服务器安全状况的评价标准不同,且各自的监测范围存在较大差异(权威域名服务器涉及到三大顶级域下的超过1.
3亿的所有域名,而递归域名服务器这里只针对.
CN顶级域连续七天日查询量超过百次的共计约9.
2万台递归域名服务器,这些繁忙的递归域名服务器往往具备较高的安全管理水平),因此导致了上述结果的出现.
中国互联网络信息中心&国家域名安全联盟285、我国域名基础设施安全态势分析基于域名系统的重要性和其在互联网领域牵一发动全身的地位,对我国域名服务体系进行整体的安全监测和运行分析,不仅可以为国家提供第一手的域名服务系统情况,还可以根据监测分析,向国家提出对域名服务系统、对网络安全、以及互联网建设和治理方面的建议,从而有效地增强国家对互联网的管控能力,促进互联网产业健康有序地发展,从根本上提升我国域名体系的安全保障能力,具有显著的社会意义.
本报告的监测结果表明,我国权威域名服务和递归域名服务在配置管理和运行维护方面仍然存在不同程度的安全隐患,但整体安全状况相比去年有略微提升.
总体来看,我国权威域名服务和递归域名服务的安全状况均优于世界平均水平,但仍存在较大的提升空间.
结合本报告监测结果,我国域名基础设施安全态势呈现出以下几方面显著特点:1)除根域名服务以外的其他各级域名服务仍然存在不同程度的安全问题,表现在系统软件、协议支持和服务性能等各个方面,但总体来看,各级域名服务的安全状况相比去年都有了一定的改善.
2)我国域名系统对于IPv6协议支持程度进一步提升,这有助于加速基于IPv6的下一代互联网的过渡进程,同时域名系统对于IPv6资源记录和过渡环境的全面支持还需要进一步加强.
3)虽然DNSSEC服务在根区已部署数年,目前在顶级域名服务器中的部署比率也已接近半数,但在二级及以下权威域名服务器和递归域名服务器中的部署程度仍然严重匮乏,这也将是今后DNSSEC部署推进工作的重点所在.
4)今年以来,有50多个新通用顶级域正式入根生效,未来还将有更多的新通用顶级域涌入.
由于新通用顶级域的运营服务经验相对不足,因此新通用顶级域的安全管理将是今后域名安全领域的一个重要议题.
中国互联网络信息中心&国家域名安全联盟29本报告版权归中国互联网络信息中心(CNNIC)所有.
如引用或转载请注明来源.
中国互联网络信息中心&国家域名安全联盟30