中国互联网络信息中心 & 国家域名安全联盟 1 中国互联网络信息中心 & 国家域名安全联盟 目录 专业术语表 ................................................................................ 3 1、 前言 .................................................................................... 4 2、 摘要 .................................................................................... 4 3、 域名服务安全状况 ............................................................ 5 3.1 根域名服务系统 ........................................................... 5 3.2 顶级域名服务系统 ....................................................... 9 3.3 二级及以下权威域名服务系统 ................................. 13 3.4 递归域名服务系统 ..................................................... 17 4、 域名服务安全评估 .......................................................... 22 4.1 权威服务安全状态 ..................................................... 22 4.2 递归服务安全状态 ..................................................... 23 5、 域名服务安全态势分析 .................................................. 25 6、 国家域名安全联盟年度报告........................................... 26 2 中国互联网络信息中心 & 国家域名安全联盟 专业术语表 缩略语 英文全称 ccTLD CDN DNS DNSSEC DLV DoS DS gTLD Country Code Top Level Domain 国家与地区顶级域名 Content Delivery Network 内容分发网络 Domain Name System 域名系统 DNS Security Extensions 域名系统安全扩展 DNSSEC Lookaside Validation 域名系统安全旁路认证 Denial of Service 拒绝服务攻击 Delegation Signer 授权签名者 General Top Level Domain 通用顶级域名 Internet Corporation for Assigned Names 互联网名称与数字地址 and Numbers 分配机构 Internet Protocol version 4 互联网协议第四版本 Internet Protocol version 6 互联网协议第六版本 Transmission Control Protocol 传输控制协议 Time To Live 生存时间 User Datagram Protocol 用户数据报协议 ICANN IPv4 IPv6 TCP TTL UDP 中文全称 3 中国互联网络信息中心 & 国家域名安全联盟 1、 前言 域名系统（Domain Name System，DNS）是互联网重要的基础设施，目前大 多数的互联网应用，如网页浏览、电子邮件、文件传输等，都依赖域名系统来实 现网络资源的寻址和定位。对域名系统的安全检测一方面有助于对域名服务器安 全状态进行完整、精确、深入的把握，另一方面也可以借助于域名系统安全状况 进行互联网安全态势的分析和评估。 自 2009 年起，中国互联网络信息中心（以下简称 CNNIC）即开始从多角度 对整个域名服务体系的配置情况和安全态势进行检测与分析，为了对域名服务体 系的运行状态和安全配置情况进行更为准确、客观的了解，CNNIC 基于此方面 已有工作，2012 年在全国范围内部署了更为广泛的检测节点，并设计开发了故 障、配置、性能和流量等多角度的检测项，以对域名服务体系的根域名服务系统、 顶级权威域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运 行状态和安全状况进行全面检测和客观评估。 2、 摘要 周期性的重复检测及分析结果显示： 1) Linux 和 BIND 为权威及递归服务器所采用的最主要的操作系统和域名解 析软件，但 BIND 的版本应答比例普遍较高，具有一定安全隐患； 2) 根域名服务系统的协议支持完善，安全保障较好。此外，由于采用了全 球范围内的镜像部署，可提供稳定高效的解析服务； 3) 顶级权威域名服务系统的冗余配置较好，保证了稳定的解析性能，但对 DNSSEC 及相关配套协议的支持还有待进一步完善； 4) 二级及以下权威域名服务系统分布广泛，服务器配置状态参差不齐，主 要在 DNSSEC 和服务器冗余配置方面应进一步加强； 5) 递归域名服务系统的主要问题为端口随机性设置仍有待加强。此外，虽 然递归域名服务器对 EDNS0 的支持已经较为普遍，但并未有效配置以支 持大数据包，仍有 94%以上的服务器仅支持 512bytes 以内的数据包。 4 中国互联网络信息中心 & 国家域名安全联盟 3、 域名服务安全状况 整个域名服务体系包括提供域名服务的所有域名系统，由两大类别、四个环 节组成：第一类是权威域名解析服务系统，包括根域名服务系统、顶级域名服务 系统和其他各级域名服务系统三个环节。权威域名服务系统由各级域名持有者管 理，负责维护和保存各级权威域的域名信息，并且接受递归服务器的查询请求。 第二类是递归域名解析服务系统，它们面向终端用户提供域名查询服务，主要由 基础运营商运行管理。具体架构如图 1 所示。 图 1 域名服务体系的构成 根据域名服务体系构成及其各部分的服务模式，本报告从域名服务体系各系 统的底层操作系统和 DNS 软件到上层的域名服务架构，以及服务器的功能配置 和解析性能进行检测，以期全面反映域名服务体系的安全配置情况和运行状态。 3.1 根域名服务系统 3.1.1 简介 DNS 通过层次化的形式管理域名数据，从而以分阶段的方式将人们可以记住 的域名转换为计算机使用的数字以寻找其对应的目的地。根域名服务系统作为提 供 DNS 权威数据的入口，其服务器数量和分布对互联网域名解析服务性能和安 全稳定有很大的影响。截至 2012 年 12 月 17 日，域名系统 13 个根服务器在全球 的镜像节点数量共 348 个，其分布如图 2 所示，中国大陆有 F 根、I 根、J 根和 L 5 中国互联网络信息中心 & 国家域名安全联盟 根的镜像节点。 图 2 根镜像全球分布情况 根服务器的运营管理者及对应的 IP 和 AS 号如表 1 所示。 表 1 根服务器主要情况1 1 根服务器 运营者 A VeriSign, Inc. B Information Sciences Institute C Cogent Communications D University of Maryland E NASA Ames Research Center F* ISC G U.S. DOD NIC H U.S. Army Research Lab I* Autonomica J* VeriSign, Inc. K RIPE NCC 注：“*”表示在中国境内具有该服务器镜像节点。 6 IP地址 IPv4: 198.41.0.4 IPv6:2001:503:BA3E::2:30 IPv4: 192.228.79.201 IPv6: 2001:478:65::53 IPv4: 192.33.4.12 IPv4: 128.8.10.90 IPv6: 2001:500:2D::D IPv4: 192.203.230.10 IPv4: 192.5.5.241 IPv6: 2001:500:2f::f IPv4: 192.112.36.4 IPv4: 128.63.2.53 IPv6:2001:500:1::803f:235 IPv4: 192.36.148.17 IPv6:2001:7fe::53 IPv4: 192.58.128.30 IPv6: 2001:503:C27::2:30 IPv4: 193.0.14.129 IPv6: 2001:7fd::1 AS号 19836 4 2149 27 297 3557 5927 13 29216 26415 25152 中国互联网络信息中心 & 国家域名安全联盟 L* ICANN M WIDE Project IPv4: 199.7.83.42 IPv6: 2001:500:3::42 IPv4: 202.12.27.33 IPv6: 2001:dc3::35 20144 7500 3.1.2 DNSSEC 随着网络攻击技术的发展及 DNS 漏洞的频繁出现，攻击者已经大大缩短了 劫持 DNS 查找过程的任一步骤所需的时间，从而可以更快地取得对会话的控制 以实施某种恶意操作。若要在长期内消除此漏洞，唯一的解决方案是以端到端的 形式部署 DNSSEC 协议。开发 DNSSEC 技术的目的之一是通过对 DNS 数据进 行数字签名来抵御此类攻击，从而使用户确信所接收到的数据有效。但是，为了 从互联网中彻底消除该漏洞，必须在从根区域到最终域名的查找过程中的每一步 部署 DNSSEC。 因此，作为 DNSSEC 信任链的根源，根服务器是否支持 DNSSEC 对于整个 DNS 服务体系部署 DNSSEC 至关重要。检测结果显示，根服务器都已经部署了 DNSSEC 服务（ICANN 于 2010 年已宣布，根区完成 DNSSEC 签名）。数据加密 算法为 RSA/SHA-256。此外，所有根服务器都支持 NSEC3，从而避免区文件被 遍历、枚举的风险。 3.1.3 IPv6 和 TCP IPv6 的普及离不开 DNS 对 IPv6 的支