《中國域名服務(wù)及安全現(xiàn)狀報告》

《中國域名服務(wù)及安全現(xiàn)狀報告》

-截至2010年8月10日，監(jiān)測到世界范圍內(nèi)域名服務(wù)器總量為16，306，432個，其中權(quán)威域名服務(wù)器2，903，550個，遞歸域名服務(wù)器13，402，882個。活躍域名服務(wù)器數(shù)量為1，375，219個，其中權(quán)威域名服務(wù)器619，797個，遞歸域名服務(wù)器755，422個。-截至2010年8月10日，監(jiān)測到國內(nèi)的域名服務(wù)器總量為978，713個，其中權(quán)威域名服務(wù)器107，540個，遞歸域名服務(wù)器871，173個。國內(nèi)活躍域名服務(wù)器數(shù)量為67，235個，其中權(quán)威域名服務(wù)器19，281個，遞歸域名服務(wù)器47，954個。-國內(nèi)的域名服務(wù)器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達的地區(qū)。其中排名前10的地區(qū)域名服務(wù)器總量占全國域名服務(wù)器總量的90%以上。-對國內(nèi)的所有權(quán)威服務(wù)器進行掃描，統(tǒng)計發(fā)現(xiàn)，62%以上使用Unix/Linux系統(tǒng)，95%以上使用ISCBIND軟件。國內(nèi)的權(quán)威域名服務(wù)器中53%開啟了遞歸查詢功能，遠大于全球范圍內(nèi)31%的比率，存在一定的安全隱患。-對國內(nèi)的所有遞歸域名服務(wù)系統(tǒng)進行全面掃描，統(tǒng)計發(fā)現(xiàn)，55%以上使用了Unix/Linux系統(tǒng)，94%以上使用ISCBIND軟件。-統(tǒng)計發(fā)現(xiàn)，國內(nèi)超過4%的遞歸域名服務(wù)器端口隨機性較差，容易遭受DNS劫持攻擊，遠高于全球范圍0.98%的平均水平。-對國內(nèi)重要信息系統(tǒng)所涉域名抽樣統(tǒng)計發(fā)現(xiàn)，57%的域名解析服務(wù)處于有風(fēng)險的狀態(tài)，其中11.8%的域名因配置管理不當(dāng)，處于較高風(fēng)險狀態(tài)。第一章域名服務(wù)體系說明域名(DomainName)是由一串用點分隔的字符組成的互聯(lián)網(wǎng)名稱，是用于識別和定位互聯(lián)網(wǎng)上計算機的層次結(jié)構(gòu)式字符標(biāo)識，類似于互聯(lián)網(wǎng)上的門牌號碼。域名系統(tǒng)(DNS)是逐級授權(quán)的分布式數(shù)據(jù)查詢系統(tǒng)，主要用于完成域名到IP地址的翻譯轉(zhuǎn)換功能。絕大多數(shù)互聯(lián)網(wǎng)應(yīng)用都基于域名系統(tǒng)開展，絕大多數(shù)互聯(lián)網(wǎng)通信都必須先通過域名系統(tǒng)完成域名到IP地址的尋址轉(zhuǎn)換。圖1域名系統(tǒng)的位置角色域名服務(wù)體系包括提供域名服務(wù)的所有域名系統(tǒng)，它包括兩大部分、四個環(huán)節(jié)：即遞歸域名服務(wù)系統(tǒng)，以及由根域名服務(wù)系統(tǒng)、頂級域名服務(wù)系統(tǒng)、和其他各級域名服務(wù)系統(tǒng)組成的權(quán)威域名解析服務(wù)體系。圖2域名服務(wù)體系的構(gòu)成示意域名服務(wù)體系中，根域名服務(wù)系統(tǒng)由ICANN授權(quán)的是十三家全球?qū)I(yè)域名管理機構(gòu)提供運營支持，頂級域名服務(wù)系統(tǒng)由ICANN簽約的商業(yè)機構(gòu)、或各國政府授權(quán)的科研管理機構(gòu)負責(zé)運行維護，因此這兩個環(huán)節(jié)的穩(wěn)定運行有所保障。而大量的二級及二級以下權(quán)威域名服務(wù)器分散在域名持有者手中，由政府、企事業(yè)單位、商業(yè)網(wǎng)站、終端網(wǎng)民自我運行或托管在第三方；遞歸域名服務(wù)器一般由各網(wǎng)絡(luò)接入機構(gòu)提供。這兩個環(huán)節(jié)是數(shù)量眾多、而安全狀況相對薄弱的兩個環(huán)節(jié)，根據(jù)監(jiān)測和統(tǒng)計，兩個環(huán)節(jié)的活躍的服務(wù)器619，797臺套和755，422臺套，相對安全的服務(wù)器比例不足半數(shù)。其主要原因在于這兩個環(huán)節(jié)的服務(wù)器眾多、管理分散、規(guī)模有限，維護人員的技術(shù)水平也參差不齊，缺乏綜合專業(yè)的安全服務(wù)能力。第二章域名服務(wù)體系監(jiān)測結(jié)果一、根域名服務(wù)系統(tǒng)根服務(wù)器的分布情況對互聯(lián)網(wǎng)的訪問性能有很大的影響。截至目前，全球域名系統(tǒng)13個根服務(wù)器在全球的鏡像服務(wù)器數(shù)量共206個。根服務(wù)器及其鏡像在歐洲有72個、美國51個、亞洲45個，中國大陸有F根、I根和J根的鏡像服務(wù)器。表1根域名服務(wù)器及其鏡像的基本狀況*表示在國內(nèi)有鏡像服務(wù)二、頂級域服務(wù)系統(tǒng)(一)總體情況根據(jù)國際互聯(lián)網(wǎng)域名體系的構(gòu)成，頂級域名分為三類：通用頂級域名(gTLD，GeneralTopLevelDomain)、國家與地區(qū)頂級域名(ccTLD，CountryCodeTopLevelDomain)和基礎(chǔ)設(shè)施類頂級域(目前僅有.arpa)。其中通用頂級域gTLD共有20個，可細分為組織主辦類(Sponsored)13個，通用類(Generic)4個，及限制通用類(Generic-restricted)3個。國家與地區(qū)頂級域共計260個(包含“.中國”等新增的頂級域)，另外還有實驗性頂級域11個，共計292個頂級域。(二)軟件版本類型一般頂級域的運營者都比較注重系統(tǒng)的安全性，統(tǒng)計發(fā)現(xiàn)，操作系統(tǒng)69%以上都采用開源Linux，相對穩(wěn)定性較高。也可以發(fā)現(xiàn)Windows的使用率約占20%。圖3頂級域服務(wù)系統(tǒng)操作系統(tǒng)類型分布對頂級域服務(wù)系統(tǒng)使用的域名服務(wù)器進行探測掃描，統(tǒng)計發(fā)現(xiàn)95%以上使用開源軟件ISCBIND。表2頂級域服務(wù)系統(tǒng)所用域名解析軟件分類三、二級及以下權(quán)威域名服務(wù)系統(tǒng)(一)地域分布統(tǒng)計發(fā)現(xiàn)，擁有權(quán)威服務(wù)器較多的省份為中國臺灣、香港、北京等互聯(lián)網(wǎng)較為發(fā)達的省市地區(qū)。以下圖中十個地區(qū)的權(quán)威服務(wù)器數(shù)量占全國權(quán)威服務(wù)器總量的91%以上。圖4權(quán)威域名服務(wù)系統(tǒng)地域分布(二)所屬運營商在對國內(nèi)其他各級域名服務(wù)系統(tǒng)進行監(jiān)測的同時，對這些權(quán)威服務(wù)器在各大運營商的分布狀況進行統(tǒng)計，發(fā)現(xiàn)中國主流運營商擁有的權(quán)威服務(wù)器數(shù)量占中國各級域名服務(wù)系統(tǒng)的50%以上。圖5權(quán)威域名服務(wù)系統(tǒng)運營商分布(三)軟件版本類型對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威服務(wù)器進行掃描，統(tǒng)計發(fā)現(xiàn)，62%以上的域名服務(wù)器使用開源的Linux系統(tǒng)，MicrosoftWindows操作系統(tǒng)所占比例在36%左右。圖6權(quán)威域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威域名服務(wù)器進行探測，其中95%以上的域名服務(wù)器使用開源的ISCBIND軟件，國外權(quán)威域名服務(wù)系統(tǒng)中ISCBIND使用率約為93%。表3國內(nèi)權(quán)威域名服務(wù)系統(tǒng)域名解析軟件分類(四)協(xié)議支持程度中國各級域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界各級域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，支持TCP查詢的比例略低于世界水平，中國各級域名服務(wù)系統(tǒng)支持EDNS0的比例略高于世界平均值。中國各級域名服務(wù)系統(tǒng)中的權(quán)威域名服務(wù)器中，53%開啟了遞歸查詢功能，遠大于世界各級域名服務(wù)器31%的遞歸功能開啟比率，存在一定的安全隱患，這說明中國的各級域名服務(wù)系統(tǒng)配置方式存在問題。圖7權(quán)威域名服務(wù)系統(tǒng)協(xié)議支持程度四、遞歸域名服務(wù)系統(tǒng)(一)地域分布中國境內(nèi)的遞歸域名服務(wù)器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達的地區(qū)。下圖中十個地區(qū)的遞歸服務(wù)器總量占全國遞歸服務(wù)器總量的88%以上。圖8遞歸域名服務(wù)系統(tǒng)地域分布(二)所屬運營商對中國境內(nèi)的遞歸域名服務(wù)器進行運營商級的細化，62%以上的遞歸域名服務(wù)器分布在中國主流的運營商內(nèi)，其中中國電信擁有的遞歸服務(wù)器數(shù)量最多，占全國遞歸域名服務(wù)器總量的21%以上。圖9遞歸域名服務(wù)系統(tǒng)運營商分布(三)軟件版本類型對中國遞歸域名服務(wù)系統(tǒng)進行全面掃描，統(tǒng)計發(fā)現(xiàn)，超過55%的遞歸域名服務(wù)器運行在Linux等開源系統(tǒng)上，28%左右的遞歸域名服務(wù)運行在MicrosoftWindows操作系統(tǒng)上。圖10遞歸域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布在對中國遞歸域名服務(wù)系統(tǒng)進行統(tǒng)計分析時，發(fā)現(xiàn)94%以上都采用的開源軟件ISCBIND，國外遞歸域名服務(wù)系統(tǒng)中ISCBIND使用率約為86%。表4國內(nèi)遞歸域名服務(wù)系統(tǒng)域名解析軟件分類(四)協(xié)議支持程度中國遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，中國遞歸服務(wù)器的協(xié)議支持程度與世界平均水平保持一致。圖11遞歸域名服務(wù)系統(tǒng)協(xié)議支持程度(五)遞歸域名服務(wù)器端口隨機性遞歸域名服務(wù)器對外發(fā)起查詢使用的客戶端端口的隨機性對域名解析的安全程度具有很大影響，端口隨機算法如果不夠安全，會使域名服務(wù)器容易遭受緩存中毒攻擊，著名的卡明斯基漏洞就是利用遞歸服務(wù)器的客戶端端口弱隨機性發(fā)起的攻擊。統(tǒng)計發(fā)現(xiàn)，中國超過4%的遞歸域名服務(wù)器端口隨機性較差，容易遭受DNS劫持攻擊，遠高于世界范圍的0.98%。圖12遞歸域名服務(wù)系統(tǒng)端口隨機程度分布第三章國內(nèi)重點權(quán)威域名安全抽樣重要信息系統(tǒng)涉及域名數(shù)量眾多，根據(jù)重點域名的訪問量及其服務(wù)范圍，抽樣調(diào)查了各行業(yè)的域名，主要來自政府機構(gòu)、金融機構(gòu)、教育機構(gòu)、網(wǎng)絡(luò)運營商以及涉及到國計民生的各個行業(yè)。統(tǒng)計發(fā)現(xiàn)57%的重點域名解析服務(wù)處于有風(fēng)險的狀態(tài)，只有11%的域名解析服務(wù)安全等級為良好。圖13重點域名安全狀況分布通過對各行業(yè)的域名安全狀況進行分析，教育機構(gòu)的域名服務(wù)系統(tǒng)安全性最差，80%以上的域名解析服務(wù)處于有風(fēng)險狀態(tài)。圖14各行業(yè)重點域名安全等級分布經(jīng)過對重點域名列表進行掃描監(jiān)測，統(tǒng)計發(fā)現(xiàn)，74%的域名配置了兩臺以上的域名服務(wù)器，但是這些配置兩臺以上域名服務(wù)器的域名中又有超過23%的域名服務(wù)器位于同一個網(wǎng)段內(nèi)。域名服務(wù)器作為權(quán)威服務(wù)器，應(yīng)該將遞歸功能關(guān)閉，否則會存在安全隱患，通過統(tǒng)計分析發(fā)現(xiàn)，重點域名列表中有40%的域名服務(wù)器將遞歸功能開啟，增加了被攻擊的風(fēng)險。圖15重點域名服務(wù)器遞歸功能開放統(tǒng)計權(quán)威服務(wù)器所用軟件類型及版本將從很大程度上影響到域名服務(wù)器的安全性，通過對中國重點域名所使用的軟件版本類型信息進行監(jiān)測和統(tǒng)計，發(fā)現(xiàn)75%的域名服務(wù)器使用開源軟件ISCBIND，且在使用ISCBIND的域名服務(wù)器中14.93%以上的BIND版本過低，存在嚴(yán)重的安全隱患。表5中國重點域名所用軟件類別第四章DNSSec及全球?qū)嵤顩rDNS域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，其設(shè)計之初就存在嚴(yán)重的協(xié)議安全漏洞，近年來針對這些安全漏洞的網(wǎng)絡(luò)攻擊給DNS和互聯(lián)網(wǎng)帶來了巨大的損失。為此IETF成立了工作組專門研究DNSSec安全擴展協(xié)議(DNSSecurityExtensions)，并推出了一系列的RFC標(biāo)準(zhǔn)，從概念、協(xié)議設(shè)計、報文格式、加密算法及密鑰管理等方面完善了原有DNS體系的不足之處，從而形成一整套的DNSSec解決方案。分析DNSSec的技術(shù)原理可發(fā)現(xiàn)，該解決方案遵循了如下目標(biāo)和設(shè)計原則：-為DNS解析服務(wù)提供數(shù)據(jù)源身份認(rèn)證和對數(shù)據(jù)完整性驗證；-由于DNS是一個公共的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施，不能強制進行訪問控制或者數(shù)據(jù)加密；-DNSSec協(xié)議需要與原有DNS協(xié)議兼容；-支持增量部署；部署了DNSSEC的權(quán)威域名服務(wù)器在應(yīng)答查詢請求時，首先使用哈希算法計算應(yīng)答報文的摘要，再將此摘要用自己的私鑰加密生成簽名后存儲到報文中；查詢方收到應(yīng)答報文，利用權(quán)威服務(wù)器的公鑰解密簽名獲得摘要，再將此摘要與從報文數(shù)據(jù)計算出的摘要進行對比來完成數(shù)據(jù)的完整性驗證。如果數(shù)據(jù)完整性驗證成功，則也同時完成了對數(shù)據(jù)源(權(quán)威域名服務(wù)器)的身份認(rèn)證，否則認(rèn)識身份認(rèn)證失敗。為了解決以安全的方式分發(fā)公鑰所面臨的挑戰(zhàn)，使用了“信任鏈”的方法，所有DNS認(rèn)證過程的信任錨點均為根域名服務(wù)器。圖16DNSSec簽名認(rèn)證過程自2010年7月15日根正式提供DNSSec服務(wù)之后，實施DNSSec的頂級域數(shù)量逐漸增多，截至2010年8月13日，已有37個頂級域部署了DNSSec，約占頂級域總量的13%。這些實施了DNSSec的頂級域中，有7個通用頂級域名，19國家與地區(qū)頂級域名，11個實驗性頂級域名。表6TLD實施DNSSec統(tǒng)計在對區(qū)進行分布式監(jiān)測時，還同時檢驗了實施DNSSec所用的密鑰算法，經(jīng)過統(tǒng)計發(fā)現(xiàn)95.43%的密鑰使用的RSA/SHA-1算法，3.95%使用的RSA-NSEC3-SHA1算法。表7DNSSec所用密鑰算法統(tǒng)計目前根域名服務(wù)體系已經(jīng)實施DNSSec，頂級域以及其他各級域名服務(wù)系統(tǒng)也紛紛將DNSSec的部署實施納入章程。為了確保中國互聯(lián)網(wǎng)的安全，國內(nèi)各域名服務(wù)提供主體要重視DNSSec的部署和實施工作，同時密切關(guān)注國外域名服務(wù)主體實施DNSSec遇到的困難和問題，并結(jié)合中國國情探索有利于中國互聯(lián)網(wǎng)健康發(fā)展的安全之路。通過分析DNSSec的技術(shù)實現(xiàn)原理以及國外DNSSec實施案例，發(fā)現(xiàn)國內(nèi)部署實施DNSSec將面臨如下困難和問題：第一，缺乏最佳的實踐指導(dǎo)，各域名服務(wù)提供主體對DNSSec的實施方式尚未有統(tǒng)一認(rèn)識。由于DNSSec尚未廣泛部署，對即將面對的問題缺乏最佳的解決經(jīng)驗。第二，部署實施DNSSec需要一系列技術(shù)性要求較高的專用設(shè)備，如密鑰管理設(shè)備、簽名設(shè)備等，市場上缺乏成熟的產(chǎn)品。第二，實施DNSSec對域名解析系統(tǒng)有更高的要求，需要擴充域名解析系統(tǒng)的計算資源和存儲能力以保證解析效率。第三，由于部署DNSSec、實施EDNS0會使得DNS數(shù)據(jù)包增大，超過傳統(tǒng)的512字節(jié)，增大網(wǎng)絡(luò)流量，擴展的DNS數(shù)據(jù)包有可能超過路徑最大傳輸單元(PMTU)，發(fā)生丟包現(xiàn)象。第四，部署實施DNSSec需要技術(shù)人員對DNS體系、加密算法等十分精通，國外實施DNSSec時因配置失誤導(dǎo)致域名解析故障屢有發(fā)生。國內(nèi)具備這些能力的專業(yè)技術(shù)人員嚴(yán)重缺乏。第五，實施DNSSec可能增大DDoS攻擊的成功率，因為DNS響應(yīng)數(shù)據(jù)包增大，使得黑客更容易利用DNS系統(tǒng)形成放大攻擊或反射攻擊。第五章域名服務(wù)風(fēng)險分析和安全建議域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù)，服務(wù)的正確、安全和可靠運行對于整個互聯(lián)網(wǎng)的發(fā)展和建設(shè)來說至關(guān)重要。分析發(fā)現(xiàn)，國內(nèi)域名服務(wù)在配置管理和運行維護方面均存在不同程度的安全隱患，域名服務(wù)系統(tǒng)面臨的風(fēng)險以及安全防范建議如下：風(fēng)險一：信息更改或過期：各級域名解析系統(tǒng)通常與域名注冊、WHOIS等系統(tǒng)協(xié)調(diào)工作，任一環(huán)節(jié)的漏洞都可能被黑客利用，篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng)，也容易被攻擊，造成權(quán)威解析服務(wù)故障。防范建議：確保域名解析服務(wù)的獨立性，運行域名解析服務(wù)的服務(wù)器上不能同時開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨立提供。風(fēng)險二：DNS系統(tǒng)應(yīng)用程序崩潰：域名解析服務(wù)系統(tǒng)所用軟件極其重要，如因配置不當(dāng)或升級延遲，軟件存在的漏洞容易被黑客利用。近年來開源軟件BIND被廣泛使用，一旦該軟件出現(xiàn)嚴(yán)重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。防范建議：采用安全的操作系統(tǒng)平臺和域名解析軟件，并關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級軟件系統(tǒng)。風(fēng)險三：域名劫持(DomainNameHijacking)：通過各種攻擊手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問該域名時，進入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會被改變，甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國內(nèi)的CN域名被劫持，還可以通過和注冊服務(wù)商或注冊管理機構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國際域名被劫持，而且又是通過國際注冊商注冊，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會使得奪回域名變得異常復(fù)雜。防范建議1：選擇安全性高、服務(wù)便捷的域名注冊服務(wù)機構(gòu)和域名注冊管理機構(gòu)；防范建議2：隱藏域名解析軟件及操作系統(tǒng)等版本信息；防范建議3：限制域名區(qū)文件的傳送權(quán)限；風(fēng)險四：中間人攻擊(ManintheMiddleAttack)：中間人攻擊，是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機提供錯誤DNS信息。中間人攻擊大多數(shù)本質(zhì)都是被動，其檢測和防御十分困難。防范建議1：使用入侵檢測系統(tǒng)，盡可能的檢測出中間人攻擊行為；防范建議2：需對域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進行監(jiān)控，監(jiān)控方式可基于監(jiān)聽、SNMP、NetFlow等網(wǎng)管技術(shù)和協(xié)議；防范建議3：對域名服務(wù)協(xié)議是否正常進行監(jiān)控，即利用對應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測試工具向服務(wù)端口發(fā)起模擬請求，分析服務(wù)器返回的結(jié)果，以判斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動。在條件允許的情況下，在不同網(wǎng)絡(luò)內(nèi)部部署多個探測點分布式監(jiān)控；防范建議4：部署實施DNSSec；風(fēng)險五：NSEC游走：早期的DNSSec使用NSEC方案，會造成區(qū)文件被遍歷、枚舉，從而泄露所管理的域名解析數(shù)據(jù)，既是商業(yè)數(shù)據(jù)的泄露，也容易成為黑客攻擊的靶子。防范建議1：采用NSEC3方案解決該問題；風(fēng)險六：分布式拒絕服務(wù)攻擊(DDoSAttack)：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機同時向域名服務(wù)器發(fā)送大量查詢報文，這些報文看似完全符合規(guī)則，但往往需要DNS服務(wù)器花費大量時間進行查詢，從而使DNS癱瘓。2009年5月19日全國大面積斷網(wǎng)事件起因即為DDoS攻擊。防范建議1：提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺，建議獨立的名字服務(wù)器數(shù)量為5臺。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中；防范建議2：限制遞歸服務(wù)的服務(wù)范圍；防范建議3：利用流量分析等工具檢測出DDoS攻擊行為，以便及時采取應(yīng)急措施；防范建議4：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；風(fēng)險七：緩存窺探(CacheSnooping)：DNS緩存窺探是一個確定某一個資源記錄是否存在于一個特定的DNS緩存中的過程。通過這個過程攻擊者可以得到一些信息，例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對象。防范建議：限制遞歸服務(wù)的服務(wù)范圍，僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。風(fēng)險八：緩存中毒(或DNS欺騙)(CachePoisoningorDNSSpoofing)：通過向DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址實現(xiàn)緩存中毒攻擊，對該類安全威脅的檢測十分困難。利用該漏洞輕則可以讓用戶無法打開網(wǎng)頁，重則是網(wǎng)絡(luò)釣魚和金融詐騙，給受害者造成巨大損失。由于軟件實現(xiàn)技術(shù)水平參差不齊，端口、報文ID隨機算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。防范建議1：對重要域名的解析結(jié)果進行重點監(jiān)測，一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時給出告警提示；防范建議2：部署實施DNSSec；風(fēng)險九：DNS放大、反射攻擊：目前的DDoS攻擊通常與“DNS放大攻擊”和“DNS反射攻擊”配合實施。在這兩類攻擊中，DNS服務(wù)器往往不受攻擊目標(biāo)，而是充當(dāng)了無辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS服務(wù)器隨后將向表面上是提出查詢的那臺服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍，盡可能的避免提供開放遞歸服務(wù)，并借助于流量分析監(jiān)測等手段發(fā)現(xiàn)潛在的DDos攻。防范建議1：利用流量分析等工具檢測出攻擊行為；防范建議2：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對這類型的攻擊；此外，為了加強域名服務(wù)的安全可靠性，域名服務(wù)部署時，需要考慮單節(jié)點故障問題。所涉及的路由器、交換機等均需要有冗余備份能力，建立完善的數(shù)據(jù)備份機制和日志管理系統(tǒng)。應(yīng)保留最新的3個月的全部解析日志。并且建議對重要的域名信息系統(tǒng)采取7×24的維護機制保障。應(yīng)急響應(yīng)到場時間不能遲于30分鐘。附錄1術(shù)語定義-DNS：全稱為DomainNameSystem，即域名服務(wù)系統(tǒng)，是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，完成了域名到IP地址的映射功能。-IP：網(wǎng)絡(luò)地址，標(biāo)示互聯(lián)網(wǎng)上的每一臺主機。-TCP：TransmissionControlProtocol，傳輸控制協(xié)議，是一種面向連接的、可靠的、基于字節(jié)流的運輸層通信協(xié)議。-UDP：UserDatagramProtocol，用戶數(shù)據(jù)包協(xié)議，是一種無連接的傳輸層通信協(xié)議。-DNSSec：DNS安全擴展協(xié)議，在傳統(tǒng)DNS基礎(chǔ)上提供數(shù)據(jù)源認(rèn)證和完整性檢查。-EDNS0：DNS擴展協(xié)議第一個版本，實施DNSSec所必需的重要協(xié)議。-ccTLD：CountryCodeTopLevelDomain，國家及地區(qū)頂級域名。-gTLD：Generictop-leveldomain，通用頂級域名。-根域名服務(wù)器：是互聯(lián)網(wǎng)域名解析系統(tǒng)中最高級別的域名服務(wù)器。-權(quán)威域名服務(wù)器：提供權(quán)威名字解析服務(wù)的域名服務(wù)器。-遞歸域名服務(wù)器：具有處理遞歸查詢功能的域名服務(wù)器。-ISP：InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商。附錄2全球技術(shù)動態(tài)及安全事件技術(shù)動態(tài)-2009年6月2日，PIR(PublicInternetRegistry)對.ORG區(qū)文件進行了簽名，宣告ORG正式支持DNSSec功能。-2009年6月10日，MatthewDempsky(來自.ORG注冊機構(gòu))發(fā)布了每個TLD的DNS信任依賴圖(區(qū)與名字服務(wù)器之間)，有助于研究DNS體系的安全狀況。-2009年6月12日，CNNIC與ISC簽署戰(zhàn)略合作協(xié)議，雙方將共同進行DNS基礎(chǔ)服務(wù)軟件以及相關(guān)技術(shù)的研發(fā)工作。-2009年7月2日，ENUMNL嘗試使用DNSSEC對1.3.區(qū)進行簽名，在正式提交信任錨點前進行測試。-2009年7月7日，DNS-OARC撰文稱，近來隨著DNSSEC部署的增加，不斷暴露出部分DNS解析器不能接收較大應(yīng)答消息的問題。-2009年8月，CNNIC技術(shù)人員正式加入BIND10軟件的核心開發(fā)團隊，這將對研發(fā)中國自主產(chǎn)權(quán)的域名解析軟件奠定堅實的基礎(chǔ)。-2009年8月10日，ISC宣稱Afilias和Neustar將為DLV區(qū)提供二級DNS服務(wù)，以此來支持DLV的注冊。-2009年9月4日，為推進對根簽名的進程，VeriSign公布了關(guān)于rootDNSKEYresponsesize的實驗結(jié)果。-2009年9月17日，ICANN發(fā)布了L根數(shù)據(jù)膨脹的影響分析報告——“RootZoneAugmentationandImpactAnalysis”。-2009年9月30日，ICANN提議：IDN項目于2009年11月16日啟動。該提議已被提交到2009年10月下旬在首爾召開的ICANN會議的董事會上進行討論。-2009年10月1日，ICANN發(fā)布根區(qū)膨脹模型的研究報告——“RootScalingStudy：DescriptionoftheDNSRootScalingModel”(由TNO荷蘭應(yīng)用科學(xué)研究組織完成)。-2009年10月8日，在葡萄牙首都里斯本召開的RIPE59會議上，來自ICANN的DNS工作組主席JoeAbley和VeriSign副總裁MattLarson宣布了根簽名的時間表。-2009年10月30日，在首爾ICANN會議上，ICANN董事會同意引入IDNccTLD，這意味著很快將能夠在網(wǎng)絡(luò)上使用非拉丁字母的互聯(lián)網(wǎng)地址。-2009年11月5日-6日，中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在京承辦“域名系統(tǒng)運行分析研究中心”(DNS-OARC)秋季工作會議。會議就DNS安全，IPv4向IPv6過渡，國際化域名(IDN)推進等問題進行了討論。-2009年12月，Google提供了PublicDNS解析服務(wù)。-2010年2月8日，CNNIC與ISC建立互聯(lián)網(wǎng)技術(shù)聯(lián)合實驗室CILAB，雙方依托聯(lián)合實驗室進行產(chǎn)品開發(fā)、服務(wù)平臺運行、技術(shù)研究、以及國內(nèi)業(yè)務(wù)拓展等方面的合作。-2010年4月30日，新華社報道了上海世博會官網(wǎng)全球訪問信息。作為互聯(lián)網(wǎng)上顯著的“中國”標(biāo)識，、等一系列.CN域名的廣泛應(yīng)用，使國家域名成為上海世博會的網(wǎng)絡(luò)“新地標(biāo)”。-2010年7月10日，互聯(lián)網(wǎng)名稱與編號分配機構(gòu)(ICANN)授權(quán)互聯(lián)網(wǎng)地址指派機構(gòu)(IANA)將“.中國”域名正式寫入全球互聯(lián)網(wǎng)根域名系統(tǒng)(DNS)。至此，“.中國”域名全球解析部署已實施完畢。全球網(wǎng)民在瀏覽器地址欄中直接輸入已注冊的“.中國”域名即可訪問相應(yīng)網(wǎng)站。-2010年7月15日，根簽名服務(wù)器正式對外提供服務(wù)，標(biāo)識著DNSSec在根服務(wù)器的部署已經(jīng)完成。域名安全事