中国域名服务及安全现状报告
中国域名服务及安全现状报告
北龙中网(北京)科技有限责任公司
(2011 年 5 月)
1
中国域名服务及安全现状报告
目 录
报告摘要.....................................................................................................3
第一章 域名服务体系说明 ..................................................................4
第二章 域名服务体系监测结果 ..........................................................6
一、根域名服务系统 .......................................................................................................................... 6
二、顶级域服务系统 .......................................................................................................................... 6
(一)总体情况.............................................................................................................................. 6
(二)软件版本类型 ...................................................................................................................... 7
三、二级及以下权威域名服务系统 .................................................................................................. 8
(一)地域分布.............................................................................................................................. 8
(二)所属运营商 .......................................................................................................................... 8
(三)软件版本类型 ...................................................................................................................... 9
(四)协议支持程度 .................................................................................................................... 10
四、递归域名服务系统 .................................................................................................................... 11
(一)地域分布............................................................................................................................ 11
(二)所属运营商 ........................................................................................................................ 12
(三)软件版本类型 .................................................................................................................... 12
(四)协议支持程度 .................................................................................................................... 14
(五)递归域名服务器端口随机性 ............................................................................................ 15
第三章 国内重点权威域名安全抽样 ................................................16
第四章 DNSSEC 及全球实施状况 ...................................................18
第五章 域名服务风险分析和安全建议 ............................................22
附录 1 术语定义 ......................................................................................25
附录 2 全球技术动态及安全事件 ..........................................................26
2
中国域名服务及安全现状报告
报告摘要
截至 2011 年 5 月 20 日,监测到世界范围内域名服务器总量为 15,457,337 个,其中权威
域名服务器 2,852,319 个,递归域名服务器 12,605,018 个。活跃域名服务器数量为
1,245,135 个,其中权威域名服务器 561,250 个,递归域名服务器 683,885 个。
截至 2011 年 5 月 20 日,监测到国内的域名服务器总量为 880,841 个,其中权威域名服
务器 96,786 个,递归域名服务器 784,055 个。国内活跃域名服务器数量为 66,372 个,
其中权威域名服务器 19,122 个,递归域名服务器 47,250 个。
国内的域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。其中
排名前 10 的地区域名服务器总量占全国域名服务器总量的 91%以上。
对国内的所有权威服务器进行扫描,统计发现,62%以上使用 Unix/Linux 系统,95%以
上使用 ISC BIND 软件。国内的权威域名服务器中 53%开启了递归查询功能,远大于全
球范围内 31%的比率,存在一定的安全隐患。
对国内的所有递归域名服务系统进行全面扫描,统计发现,55%以上使用了 Unix/Linux
系统,94%以上使用 ISC BIND 软件。
统计发现,国内 4.2%的递归域名服务器端口随机性较差,容易遭受 DNS 劫持攻击,远
高于全球范围 0.98%的平均水平。
对国内重要信息系统所涉域名抽样统计发现, 57%的域名解析服务处于有风险的状态,
其中 11.8%的域名因配置管理不当,处于较高风险状态。
3
中国域名服务及安全现状报告
第一章 域名服务体系说明
域名(Domain Name)是由一串用点分隔的字符组成的互联网名称,是用于识别和定位
互联网上计算机的层次结构式字符标识,类似于互联网上的门牌号码。
域名系统(DNS)是逐级授权的分布式数据查询系统,主要用于完成域名到 IP 地址的
翻译转换功能。绝大多数互联网应用都基于域名系统开展,绝大多数互联网通信都必须先通
过域名系统完成域名到 IP 地址的寻址转换。
互联网业务应用
电子商务、电子政务、网络游戏、视频通讯等
域名系统(域名IP地址)
www.knet.cn218.241.105.41
互联网物理设施
基础网络、传输设备、互联设备、接入系统等
图 1 域名系统的位置角色
域名服务体系包括提供域名服务的所有域名系统,它包括两大部分、四个环节:即递归
域名服务系统,以及由根域名服务系统、顶级域名服务系统、和其他各级域名服务系统组成
的权威域名解析服务体系。
图 2 域名服务体系的构成示意
4
中国域名服务及安全现状报告
域名服务体系中,根域名服务系统由 ICANN 授权的是十三家全球专业域名管理机构提
供运营支持,顶级域名服务系统由 ICANN 签约的商业机构、或各国政府授权的科研管理机
构负责运行维护,因此这两个环节的稳定运行有所保障。
而大量的二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、
商业网站、终端网民自我运行或托管在第三方;递归域名服务器一般由各网络接入机构提供。
这两个环节是数量众多、而安全状况相对薄弱的两个环节,根据监测和统计,两个环节的活
跃的服务器 561,250 台套和 683,885 台套,相对安全的服务器比例不足半数。其主要原因在
于这两个环节的服务器众多、管理分散、规模有限,维护人员的技术水平也参差不齐,缺乏
综合专业的安全服务能力。
5
中国域名服务及安全现状报告
第二章 域名服务体系监测结果
一、根域名服务系统
根服务器的分布情况对互联网的访问性能有很大的影响。截至目前,全球域名系统 13
个根服务器在全球的镜像服务器数量共 242 个。中国大陆有 F 根、 根和 J 根的镜像服务器。
I
表 1 根域名服务器及其镜像的基本状况
根服 镜像 平均访问时
运营者 IP 地址 AS 号
务器 个数 间(毫秒)
IPv4: 198.41.0.4
A VeriSign, Inc. 6 19836 281
IPv6:2001:503:BA3E::2:30
IPv4: 192.228.79.201
B Information Sciences Institute 1 4 220
IPv6: 2001:478:65::53
C Cogent Communications 6 IPv4: 192.33.4.12 2149 213
D University of Maryland 1 IPv4: 128.8.10.90 27 278
E NASA Ames Research Center 1 IPv4: 192.203.230.10 297 216
IPv4: 192.5.5.241
F ISC 49* 3557 3
IPv6: 2001:500:2f::f
G U.S. DOD NIC 6 IPv4: 192.112.36.4 5927 312
IPv4: 128.63.2.53
H U.S. Army Research Lab 2 13 270
IPv6:2001:500:1::803f:235
IPv4: 192.36.148.17
I Autonomica 37* 29216 1
IPv6:2001:7fe::53
IPv4: 192.58.128.30
J VeriSign, Inc. 70* 26415 3
IPv6: 2001:503:C27::2:30
IPv4: 193.0.14.129
K RIPE NCC 18 25152 132
IPv6: 2001:7fd::1
IPv4: 199.7.83.42
L ICANN 39 20144 261
IPv6: 2001:500:3::42
IPv4: 202.12.27.33
M WIDE Project 6 7500 104
IPv6: 2001:dc3::35
*表示在国内有镜像服务
二、顶级域服务系统
(一)总体情况
根据国际互联网域名体系的构成,顶级域名分为三类:通用顶级域名(gTLD,General
Top Level Domain)、国家与地区顶级域名(ccTLD,Country Code Top Level Domain)和基
6
中国域名服务及安全现状报告
础设施类顶级域(目前仅有.Arpa)。其中通用顶级域 gTLD 共有 21 个,可细分为组织主办
类(Sponsored)14 个,通用类(Generic)4 个,及限制通用类(Generic-restricted)3 个。
,另外还有实验性顶级域 11
国家与地区顶级域共计 291 个(包含“.中国”等新增的顶级域)
个,共计 324 个顶级域。
(二)软件版本类型
一般顶级域的运营者都比较注重系统的安全性,统计发现,操作系统 69%以上都采用
开源 Linux,相对稳定性较高。也可以发现 Windows 的使用率约占 20%。
Sun Solaris OpenBSD
FreeBSD 3% 2%
6%
Microsoft
Windows
20%
Linux
69%
图 3 顶级域服务系统操作系统类型分布
对顶级域服务系统使用的域名服务器进行探测扫描,统计发现 95%以上使用开源软件
ISC BIND。
表 2 顶级域服务系统所用域名解析软件分类
域名解析软件类型 比例
ISC BIND 95.43%
ISC BIND 4.8 -- 4.8.3 0.23%
ISC BIND 4.9.3 -- 4.9.11 0.12%
ISC BIND 8.1-REL -- 8.2.1-T4B 0.23%
ISC BIND 8.2.2-P3 -- 8.3.0-T2A 1.29%
ISC BIND 8.3.0-RC1 -- 8.4.4 2.81%
ISC BIND 9.2.0rc4 -- 9.2.2-P3 0.12%
ISC BIND 9.2.0rc7 -- 9.2.2-P3 2.11%
ISC BIND 9.2.3rc1 -- 9.4.0a0 88.52%
UltraDNS 1.99%
VeriSign ATLAS 1.52%
7
中国域名服务及安全现状报告
bboy MyDNS 0.47%
Runtop dsl/cable 0.23%
Nominum ANS 0.23%
NLnetLabs NSD 0.12%
其他 0.01%
合计 100%
三、二级及以下权威域名服务系统
(一)地域分布
统计发现,拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省
市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的 91%以上。
台湾 33.06%
香港 22.98%
北京 13.76%
广东 6.26%
上海 5.89%
浙江 2.66%
江苏 2.17%
辽宁 1.94%
山东 1.45%
福建 1.30%
图 4 权威域名服务系统地域分布
(二)所属运营商
在对国内其他各级域名服务系统进行监测的同时,对这些权威服务器在各大运营商的分
布状况进行统计,发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的
50%以上。
8
中国域名服务及安全现状报告
25.00%
20.16%
20.00%
15.00% 10.93% 10.11%
10.00%
4.60%
5.00% 2.34% 1.38%
0.89% 0.01%
0.00%
图 5 权威域名服务系统运营商分布
(三)软件版本类型
对国内各级域名服务系统中的所有权威服务器进行扫描,统计发现,62%以上的域名服
务器使用开源的 Linux 系统,Microsoft Windows 操作系统所占比例在 36%左右。
Sun Solaris IBM OpenBSD FreeBSD
2% AIX 0% 0%
0%
Microsoft
Windows
36%
Linux
62%
图 6 权威域名服务系统操作系统类型分布
对国内各级域名服务系统中的所有权威域名服务器进行探测,其中 95%以上的域名服
务器使用开源的 ISC BIND 软件,国外权威域名服务系统中 ISC BIND 使用率约为 93%。
表 3 国内权威域名服务系统域名解析软件分类
域名解析软件类型 比例
ISC BIND 95.19%
9
中国域名服务及安全现状报告
ISC BIND 4.8 -- 4.8.3 0.01%
ISC BIND 4.9.3 -- 4.9.11 0.59%
ISC BIND 8.1-REL -- 8.2.1-T4B 1.72%
ISC BIND 8.2.2-P3 -- 8.3.0-T2A 0.48%
ISC BIND 8.3.0-RC1 -- 8.4.4 4.01%
ISC BIND 8.4.1-p1 0.02%
ISC BIND 9.0.0b5 -- 9.1.3 0.02%
ISC BIND 9.1.0 -- 9.1.3 0.71%
ISC BIND 9.2.0a1 -- 9.2.2-P3 0.16%
ISC BIND 9.2.0rc4 -- 9.2.2-P3 0.03%
ISC BIND 9.2.0rc7 -- 9.2.2-P3 8.68%
ISC BIND 9.2.3rc1 -- 9.4.0a0 78.75%
Microsoft Windows DNS 2.44%
bboy MyDNS 0.67%
Yutaka Sato DeleGate DNS 0.47%
PowerDNS PowerDNS 0.41%
Runtop dsl/cable 0.18%
JHSOFT simple DNS plus 0.16%
DJ Bernstein TinyDNS 0.08%
Mikrotik dsl/cable 0.07%
Meilof Veeningen Posadis 0.07%
Raiden DNSD 0.03%
Alteon ACEswitch 0.02%
vermicelli totd 0.02%
Sourceforge JDNSS 0.02%
Sam Trenholme MaraDNS 0.02%
sheerdns 0.02%
Paul Rombouts pdnsd 0.02%
NLnetLabs NSD 0.02%
menandmice QuickDNS 0.02%
Cisco CNR 0.02%
pliant DNS Server 0.01%
Nominum CNS 0.01%
Nominum ANS 0.01%
javaprofessionals javadns/jdns 0.01%
Dan Kaminsky nomde DNS tunnel 0.01%
其他 0.01%
合计 100.00%
(四)协议支持程度
中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比,
10
中国域名服务及安全现状报告
支持 TCP 查询的比例略低于世界水平,中国各级域名服务系统支持 EDNS0 的比例略高于世
界平均值。
中国各级域名服务系统中的权威域名服务器中,53%开启了递归查询功能,远大于世界
各级域名服务器 31%的递归功能开启比率,存在一定的安全隐患,这说明中国的各级域名
服务系统配置方式存在问题。
93%
100% 86%
80%
53%
60%
33% 31%
40% 24%
20%
0%
支持TCP 支持EDNS0 开启递归
国内 国外
图 7 权威域名服务系统协议支持程度
四、递归域名服务系统
(一)地域分布
中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地
区。下图中十个地区的递归服务器总量占全国递归服务器总量的 88%以上。
11
中国域名服务及安全现状报告
台湾 37.54%
广东 13.51%
北京 12.42%
香港 9.55%
上海 5.08%
浙江 2.58%
江苏 2.43%
山东 2.06%
福建 1.87%
辽宁 1.47%
图 8 递归域名服务系统地域分布
(二)所属运营商
对中国境内的递归域名服务器进行运营商级的细化,62%以上的递归域名服务器分布在
中国主流的运营商内,其中中国电信拥有的递归服务器数量最多,占全国递归域名服务器总
量的 21%以上。
25.00% 21.89% 21.31%
20.00%
13.56%
15.00%
10.00%
5.00% 2.04% 2.00%
0.83% 0.67% 0.004%
0.00%
图 9 递归域名服务系统运营商分布
(三)软件版本类型
对中国递归域名服务系统进行全面扫描,统计发现,超过 55%的递归域名服务器运行
在 Linux 等开源系统上,28%左右的递归域名服务运行在 Microsoft Windows 操作系统上。
12
中国域名服务及安全现状报告
IBM AIX FreeBSD Apple Mac OS X OpenBSD
4% 4% 1% 0%
Sun Solaris
8%
Microsoft Linux
Windows 55%
28%
图 10 递归域名服务系统操作系统类型分布
在对中国递归域名服务系统进行统计分析时,发现 94%以上都采用的开源软件 ISC
BIND,国外递归域名服务系统中 ISC BIND 使用率约为 86%。
表 4 国内递归域名服务系统域名解析软件分类
域名解析软件类型 比例
ISC BIND 94.03%
ISC BIND 4.8 -- 4.8.3 0.01%
ISC BIND 4.9.3 -- 4.9.11 0.41%
ISC BIND 8.1-REL -- 8.2.1-T4B 2.87%
ISC BIND 8.2.2-P3 -- 8.3.0-T2A 0.38%
ISC BIND 8.3.0-RC1 -- 8.4.4 6.76%
ISC BIND 9.1.0 -- 9.1.3 1.24%
ISC BIND 9.2.0a1 -- 9.2.0rc3 0.00%
ISC BIND 9.2.0a1 -- 9.2.2-P3 0.23%
ISC BIND 9.2.0rc4 -- 9.2.0rc6 0.00%
ISC BIND 9.2.0rc4 -- 9.2.2-P3 0.15%
ISC BIND 9.2.0rc7 -- 9.2.2-P3 9.79%
ISC BIND 9.2.3rc1 -- 9.4.0a0 72.19%
Microsoft Windows DNS 2000 2.25%
Mikrotik dsl/cable 1.73%
Nominum CNS 0.48%
bboy MyDNS 0.45%
Runtop dsl/cable 0.24%
vermicelli totd 0.17%
robtex Viking DNS module 0.11%
13
中国域名服务及安全现状报告
JHSOFT simple DNS plus 0.08%
Raiden DNSD 0.07%
Yutaka Sato DeleGate DNS 0.06%
PowerDNS PowerDNS 0.06%
Ascenvision SwiftDNS 0.05%
Cisco CNR 0.05%
Max Feoktistov small HTTP server 0.03%
Meilof Veeningen Posadis 0.03%
sheerdns 0.03%
Paul Rombouts pdnsd 0.02%
DJ Bernstein TinyDNS 1.05 0.01%
Sam Trenholme MaraDNS 0.01%
Sourceforge JDNSS 0.01%
Axis video server 0.01%
incognito DNS commander 0.01%
NLnetLabs NSD 1.0.3 -- 1.2.1 0.00%
Nortel Networks Instant Internet 0.00%
WinGate Wingate DNS 0.00%
其他 0.00%
合计 100.00%
(四)协议支持程度
中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比,
中国递归服务器的协议支持程度与世界平均水平保持一致。
63% 61%
70%
60%
42%
50%
34%
40%
30%
20%
10%
0%
支持TCP 支持EDNS0
国内 国外
图 11 递归域名服务系统协议支持程度
14
中国域名服务及安全现状报告
(五)递归域名服务器端口随机性
递归域名服务器对外发起查询使用的客户端端口的随机性对域名解析的安全程度具有
很大影响,端口随机算法如果不够安全,会使域名服务器容易遭受缓存中毒攻击,著名的卡
明斯基漏洞就是利用递归服务器的客户端端口弱随机性发起的攻击。统计发现,中国超过
4%的递归域名服务器端口随机性较差,容易遭受 DNS 劫持攻击,远高于世界范围的 0.98%。
94.26% 3.91% 0.85% 0.98%
国外
92.42% 2.62% 0.75% 4.20%
国内
88% 90% 92% 94% 96% 98% 100%
GREAT GOOD WHITELIST POOR
图 12 递归域名服务系统端口随机程度分布
15
中国域名服务及安全现状报告
第三章 国内重点权威域名安全抽样
重要信息系统涉及域名数量众多,根据重点域名的访问量及其服务范围,抽样调查了
各行业的域名,主要来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生
的各个行业。统计发现 57%的重点域名解析服务处于有风险的状态,只有 11%的域名解析
服务安全等级为良好。
风险较高 非常危险
11% 1%
良好
11%
一般
32%
有风险
45%
图 13 重点域名安全状况分布
通过对各行业的域名安全状况进行分析,教育机构的域名服务系统安全性最差,80%以
上的域名解析服务处于有风险状态。
100%
90%
80%
70%
60% 非常危险
50% 风险较高
40% 有风险
30%
一般
20%
良好
10%
0%
图 14 各行业重点域名安全等级分布
经过对重点域名列表进行扫描监测,统计发现,74%的域名配置了两台以上的域名服务
器,但是这些配置两台以上域名服务器的域名中又有超过 23%的域名服务器位于同一个网
16
中国域名服务及安全现状报告
段内。
域名服务器作为权威服务器,应该将递归功能关闭,否则会存在安全隐患,通过统计分
析发现,重点域名列表中有 40%的域名服务器将递归功能开启,增加了被攻击的风险。
递归开放
40%
递归关闭
60%
图 15 重点域名服务器递归功能开放统计
权威服务器所用软件类型及版本将从很大程度上影响到域名服务器的安全性,通过对中
国重点域名所使用的软件版本类型信息进行监测和统计,发现 75%的域名服务器使用开源
软件 ISC BIND,且在使用 ISC BIND 的域名服务器中 15%左右的 BIND 版本过低,存在严
重的安全隐患。
表 5 中国重点域名所用软件类别
软件系统 比例
ISC Bind 9 75.10%
ISC Bind 8 11.84%
ISC Bind 4 1.32%
Microsoft Windows DNS 2000 1.97%
PowerDNS 3.95%
bboy MyDNS 2.63%
XBILL jnamed (dnsjava) 0.66%
Cisco CNR 0.66%
UltraDNS 0.66%
HyperDNS 0.66%
其他 0.66%
合计 100.00%
17
中国域名服务及安全现状报告
第四章 DNSSec 及全球实施状况
DNS 域名服务系统作为互联网服务的重要基础设施,其设计之初就存在严重的协议安
全漏洞,近年来针对这些安全漏洞的网络攻击给 DNS 和互联网带来了巨大的损失。为此 IETF
成立了工作组专门研究 DNSSec 安全扩展协议(DNS Security Extensions),并推出了一系列
的 RFC 标准,从概念、协议设计、报文格式、加密算法及密钥管理等方面完善了原有 DNS
体系的不足之处,从而形成一整套的 DNSSec 解决方案。
分析 DNSSec 的技术原理可发现,该解决方案遵循了如下目标和设计原则:
为 DNS 解析服务提供数据源身份认证和对数据完整性验证;
由于 DNS 是一个公共的网络服务基础设施,不能强制进行访问控制或者数据加密;
DNSSec 协议需要与原有 DNS 协议兼容;
支持增量部署;
部署了 DNSSEC 的权威域名服务器在应答查询请求时,首先使用哈希算法计算应答报
文的摘要,再将此摘要用自己的私钥加密生成签名后存储到报文中;查询方收到应答报文,
利用权威服务器的公钥解密签名获得摘要,再将此摘要与从报文数据计算出的摘要进行对比
来完成数据的完整性验证。如果数据完整性验证成功,则也同时完成了对数据源(权威域名
服务器)的身份认证,否则认识身份认证失败。为了解决以安全的方式分发公钥所面临的挑
战,使用了“信任链”的方法,所有 DNS 认证过程的信任锚点均为根域名服务器。
图 16 DNSSec 签名认证过程
自 2010 年 7 月 15 日根正式提供 DNSSec 服务之后,实施 DNSSec 的顶级域数量逐渐增
18
中国域名服务及安全现状报告
多,截至 2011 年 5 月 20 日,已有 71 个顶级域部署了 DNSSec,约占顶级域总量的 22%。
这些实施了 DNSSec 的顶级域中,有 11 个通用顶级域名,49 国家与地区顶级域名,11 个实
验性顶级域名。
表 6 TLD 实施 DNSSec 统计
GTLD KSK 数量 CCTLD KSK 数量 TEST-TLD KSK 数量
arpa 1 ac(阿森松岛) 1 xn--0zwm56d 1
asia 2 ag(安提瓜岛) 2 xn--11b5bs3a9aj6g 1
biz 3 am(亚美尼亚) 1 xn--80akhbyknj4f 1
cat 1 be(比利时) 3 xn--9t4b11yi5a 1
com 1 bg(保加利亚) 1 xn--deba0ad 1
edu 1 br(巴西) 1 xn--g6w251d 1
gov 1 bz(伯利兹城) 2 xn--hgbk6aj7f53bba 1
info 2 ch(瑞士) 1 xn--hlcj6aya9esc7a 1
museum 2 cl(智利) 1 xn--jxalpdlp 1
org 2 co(哥伦比亚) 2 xn--kgbechtv 1
net 1 cz(捷克共和国) 1 xn--zckzah 1
de(德国) 1
dk(丹麦) 1
eu(欧洲联盟) 1
fi(芬兰) 1
fr(法国) 2
gi(直布罗陀) 2
gr(希腊) 1
hn(洪都拉斯) 2
in(印度) 2
io(英属印度洋群岛) 1
jp(日本) 1
kg(吉尔吉斯斯坦) 1
la(老挝) 1
lc(黎巴嫩) 2
li(列支敦士登) 1
lk(斯里兰卡) 1
lu(卢森堡公国) 1
me(黑山共和国) 2
mn(蒙古国) 2
my(马来西亚) 2
na(纳米比亚) 1
nl(尼加拉瓜) 1
pm(圣皮埃尔和密克隆 2
群岛)
19
中国域名服务及安全现状报告
pr(波多黎各) 2
pt(葡萄牙) 1
re(留尼旺岛) 2
sc(塞舌尔群岛) 2
se(瑞典) 2
sh(圣赫勒拿) 1
tf(法属南部领土) 2
th(泰国) 2
tm(土库曼斯坦) 1
uk(英国) 1
us(美国) 2
vc(圣文森特和格林纳 2
丁斯)
wf(瓦利斯群岛和富图 2
纳群岛)
xn--xkc2al3hye2a(斯里 1
兰卡)
yt(马约特岛) 2
在对区进行分布式监测时,还同时检验了实施 DNSSec 所用的密钥算法,经过统计发现
92%以上的密钥使用的 RSA/SHA-1 算法,5%以上使用的 RSA-NSEC3-SHA1 算法。
表 7 DNSSec 所用密钥算法统计
算法名称 比例
RSA/SHA-1 92.264%
RSA-NSEC3-SHA1 5.232%
RSA/SHA256 1.530%
RSA/SHA512 0.827%
DSA/SHA-1 0.126%
RSA/MD5 0.016%
ECC/GOST 0.005%
合计 100.00%
目前根域名服务体系已经实施 DNSSec,顶级域以及其他各级域名服务系统也纷纷将
DNSSec 的部署实施纳入章程。为了确保中国互联网的安全,国内各域名服务提供主体要重
视 DNSSec 的部署和实施工作,同时密切关注国外域名服务主体实施 DNSSec 遇到的困难和
问题,并结合中国国情探索有利于中国互联网健康发展的安全之路。
通过分析 DNSSec 的技术实现原理以及国外 DNSSec 实施案例,发现国内部署实施
20
中国域名服务及安全现状报告
DNSSec 将面临如下困难和问题:
第一,缺乏最佳的实践指导,各域名服务提供主体对 DNSSec 的实施方式尚未有统一认
识。由于 DNSSec 尚未广泛部署,对即将面对的问题缺乏最佳的解决经验。
第二,部署实施 DNSSec 需要一系列技术性要求较高的专用设备,如密钥管理设备、签
名设备等,市场上缺乏成熟的产品。
第二,实施 DNSSec 对域名解析系统有更高的要求,需要扩充域名解析系统的计算资源
和存储能力以保证解析效率。
第三,由于部署 DNSSec、实施 EDNS0 会使得 DNS 数据包增大,超过传统的 512 字节,
增大网络流量,扩展的 DNS 数据包有可能超过路径最大传输单元 ,
(PMTU) 发生丢包现象。
第四,部署实施 DNSSec 需要技术人员对 DNS 体系、加密算法等十分精通,国外实施
DNSSec 时因配置失误导致域名解析故障屡有发生。国内具备这些能力的专业技术人员严重
缺乏。
第五,实施 DNSSec 可能增大 DDoS 攻击的成功率,因为 DNS 响应数据包增大,使得
黑客更容易利用 DNS 系统形成放大攻击或反射攻击。
21
中国域名服务及安全现状报告
第五章 域名服务风险分析和安全建议
域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个
互联网的发展和建设来说至关重要。分析发现,国内域名服务在配置管理和运行维护方面均
存在不同程度的安全隐患,域名服务系统面临的风险以及安全防范建议如下:
风险一:信息更改或过期:各级域名解析系统通常与域名注册、WHOIS 等系统协调工
作,任一环节的漏洞都可能被黑客利用,篡改域名解析数据。权威域名解析服务的主服务器
或辅服务器如因配置不当,也容易被攻击,造成权威解析服务故障。
防范建议:确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其
他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。
风险二:DNS 系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不
当或升级延迟,软件存在的漏洞容易被黑客利用。近年来开源软件 BIND 被广泛使用,一旦
该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。
防范建议:采用安全的操作系统平台和域名解析软件,并关注软件商发布的最新安全漏
洞,定期升级软件系统。
风险三:域名劫持(Domain Name Hijacking):通过各种攻击手段控制了域名管理密码
和域名管理邮箱,然后将该域名的 NS 纪录指向到黑客可以控制的 DNS 服务器,然后通过
在该 DNS 服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内
容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至会导致域名所有权也旁落
他人。如果是国内的 CN 域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快
地拿回控制权。如果是国际域名被劫持,而且又是通过国际注册商注册,那么其复杂的解决
流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
防范建议 1:选择安全性高、服务便捷的域名注册服务机构和域名注册管理机构;
防范建议 2:隐藏域名解析软件及操作系统等版本信息;
防范建议 3:限制域名区文件的传送权限;
:中间人攻击,是攻击者冒充域名服务
风险四:中间人攻击(Man in the Middle Attack)
22
中国域名服务及安全现状报告
器的一种欺骗行为,它主要用于向主机提供错误 DNS 信息。中间人攻击大多数本质都是被
动,其检测和防御十分困难。
防范建议 1:使用入侵检测系统,尽可能的检测出中间人攻击行为;
防范建议 2:需对域名服务器边界网络设备的流量、数据包进行监控,监控方式可基于
监听、SNMP、NetFlow 等网管技术和协议;
防范建议 3:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的
测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及
内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
防范建议 4:部署实施 DNSSec;
风险五:NSEC 游走:早期的 DNSSec 使用 NSEC 方案,会造成区文件被遍历、枚举,
从而泄露所管理的域名解析数据,既是商业数据的泄露,也容易成为黑客攻击的靶子。
防范建议 1:采用 NSEC3 方案解决该问题;
:DDoS 攻击手段是在传统的 DoS 攻击基
风险六:分布式拒绝服务攻击(DDoS Attack)
础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服
务器发送大量查询报文,这些报文看似完全符合规则,但往往需要 DNS 服务器花费大量时
间进行查询,从而使 DNS 瘫痪。2009 年 5 月 19 日全国大面积断网事件起因即为 DDoS 攻
击。
防范建议 1:提供域名服务的服务器数量应不低于 2 台,建议独立的名字服务器数量为
5 台。并且建议将服务器部署在不同的物理网络环境中;
防范建议 2:限制递归服务的服务范围;
防范建议 3:利用流量分析等工具检测出 DDoS 攻击行为,以便及时采取应急措施;
防范建议 4:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
:DNS 缓存窥探是一个确定某一个资源记录是否
风险七:缓存窥探(Cache Snooping)
存在于一个特定的 DNS 缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析
器处理了哪些域名查询。攻击者通常利用缓存窥探寻找可攻击对象。
防范建议:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
风险八:缓存中毒(或 DNS 欺骗) :通过向 DNS
(Cache Poisoning or DNS Spoofing)
23
中国域名服务及安全现状报告
服务器注入非法网络域名地址实现缓存中毒攻击,对该类安全威胁的检测十分困难。利用该
漏洞轻则可以让用户无法打开网页,重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。
由于软件实现技术水平参差不齐,端口、报文 ID 随机算法落后的域名服务器容易遭受缓存
中毒攻击。
防范建议 1:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时
给出告警提示;
防范建议 2:部署实施 DNSSec;
风险九:DNS 放大、反射攻击:目前的 DDoS 攻击通常与“DNS 放大攻击”和“DNS
反射攻击”配合实施。在这两类攻击中,DNS 服务器往往不受攻击目标,而是充当了无辜
的被利用者的角色。这种攻击向互联网上的一系列无辜的第三方 DNS 服务器发送小的和欺
骗性的询问信息。这些 DNS 服务器随后将向表面上是提出查询的那台服务器发回大量的回
复,导致通讯流量的放大并且最终导致攻击目标瘫痪。提供递归域名解析服务的主体需要控
制服务范围,尽可能的避免提供开放递归服务,并借助于流量分析监测等手段发现潜在的
DDos 攻。
防范建议 1:利用流量分析等工具检测出攻击行为;
防范建议 2:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
此外,为了加强域名服务的安全可靠性,域名服务部署时,需要考虑单节点故障问题。
所涉及的路由器、交换机等均需要有冗余备份能力,建立完善的数据备份机制和日志管理系
统。应保留最新的 3 个月的全部解析日志。并且建议对重要的域名信息系统采取 7×24 的维
护机制保障。应急响应到场时间不能迟于 30 分钟。
24
中国域名服务及安全现状报告
附录 1 术语定义
DNS:全称为 Domain Name System,即域名服务系统,是互联网的重要基础设施,完
成了域名到 IP 地址的映射功能。
IP:网络地址,标示互联网上的每一台主机。
TCP:Transmission Control Protocol,传输控制协议,是一种面向连接的、可靠的、基
于字节流的运输层通信协议。
UDP:User Datagram Protocol,用户数据包协议,是一种无连接的传输层通信协议。
DNSSec:DNS 安全扩展协议,在传统 DNS 基础上提供数据源认证和完整性检查。
EDNS0:DNS 扩展协议第一个版本,实施 DNSSec 所必需的重要协议。
ccTLD:Country Code Top Level Domain,国家及地区顶级域名。
gTLD:Generic top-level domain,通用顶级域名。
根域名服务器:是互联网域名解析系统中最高级别的域名服务器。
权威域名服务器:提供权威名字解析服务的域名服务器。
递归域名服务器:具有处理递归查询功能的域名服务器。
ISP:Internet Service Provider,互联网服务提供商。
25
中国域名服务及安全现状报告
附录 2 全球技术动态及安全事件
技术动态
2010 年 2 月 8 日,CNNIC 与 ISC 建立互联网技术联合实验室 CILAB,双方依托联合实
验室进行产品开发、服务平台运行、技术研究、以及国内业务拓展等方面的合作。
2010 年 4 月 30 日,新华社报道了上海世博会官网 expo2010.cn 全球访问信息。作为互
联网上显著的“中国”标识,expo2010.cn、expo.cn 等一系列.CN 域名的广泛应用,使
国家域名成为上海世博会的网络“新地标”。
2010 年 7 月 10 日, 互联网名称与编号分配机构(ICANN)授权互联网地址指派机构
(IANA)将“.中国”域名正式写入全球互联网根域名系统(DNS)。至此,“.中国”域名
全球解析部署已实施完毕。全球网民在浏览器地址栏中直接输入已注册的“.中国”域名
即可访问相应网站。
2010 年 7 月 15 日,根签名服务器正式对外提供服务,标识着 DNSSec 在根服务器的部
署已经完成。
2010 年 8 月 26 日,威瑞信(VeriSign)公司推出威瑞信可管理型 DNS 服务,该服务是
一项安全且基于云的服务,可以帮助企业确保网站、邮件和网络系统的可用性,同时减
轻维护企业自身外部域名系统(DNS)基础设施的成本和负担。
2010 年 10 月 26 日,绿盟科技在北京发布了其 DNS 域名安全防护产品。
2010 年 12 月 7 日,亚马逊 Web 服务部门宣布推出一项名为“亚马逊 Route 53”的域名系
统 Web 服务,旨在以优化的网络位置自动做出回应,从而为用户降低 DNS 查询延迟。
2011 年 1 月 17 日,日本互联网供应商 IIJ 公司(Internet Initiative Japan Inc.)宣布,为了提
高域名系统(DNS)的安全,将升级其所有 DNS 相关的服务,并将于 2011 年 1 月 31 日
与 DNS 安全扩展(DNSSEC)进行相互兼容。
2011 年 4 月 25 日,美国快思聪推出免费的动态 DNS 服务,它使得安装者为业主提供个
性化、可靠的 URL、不间断远程家居控制的同时可以在单一的网页上整合所有项目、
子域名的管理。
26
中国域名服务及安全现状报告
2011 年 5 月 1 日,OpenDNS 提供 IPv6 沙箱测试,以便让用户在 IPv4 向 IPv6 过渡阶段
提供互通性检测。
2011 年 5 月 3 日,Infoblox 升级其管理的 DNS 服务体系,以便客户向 IPv6 环境迁移。
2011 年 5 月 17 日,亚美尼亚部署了 I 根镜像。
2011 年 5 月 19 日,Google 宣布将针对美国、英国打击盗版采取的 DNS 黑名单封锁技
术进行抗争。
域名安全事件
2010 年 1 月 12 日,知名搜索引擎公司百度 DNS 被劫持,造成其网站数小时内无法被
访问。
2010 年 1 月 20 日,时代互联域名解析服务遭受攻击。
2010 年 2 月 8 日,印度最大的软件开发商塔塔(Tata)咨询服务公司网站遭黑客攻击,经
证实攻击手段为 DNS 劫持。
2010 年 2 月 22 日,通信领域著名网站 DSLReports 域名服务器发生故障。
2010 年 3 月 9 日,澳大利亚游戏网站 Ubisoft 遭受 DDoS 攻击。
2010 年 3 月 24 日,维基百科 Wikimedia 的 DNS 在做服务切换时发生配置错误,致使
欧洲用户数小时无法访问维基百科网站。
2010 年 3 月 26 日,国外著名 VoIP 提供商 Line2 的域名系统遭受 DDoS 攻击。
2010 年 5 月 15 日,DENIC 负责运营的德国国家顶级域 DE 因配置错误,导致成千上万
的 de 域名无法访问。
2010 年 6 月 2 日,Netscape 网景公司的 DNS 服务遭受攻击并致瘫痪。
2010 年 6 月 3 日,国外网站 Quakelive 因域名配置错误,造成网站长时间无法访问。
2010 年 8 月 3 日,VeryCD 部分地区无法访问,据官方微薄证实是 DNS 服务器遭受攻
击所致。
27
中国域名服务及安全现状报告
2010 年 8 月 7 日,国际知名 DNS 服务提供者 DNS Made Easy 遭受 DDoS 攻击,造成
1.5 小时的服务宕机。分析发现 DDoS 的攻击流量高达 50Gbps,而针对 DNS 的攻击流
量历史最高为 49Gbps。
2010 年 9 月 10 日,疑因黑客攻击 DNS 所致,安徽全省出现网络瘫痪事件。除了即时
聊天工具、网络游戏等可以照常使用以外,电信用户几乎所有的网页都无法打开。
2010 年 9 月 23 日,由于 DNS 分布式攻击导致 Facebook 一度无法访问。
2010 年 10 月 5 日,国内域名注册、交易服务平台名富网 DNS 出现多次故障,导致大
量网站罢工。
2010 年 11 月 10 日,由于 DNS 配置异常,爱名网官方网站持续近 20 个小时无法正常
访问,在爱名网注册的大部分域名无法解析,网站无法访问。
2010 年 12 月 28 日,WikiLeaks 网站所用域名遭受 DDoS 攻击,造成服务延迟。
2011 年 2 月 21 日,全国各地网络同时出现问题。网页突然无法打开,DNS 大面积故障。
后被证实为中国电信 DNS 故障所引起。
2011 年 3 月 19 日,华夏名网 DNS 出现严重故障,致使在华夏名网注册、使用其 DNS 解
析平台的所有域名均出现异常,包括域名无法解析等等现象。
2011 年 4 月 15 日,知名 DNS 服务提供商 PowerDNS 遭受 DoS 攻击,导致大量网站无
法访问。
2011 年 5 月 6 日, 网站一度无法访问。
境外网站 Logicboxes 遭受持续几小时 DNS 攻击,
2011 年 5 月 16 日,Microsoft 提供的 BPOS 云解析服务由于 DNS 遭受攻击导致大量用
户邮件发送延迟,微软向用户表示道歉。
2011 年 5 月 18 日,AusCERT 2011 会议上,NASA 官员称黑客利用境外托管的 DNS 服
务对 NASA 网络进行攻击,全球针对 DNS 攻击缺乏统一协调机制。
28
中国域名服务及安全现状报告
本报告版权归北龙中网(北京)科技有限责任公司所有
如引用或转载,请注明来源
29