《中國域名服務(wù)及安全現(xiàn)狀報(bào)告》

《中國域名服務(wù)及安全現(xiàn)狀報(bào)告》

-截至2010年8月10日，監(jiān)測到世界范圍內(nèi)域名服務(wù)器總量為16，306，432個(gè)，其中權(quán)威域名服務(wù)器2，903，550個(gè)，遞歸域名服務(wù)器13，402，882個(gè)?；钴S域名服務(wù)器數(shù)量為1，375，219個(gè)，其中權(quán)威域名服務(wù)器619，797個(gè)，遞歸域名服務(wù)器755，422個(gè)。-截至2010年8月10日，監(jiān)測到國內(nèi)的域名服務(wù)器總量為978，713個(gè)，其中權(quán)威域名服務(wù)器107，540個(gè)，遞歸域名服務(wù)器871，173個(gè)。國內(nèi)活躍域名服務(wù)器數(shù)量為67，235個(gè)，其中權(quán)威域名服務(wù)器19，281個(gè)，遞歸域名服務(wù)器47，954個(gè)。-國內(nèi)的域名服務(wù)器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達(dá)的地區(qū)。其中排名前10的地區(qū)域名服務(wù)器總量占全國域名服務(wù)器總量的90%以上。-對國內(nèi)的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計(jì)發(fā)現(xiàn)，62%以上使用Unix/Linux系統(tǒng)，95%以上使用ISCBIND軟件。國內(nèi)的權(quán)威域名服務(wù)器中53%開啟了遞歸查詢功能，遠(yuǎn)大于全球范圍內(nèi)31%的比率，存在一定的安全隱患。-對國內(nèi)的所有遞歸域名服務(wù)系統(tǒng)進(jìn)行全面掃描，統(tǒng)計(jì)發(fā)現(xiàn)，55%以上使用了Unix/Linux系統(tǒng)，94%以上使用ISCBIND軟件。-統(tǒng)計(jì)發(fā)現(xiàn)，國內(nèi)超過4%的遞歸域名服務(wù)器端口隨機(jī)性較差，容易遭受DNS劫持攻擊，遠(yuǎn)高于全球范圍0.98%的平均水平。-對國內(nèi)重要信息系統(tǒng)所涉域名抽樣統(tǒng)計(jì)發(fā)現(xiàn)，57%的域名解析服務(wù)處于有風(fēng)險(xiǎn)的狀態(tài)，其中11.8%的域名因配置管理不當(dāng)，處于較高風(fēng)險(xiǎn)狀態(tài)。第一章域名服務(wù)體系說明域名(DomainName)是由一串用點(diǎn)分隔的字符組成的互聯(lián)網(wǎng)名稱，是用于識別和定位互聯(lián)網(wǎng)上計(jì)算機(jī)的層次結(jié)構(gòu)式字符標(biāo)識，類似于互聯(lián)網(wǎng)上的門牌號碼。域名系統(tǒng)(DNS)是逐級授權(quán)的分布式數(shù)據(jù)查詢系統(tǒng)，主要用于完成域名到IP地址的翻譯轉(zhuǎn)換功能。絕大多數(shù)互聯(lián)網(wǎng)應(yīng)用都基于域名系統(tǒng)開展，絕大多數(shù)互聯(lián)網(wǎng)通信都必須先通過域名系統(tǒng)完成域名到IP地址的尋址轉(zhuǎn)換。圖1域名系統(tǒng)的位置角色域名服務(wù)體系包括提供域名服務(wù)的所有域名系統(tǒng)，它包括兩大部分、四個(gè)環(huán)節(jié)：即遞歸域名服務(wù)系統(tǒng)，以及由根域名服務(wù)系統(tǒng)、頂級域名服務(wù)系統(tǒng)、和其他各級域名服務(wù)系統(tǒng)組成的權(quán)威域名解析服務(wù)體系。圖2域名服務(wù)體系的構(gòu)成示意域名服務(wù)體系中，根域名服務(wù)系統(tǒng)由ICANN授權(quán)的是十三家全球?qū)I(yè)域名管理機(jī)構(gòu)提供運(yùn)營支持，頂級域名服務(wù)系統(tǒng)由ICANN簽約的商業(yè)機(jī)構(gòu)、或各國政府授權(quán)的科研管理機(jī)構(gòu)負(fù)責(zé)運(yùn)行維護(hù)，因此這兩個(gè)環(huán)節(jié)的穩(wěn)定運(yùn)行有所保障。而大量的二級及二級以下權(quán)威域名服務(wù)器分散在域名持有者手中，由政府、企事業(yè)單位、商業(yè)網(wǎng)站、終端網(wǎng)民自我運(yùn)行或托管在第三方；遞歸域名服務(wù)器一般由各網(wǎng)絡(luò)接入機(jī)構(gòu)提供。這兩個(gè)環(huán)節(jié)是數(shù)量眾多、而安全狀況相對薄弱的兩個(gè)環(huán)節(jié)，根據(jù)監(jiān)測和統(tǒng)計(jì)，兩個(gè)環(huán)節(jié)的活躍的服務(wù)器619，797臺套和755，422臺套，相對安全的服務(wù)器比例不足半數(shù)。其主要原因在于這兩個(gè)環(huán)節(jié)的服務(wù)器眾多、管理分散、規(guī)模有限，維護(hù)人員的技術(shù)水平也參差不齊，缺乏綜合專業(yè)的安全服務(wù)能力。第二章域名服務(wù)體系監(jiān)測結(jié)果一、根域名服務(wù)系統(tǒng)根服務(wù)器的分布情況對互聯(lián)網(wǎng)的訪問性能有很大的影響。截至目前，全球域名系統(tǒng)13個(gè)根服務(wù)器在全球的鏡像服務(wù)器數(shù)量共206個(gè)。根服務(wù)器及其鏡像在歐洲有72個(gè)、美國51個(gè)、亞洲45個(gè)，中國大陸有F根、I根和J根的鏡像服務(wù)器。表1根域名服務(wù)器及其鏡像的基本狀況*表示在國內(nèi)有鏡像服務(wù)二、頂級域服務(wù)系統(tǒng)(一)總體情況根據(jù)國際互聯(lián)網(wǎng)域名體系的構(gòu)成，頂級域名分為三類：通用頂級域名(gTLD，GeneralTopLevelDomain)、國家與地區(qū)頂級域名(ccTLD，CountryCodeTopLevelDomain)和基礎(chǔ)設(shè)施類頂級域(目前僅有.arpa)。其中通用頂級域gTLD共有20個(gè)，可細(xì)分為組織主辦類(Sponsored)13個(gè)，通用類(Generic)4個(gè)，及限制通用類(Generic-restricted)3個(gè)。國家與地區(qū)頂級域共計(jì)260個(gè)(包含“.中國”等新增的頂級域)，另外還有實(shí)驗(yàn)性頂級域11個(gè)，共計(jì)292個(gè)頂級域。(二)軟件版本類型一般頂級域的運(yùn)營者都比較注重系統(tǒng)的安全性，統(tǒng)計(jì)發(fā)現(xiàn)，操作系統(tǒng)69%以上都采用開源Linux，相對穩(wěn)定性較高。也可以發(fā)現(xiàn)Windows的使用率約占20%。圖3頂級域服務(wù)系統(tǒng)操作系統(tǒng)類型分布對頂級域服務(wù)系統(tǒng)使用的域名服務(wù)器進(jìn)行探測掃描，統(tǒng)計(jì)發(fā)現(xiàn)95%以上使用開源軟件ISCBIND。表2頂級域服務(wù)系統(tǒng)所用域名解析軟件分類三、二級及以下權(quán)威域名服務(wù)系統(tǒng)(一)地域分布統(tǒng)計(jì)發(fā)現(xiàn)，擁有權(quán)威服務(wù)器較多的省份為中國臺灣、香港、北京等互聯(lián)網(wǎng)較為發(fā)達(dá)的省市地區(qū)。以下圖中十個(gè)地區(qū)的權(quán)威服務(wù)器數(shù)量占全國權(quán)威服務(wù)器總量的91%以上。圖4權(quán)威域名服務(wù)系統(tǒng)地域分布(二)所屬運(yùn)營商在對國內(nèi)其他各級域名服務(wù)系統(tǒng)進(jìn)行監(jiān)測的同時(shí)，對這些權(quán)威服務(wù)器在各大運(yùn)營商的分布狀況進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)中國主流運(yùn)營商擁有的權(quán)威服務(wù)器數(shù)量占中國各級域名服務(wù)系統(tǒng)的50%以上。圖5權(quán)威域名服務(wù)系統(tǒng)運(yùn)營商分布(三)軟件版本類型對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計(jì)發(fā)現(xiàn)，62%以上的域名服務(wù)器使用開源的Linux系統(tǒng)，MicrosoftWindows操作系統(tǒng)所占比例在36%左右。圖6權(quán)威域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威域名服務(wù)器進(jìn)行探測，其中95%以上的域名服務(wù)器使用開源的ISCBIND軟件，國外權(quán)威域名服務(wù)系統(tǒng)中ISCBIND使用率約為93%。表3國內(nèi)權(quán)威域名服務(wù)系統(tǒng)域名解析軟件分類(四)協(xié)議支持程度中國各級域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界各級域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，支持TCP查詢的比例略低于世界水平，中國各級域名服務(wù)系統(tǒng)支持EDNS0的比例略高于世界平均值。中國各級域名服務(wù)系統(tǒng)中的權(quán)威域名服務(wù)器中，53%開啟了遞歸查詢功能，遠(yuǎn)大于世界各級域名服務(wù)器31%的遞歸功能開啟比率，存在一定的安全隱患，這說明中國的各級域名服務(wù)系統(tǒng)配置方式存在問題。圖7權(quán)威域名服務(wù)系統(tǒng)協(xié)議支持程度四、遞歸域名服務(wù)系統(tǒng)(一)地域分布中國境內(nèi)的遞歸域名服務(wù)器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達(dá)的地區(qū)。下圖中十個(gè)地區(qū)的遞歸服務(wù)器總量占全國遞歸服務(wù)器總量的88%以上。圖8遞歸域名服務(wù)系統(tǒng)地域分布(二)所屬運(yùn)營商對中國境內(nèi)的遞歸域名服務(wù)器進(jìn)行運(yùn)營商級的細(xì)化，62%以上的遞歸域名服務(wù)器分布在中國主流的運(yùn)營商內(nèi)，其中中國電信擁有的遞歸服務(wù)器數(shù)量最多，占全國遞歸域名服務(wù)器總量的21%以上。圖9遞歸域名服務(wù)系統(tǒng)運(yùn)營商分布(三)軟件版本類型對中國遞歸域名服務(wù)系統(tǒng)進(jìn)行全面掃描，統(tǒng)計(jì)發(fā)現(xiàn)，超過55%的遞歸域名服務(wù)器運(yùn)行在Linux等開源系統(tǒng)上，28%左右的遞歸域名服務(wù)運(yùn)行在MicrosoftWindows操作系統(tǒng)上。圖10遞歸域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布在對中國遞歸域名服務(wù)系統(tǒng)進(jìn)行統(tǒng)計(jì)分析時(shí)，發(fā)現(xiàn)94%以上都采用的開源軟件ISCBIND，國外遞歸域名服務(wù)系統(tǒng)中ISCBIND使用率約為86%。表4國內(nèi)遞歸域名服務(wù)系統(tǒng)域名解析軟件分類(四)協(xié)議支持程度中國遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，中國遞歸服務(wù)器的協(xié)議支持程度與世界平均水平保持一致。圖11遞歸域名服務(wù)系統(tǒng)協(xié)議支持程度(五)遞歸域名服務(wù)器端口隨機(jī)性遞歸域名服務(wù)器對外發(fā)起查詢使用的客戶端端口的隨機(jī)性對域名解析的安全程度具有很大影響，端口隨機(jī)算法如果不夠安全，會使域名服務(wù)器容易遭受緩存中毒攻擊，著名的卡明斯基漏洞就是利用遞歸服務(wù)器的客戶端端口弱隨機(jī)性發(fā)起的攻擊。統(tǒng)計(jì)發(fā)現(xiàn)，中國超過4%的遞歸域名服務(wù)器端口隨機(jī)性較差，容易遭受DNS劫持攻擊，遠(yuǎn)高于世界范圍的0.98%。圖12遞歸域名服務(wù)系統(tǒng)端口隨機(jī)程度分布第三章國內(nèi)重點(diǎn)權(quán)威域名安全抽樣重要信息系統(tǒng)涉及域名數(shù)量眾多，根據(jù)重點(diǎn)域名的訪問量及其服務(wù)范圍，抽樣調(diào)查了各行業(yè)的域名，主要來自政府機(jī)構(gòu)、金融機(jī)構(gòu)、教育機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營商以及涉及到國計(jì)民生的各個(gè)行業(yè)。統(tǒng)計(jì)發(fā)現(xiàn)57%的重點(diǎn)域名解析服務(wù)處于有風(fēng)險(xiǎn)的狀態(tài)，只有11%的域名解析服務(wù)安全等級為良好。圖13重點(diǎn)域名安全狀況分布通過對各行業(yè)的域名安全狀況進(jìn)行分析，教育機(jī)構(gòu)的域名服務(wù)系統(tǒng)安全性最差，80%以上的域名解析服務(wù)處于有風(fēng)險(xiǎn)狀態(tài)。圖14各行業(yè)重點(diǎn)域名安全等級分布經(jīng)過對重點(diǎn)域名列表進(jìn)行掃描監(jiān)測，統(tǒng)計(jì)發(fā)現(xiàn)，74%的域名配置了兩臺以上的域名服務(wù)器，但是這些配置兩臺以上域名服務(wù)器的域名中又有超過23%的域名服務(wù)器位于同一個(gè)網(wǎng)段內(nèi)。域名服務(wù)器作為權(quán)威服務(wù)器，應(yīng)該將遞歸功能關(guān)閉，否則會存在安全隱患，通過統(tǒng)計(jì)分析發(fā)現(xiàn)，重點(diǎn)域名列表中有40%的域名服務(wù)器將遞歸功能開啟，增加了被攻擊的風(fēng)險(xiǎn)。圖15重點(diǎn)域名服務(wù)器遞歸功能開放統(tǒng)計(jì)權(quán)威服務(wù)器所用軟件類型及版本將從很大程度上影響到域名服務(wù)器的安全性，通過對中國重點(diǎn)域名所使用的軟件版本類型信息進(jìn)行監(jiān)測和統(tǒng)計(jì)，發(fā)現(xiàn)75%的域名服務(wù)器使用開源軟件ISCBIND，且在使用ISCBIND的域名服務(wù)器中14.93%以上的BIND版本過低，存在嚴(yán)重的安全隱患。表5中國重點(diǎn)域名所用軟件類別第四章DNSSec及全球?qū)嵤顩rDNS域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，其設(shè)計(jì)之初就存在嚴(yán)重的協(xié)議安全漏洞，近年來針對這些安全漏洞的網(wǎng)絡(luò)攻擊給DNS和互聯(lián)網(wǎng)帶來了巨大的損失。為此IETF成立了工作組專門研究DNSSec安全擴(kuò)展協(xié)議(DNSSecurityExtensions)，并推出了一系列的RFC標(biāo)準(zhǔn)，從概念、協(xié)議設(shè)計(jì)、報(bào)文格式、加密算法及密鑰管理等方面完善了原有DNS體系的不足之處，從而形成一整套的DNSSec解決方案。分析DNSSec的技術(shù)原理可發(fā)現(xiàn)，該解決方案遵循了如下目標(biāo)和設(shè)計(jì)原則：-為DNS解析服務(wù)提供數(shù)據(jù)源身份認(rèn)證和對數(shù)據(jù)完整性驗(yàn)證；-由于DNS是一個(gè)公共的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施，不能強(qiáng)制進(jìn)行訪問控制或者數(shù)據(jù)加密；-DNSSec協(xié)議需要與原有DNS協(xié)議兼容；-支持增量部署；部署了DNSSEC的權(quán)威域名服務(wù)器在應(yīng)答查詢請求時(shí)，首先使用哈希算法計(jì)算應(yīng)答報(bào)文的摘要，再將此摘要用自己的私鑰加密生成簽名后存儲到報(bào)文中；查詢方收到應(yīng)答報(bào)文，利用權(quán)威服務(wù)器的公鑰解密簽名獲得摘要，再將此摘要與從報(bào)文數(shù)據(jù)計(jì)算出的摘要進(jìn)行對比來完成數(shù)據(jù)的完整性驗(yàn)證。如果數(shù)據(jù)完整性驗(yàn)證成功，則也同時(shí)完成了對數(shù)據(jù)源(權(quán)威域名服務(wù)器)的身份認(rèn)證，否則認(rèn)識身份認(rèn)證失敗。為了解決以安全的方式分發(fā)公鑰所面臨的挑戰(zhàn)，使用了“信任鏈”的方法，所有DNS認(rèn)證過程的信任錨點(diǎn)均為根域名服務(wù)器。圖16DNSSec簽名認(rèn)證過程自2010年7月15日根正式提供DNSSec服務(wù)之后，實(shí)施DNSSec的頂級域數(shù)量逐漸增多，截至2010年8月13日，已有37個(gè)頂級域部署了DNSSec，約占頂級域總量的13%。這些實(shí)施了DNSSec的頂級域中，有7個(gè)通用頂級域名，19國家與地區(qū)頂級域名，11個(gè)實(shí)驗(yàn)性頂級域名。表6TLD實(shí)施DNSSec統(tǒng)計(jì)在對區(qū)進(jìn)行分布式監(jiān)測時(shí)，還同時(shí)檢驗(yàn)了實(shí)施DNSSec所用的密鑰算法，經(jīng)過統(tǒng)計(jì)發(fā)現(xiàn)95.43%的密鑰使用的RSA/SHA-1算法，3.95%使用的RSA-NSEC3-SHA1算法。表7DNSSec所用密鑰算法統(tǒng)計(jì)目前根域名服務(wù)體系已經(jīng)實(shí)施DNSSec，頂級域以及其他各級域名服務(wù)系統(tǒng)也紛紛將DNSSec的部署實(shí)施納入章程。為了確保中國互聯(lián)網(wǎng)的安全，國內(nèi)各域名服務(wù)提供主體要重視DNSSec的部署和實(shí)施工作，同時(shí)密切關(guān)注國外域名服務(wù)主體實(shí)施DNSSec遇到的困難和問題，并結(jié)合中國國情探索有利于中國互聯(lián)網(wǎng)健康發(fā)展的安全之路。通過分析DNSSec的技術(shù)實(shí)現(xiàn)原理以及國外DNSSec實(shí)施案例，發(fā)現(xiàn)國內(nèi)部署實(shí)施DNSSec將面臨如下困難和問題：第一，缺乏最佳的實(shí)踐指導(dǎo)，各域名服務(wù)提供主體對DNSSec的實(shí)施方式尚未有統(tǒng)一認(rèn)識。由于DNSSec尚未廣泛部署，對即將面對的問題缺乏最佳的解決經(jīng)驗(yàn)。第二，部署實(shí)施DNSSec需要一系列技術(shù)性要求較高的專用設(shè)備，如密鑰管理設(shè)備、簽名設(shè)備等，市場上缺乏成熟的產(chǎn)品。第二，實(shí)施DNSSec對域名解析系統(tǒng)有更高的要求，需要擴(kuò)充域名解析系統(tǒng)的計(jì)算資源和存儲能力以保證解析效率。第三，由于部署DNSSec、實(shí)施EDNS0會使得DNS數(shù)據(jù)包增大，超過傳統(tǒng)的512字節(jié)，增大網(wǎng)絡(luò)流量，擴(kuò)展的DNS數(shù)據(jù)包有可能超過路徑最大傳輸單元(PMTU)，發(fā)生丟包現(xiàn)象。第四，部署實(shí)施DNSSec需要技術(shù)人員對DNS體系、加密算法等十分精通，國外實(shí)施DNSSec時(shí)因配置失誤導(dǎo)致域名解析故障屢有發(fā)生。國內(nèi)具備這些能力的專業(yè)技術(shù)人員嚴(yán)重缺乏。第五，實(shí)施DNSSec可能增大DDoS攻擊的成功率，因?yàn)镈NS響應(yīng)數(shù)據(jù)包增大，使得黑客更容易利用DNS系統(tǒng)形成放大攻擊或反射攻擊。第五章域名服務(wù)風(fēng)險(xiǎn)分析和安全建議域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù)，服務(wù)的正確、安全和可靠運(yùn)行對于整個(gè)互聯(lián)網(wǎng)的發(fā)展和建設(shè)來說至關(guān)重要。分析發(fā)現(xiàn)，國內(nèi)域名服務(wù)在配置管理和運(yùn)行維護(hù)方面均存在不同程度的安全隱患，域名服務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)以及安全防范建議如下：風(fēng)險(xiǎn)一：信息更改或過期：各級域名解析系統(tǒng)通常與域名注冊、WHOIS等系統(tǒng)協(xié)調(diào)工作，任一環(huán)節(jié)的漏洞都可能被黑客利用，篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng)，也容易被攻擊，造成權(quán)威解析服務(wù)故障。防范建議：確保域名解析服務(wù)的獨(dú)立性，運(yùn)行域名解析服務(wù)的服務(wù)器上不能同時(shí)開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供。風(fēng)險(xiǎn)二：DNS系統(tǒng)應(yīng)用程序崩潰：域名解析服務(wù)系統(tǒng)所用軟件極其重要，如因配置不當(dāng)或升級延遲，軟件存在的漏洞容易被黑客利用。近年來開源軟件BIND被廣泛使用，一旦該軟件出現(xiàn)嚴(yán)重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。防范建議：采用安全的操作系統(tǒng)平臺和域名解析軟件，并關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級軟件系統(tǒng)。風(fēng)險(xiǎn)三：域名劫持(DomainNameHijacking)：通過各種攻擊手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會被改變，甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國內(nèi)的CN域名被劫持，還可以通過和注冊服務(wù)商或注冊管理機(jī)構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國際域名被劫持，而且又是通過國際注冊商注冊，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會使得奪回域名變得異常復(fù)雜。防范建議1：選擇安全性高、服務(wù)便捷的域名注冊服務(wù)機(jī)構(gòu)和域名注冊管理機(jī)構(gòu)；防范建議2：隱藏域名解析軟件及操作系統(tǒng)等版本信息；防范建議3：限制域名區(qū)文件的傳送權(quán)限；風(fēng)險(xiǎn)四：中間人攻擊(ManintheMiddleAttack)：中間人攻擊，是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯(cuò)誤DNS信息。中間人攻擊大多數(shù)本質(zhì)都是被動，其檢測和防御十分困難。防范建議1：使用入侵檢測系統(tǒng)，盡可能的檢測出中間人攻擊行為；防范建議2：需對域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進(jìn)行監(jiān)控，監(jiān)控方式可基于監(jiān)聽、SNMP、NetFlow等網(wǎng)管技術(shù)和協(xié)議；防范建議3：對域名服務(wù)協(xié)議是否正常進(jìn)行監(jiān)控，即利用對應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測試工具向服務(wù)端口發(fā)起模擬請求，分析服務(wù)器返回的結(jié)果，以判斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動。在條件允許的情況下，在不同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測點(diǎn)分布式監(jiān)控；防范建議4：部署實(shí)施DNSSec；風(fēng)險(xiǎn)五：NSEC游走：早期的DNSSec使用NSEC方案，會造成區(qū)文件被遍歷、枚舉，從而泄露所管理的域名解析數(shù)據(jù)，既是商業(yè)數(shù)據(jù)的泄露，也容易成為黑客攻擊的靶子。防范建議1：采用NSEC3方案解決該問題；風(fēng)險(xiǎn)六：分布式拒絕服務(wù)攻擊(DDoSAttack)：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機(jī)同時(shí)向域名服務(wù)器發(fā)送大量查詢報(bào)文，這些報(bào)文看似完全符合規(guī)則，但往往需要DNS服務(wù)器花費(fèi)大量時(shí)間進(jìn)行查詢，從而使DNS癱瘓。2009年5月19日全國大面積斷網(wǎng)事件起因即為DDoS攻擊。防范建議1：提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺，建議獨(dú)立的名字服務(wù)器數(shù)量為5臺。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中；防范建議2：限制遞歸服務(wù)的服務(wù)范圍；防范建議3：利用流量分析等工具檢測出DDoS攻擊行為，以便及時(shí)采取應(yīng)急措施；防范建議4：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；風(fēng)險(xiǎn)七：緩存窺探(CacheSnooping)：DNS緩存窺探是一個(gè)確定某一個(gè)資源記錄是否存在于一個(gè)特定的DNS緩存中的過程。通過這個(gè)過程攻擊者可以得到一些信息，例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對象。防范建議：限制遞歸服務(wù)的服務(wù)范圍，僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。風(fēng)險(xiǎn)八：緩存中毒(或DNS欺騙)(CachePoisoningorDNSSpoofing)：通過向DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址實(shí)現(xiàn)緩存中毒攻擊，對該類安全威脅的檢測十分困難。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁，重則是網(wǎng)絡(luò)釣魚和金融詐騙，給受害者造成巨大損失。由于軟件實(shí)現(xiàn)技術(shù)水平參差不齊，端口、報(bào)文ID隨機(jī)算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。防范建議1：對重要域名的解析結(jié)果進(jìn)行重點(diǎn)監(jiān)測，一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時(shí)給出告警提示；防范建議2：部署實(shí)施DNSSec；風(fēng)險(xiǎn)九：DNS放大、反射攻擊：目前的DDoS攻擊通常與“DNS放大攻擊”和“DNS反射攻擊”配合實(shí)施。在這兩類攻擊中，DNS服務(wù)器往往不受攻擊目標(biāo)，而是充當(dāng)了無辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS服務(wù)器隨后將向表面上是提出查詢的那臺服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍，盡可能的避免提供開放遞歸服務(wù)，并借助于流量分析監(jiān)測等手段發(fā)現(xiàn)潛在的DDos攻。防范建議1：利用流量分析等工具檢測出攻擊行為；防范建議2：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；此外，為了加強(qiáng)域名服務(wù)的安全可靠性，域名服務(wù)部署時(shí)，需要考慮單節(jié)點(diǎn)故障問題。所涉及的路由器、交換機(jī)等均需要有冗余備份能力，建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。應(yīng)保留最新的3個(gè)月的全部解析日志。并且建議對重要的域名信息系統(tǒng)采取7×24的維護(hù)機(jī)制保障。應(yīng)急響應(yīng)到場時(shí)間不能遲于30分鐘。附錄1術(shù)語定義-DNS：全稱為DomainNameSystem，即域名服務(wù)系統(tǒng)，是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，完成了域名到IP地址的映射功能。-IP：網(wǎng)絡(luò)地址，標(biāo)示互聯(lián)網(wǎng)上的每一臺主機(jī)。-TCP：TransmissionControlProtocol，傳輸控制協(xié)議，是一種面向連接的、可靠的、基于字節(jié)流的運(yùn)輸層通信協(xié)議。-UDP：UserDatagramProtocol，用戶數(shù)據(jù)包協(xié)議，是一種無連接的傳輸層通信協(xié)議。-DNSSec：DNS安全擴(kuò)展協(xié)議，在傳統(tǒng)DNS基礎(chǔ)上提供數(shù)據(jù)源認(rèn)證和完整性檢查。-EDNS0：DNS擴(kuò)展協(xié)議第一個(gè)版本，實(shí)施DNSSec所必需的重要協(xié)議。-ccTLD：CountryCodeTopLevelDomain，國家及地區(qū)頂級域名。-gTLD：Generictop-leveldomain，通用頂級域名。-根域名服務(wù)器：是互聯(lián)網(wǎng)域名解析系統(tǒng)中最高級別的域名服務(wù)器。-權(quán)威域名服務(wù)器：提供權(quán)威名字解析服務(wù)的域名服務(wù)器。-遞歸域名服務(wù)器：具有處理遞歸查詢功能的域名服務(wù)器。-ISP：InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商。附錄2全球技術(shù)動態(tài)及安全事件技術(shù)動態(tài)-2009年6月2日，PIR(PublicInternetRegistry)對.ORG區(qū)文件進(jìn)行了簽名，宣告ORG正式支持DNSSec功能。-2009年6月10日，MatthewDempsky(來自.ORG注冊機(jī)構(gòu))發(fā)布了每個(gè)TLD的DNS信任依賴圖(區(qū)與名字服務(wù)器之間)，有助于研究DNS體系的安全狀況。-2009年6月12日，CNNIC與ISC簽署戰(zhàn)略合作協(xié)議，雙方將共同進(jìn)行DNS基礎(chǔ)服務(wù)軟件以及相關(guān)技術(shù)的研發(fā)工作。-2009年7月2日，ENUMNL嘗試使用DNSSEC對1.3.區(qū)進(jìn)行簽名，在正式提交信任錨點(diǎn)前進(jìn)行測試。-2009年7月7日，DNS-OARC撰文稱，近來隨著DNSSEC部署的增加，不斷暴露出部分DNS解析器不能接收較大應(yīng)答消息的問題。-2009年8月，CNNIC技術(shù)人員正式加入BIND10軟件的核心開發(fā)團(tuán)隊(duì)，這將對研發(fā)中國自主產(chǎn)權(quán)的域名解析軟件奠定堅(jiān)實(shí)的基礎(chǔ)。-2009年8月10日，ISC宣稱Afilias和Neustar將為DLV區(qū)提供二級DNS服務(wù)，以此來支持DLV的注冊。-2009年9月4日，為推進(jìn)對根簽名的進(jìn)程，VeriSign公布了關(guān)于rootDNSKEYresponsesize的實(shí)驗(yàn)結(jié)果。-2009年9月17日，ICANN發(fā)布了L根數(shù)據(jù)膨脹的影響分析報(bào)告——“RootZoneAugmentationandImpactAnalysis”。-2009年9月30日，ICANN提議：IDN項(xiàng)目于2009年11月16日啟動。該提議已被提交到2009年10月下旬在首爾召開的ICANN會議的董事會上進(jìn)行討論。-2009年10月1日，ICANN發(fā)布根區(qū)膨脹模型的研究報(bào)告——“RootScalingStudy：DescriptionoftheDNSRootScalingModel”(由TNO荷蘭應(yīng)用科學(xué)研究組織完成)。-2009年10月8日，在葡萄牙首都里斯本召開的RIPE59會議上，來自ICANN的DNS工作組主席JoeAbley和VeriSign副總裁MattLarson宣布了根簽名的時(shí)間表。-2009年10月30日，在首爾ICANN會議上，ICANN董事會同意引入IDNccTLD，這意味著很快將能夠在網(wǎng)絡(luò)上使用非拉丁字母的互聯(lián)網(wǎng)地址。-2009年11月5日-6日，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在京承辦“域名系統(tǒng)運(yùn)行分析研究中心”(DNS-OARC)秋季工作會議。會議就DNS安全，IPv4向IPv6過渡，國際化域名(IDN)推進(jìn)等問題進(jìn)行了討論。-2009年12月，Google提供了PublicDNS解析服務(wù)。-2010年2月8日，CNNIC與ISC建立互聯(lián)網(wǎng)技術(shù)聯(lián)合實(shí)驗(yàn)室CILAB，雙方依托聯(lián)合實(shí)驗(yàn)室進(jìn)行產(chǎn)品開發(fā)、服務(wù)平臺運(yùn)行、技術(shù)研究、以及國內(nèi)業(yè)務(wù)拓展等方面的合作。-2010年4月30日，新華社報(bào)道了上海世博會官網(wǎng)全球訪問信息。作為互聯(lián)網(wǎng)上顯著的“中國”標(biāo)識，、等一系列.CN域名的廣泛應(yīng)用，使國家域名成為上海世博會的網(wǎng)絡(luò)“新地標(biāo)”。-2010年7月10日，互聯(lián)網(wǎng)名稱與編號分配機(jī)構(gòu)(ICANN)授權(quán)互聯(lián)網(wǎng)地址指派機(jī)構(gòu)(IANA)將“.中國”域名正式寫入全球互聯(lián)網(wǎng)根域名系統(tǒng)(DNS)。至此，“.中國”域名全球解析部署已實(shí)施完畢。全球網(wǎng)民在瀏覽器地址欄中直接輸入已注冊的“.中國”域名即可訪問相應(yīng)網(wǎng)站。-2010年7月15日，根簽名服務(wù)器正式對外提供服務(wù)，標(biāo)識著DNSSec在根服務(wù)器的部署已經(jīng)完成。域名安全事