中国互联网络信息中心&国家域名安全联盟

1目录专业术语表.
31、前言.
52、摘要.
73、域名服务安全状况.
83.
1根域名服务系统.
83.
1.
1简介.
83.
1.
2系统软件.
93.
1.
3协议支持.
93.
1.
4服务性能.
103.
2顶级域名服务系统.
123.
2.
1简介.
123.
2.
2系统软件.
123.
2.
3协议支持.
123.
2.
4服务性能.
133.
3二级及以下权威域名服务系统.
153.
3.
1简介.
153.
3.
2系统软件.
153.
3.
3协议支持.
163.
3.
4服务性能.
163.
3.
5国内二级及以下权威域名服务系统.
183.
3.
6国内重点权威域名服务系统.
213.
4递归域名服务系统.
253.
4.
1简介.
253.
4.
2系统软件.
253.
4.
3协议支持.
253.
4.
4服务性能.
263.
4.
5国内递归域名服务系统.
273.
4.
6国内主要递归域名服务系统.
304、域名服务安全评估.
344.
1权威域名服务系统.
344.
2递归域名服务系统.
365、我国域名基础设施安全态势分析.
38中国互联网络信息中心&国家域名安全联盟2中国互联网络信息中心&国家域名安全联盟3专业术语表缩略语英文全称中文全称ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DoSDenialofService拒绝服务攻击gTLDIANAGeneralTopLevelDomainInternetAssignedNumbersAuthority通用顶级域名互联网数字分配机构ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPv4InternetProtocolversion4互联网协议第四版本IPv6ISCInternetProtocolversion6InternetSoftwareConsortium互联网协议第六版本互联网系统协会TCPTransmissionControlProtocol传输控制协议TLDTopLevelDomain顶级域名TTLTimeToLive生存时间中国互联网络信息中心&国家域名安全联盟4中国互联网络信息中心&国家域名安全联盟51、前言域名系统是支撑目前绝大多数互联网应用的互联网基础设施中的关键环节.

域名服务安全是互联网安全的重要组成部分;没有域名服务安全,就没有整个互联网的安全.
域名服务体系涵盖提供域名服务的所有域名系统,由两大类别、四个环节组成:第一类是权威域名解析服务系统,包括根域名服务系统、顶级域名服务系统和其他各级域名服务系统三个环节.
权威域名服务系统由各级域名持有者管理,负责维护和保存各级权威域的域名信息,并且接受递归服务器的查询请求.
第二类是递归域名解析服务系统,它们面向终端用户提供域名查询服务.
具体架构如图1所示.
图1域名服务体系的构成对我国域名基础设施网络安全的监测一方面有助于对我国域名系统安全状态进行完整、精确、深入的把握,另一方面也可以借助于域名系统安全状况进行我国互联网安全态势的分析和评估.
自2009年起,中国互联网络信息中心(以下简称CNNIC)就开始对整个域名服务体系的配置情况和安全态势进行多角度的监测分析.
为了对域名服务体系的运行状态和安全情况进行更为准确、客观的了解,基于CNNIC自建的国家域名安全监测平台,在全球范围内部署了广泛的监测节点.
平台通过故障、配置、中国互联网络信息中心&国家域名安全联盟6性能和流量等多角度的监测,对根域名服务系统、顶级域名服务系统、二级及以下权威域名服务系统和递归域名服务系统的运行状态和安全状况进行全面监测和客观评估.
中国互联网络信息中心&国家域名安全联盟72、摘要2014年我国域名服务体系主要情况如下:1)各级域名服务器采用Linux/Unix操作系统的比例均高于80%,使用ISCBIND域名解析软件的比例均在90%以上,但是超过30%的各级域名服务器所使用的BIND软件仍然支持版本应答,存在一定安全隐患;2)根域名服务系统对于DNSSEC、IPv6、TCP等相关协议的支持程度最高,同比新增61个镜像节点,平均解析速度同比提升20%;3)顶级域名服务系统的相关协议支持程度同比有了进一步加强,其中DNSSEC支持率大幅提升至78%,服务冗余程度进一步加强,大量新通用顶级域名开始对外服务;4)二级及以下权威域名服务系统在相关协议支持程度方面提升有限,但在服务冗余程度方面有较为明显的改善;对于国内二级及以下权威域名服务系统,相关协议支持程度明显相对不足,但服务冗余程度及平均解析速度相对较高;5)递归域名服务系统在DNSSEC支持方面仍然较低,大数据包支持比率进一步提升;6)总体而言,我国域名服务整体安全状况稳中有升,有少量域名服务的安全问题依然突出.
中国互联网络信息中心&国家域名安全联盟83、域名服务安全状况3.
1根域名服务系统3.
1.
1简介域名服务系统通过层次化的形式管理域名数据,从而以分阶段的方式将人们可以记住的域名转换为计算机使用的数字以寻找其对应的目的地.
根域名服务系统作为提供域名权威数据的入口,其服务器数量和分布对互联网域名解析服务性能和安全稳定有很大的影响.
截至2014年12月31日,域名系统13个根服务器在全球的镜像节点数量共447个(较去年同期新增61个),其中中国大陆依然拥有F根、I根、J根和L根的镜像共计6个镜像节点.
根服务器的运营管理者及对应的IP和AS号如表1所示.
表1根服务器主要情况1根服务器运营者IP地址AS号AVeriSign,Inc.
IPv4:198.
41.
0.
4IPv6:2001:503:BA3E::2:3026415BUniversityofSouthCalifornia-InformationSciencesInstituteIPv4:192.
228.
79.
201IPv6:2001:478:65::534CCogentCommunicationsIPv4:192.
33.
4.
12IPv6:2001:500:2::C2149DUniversityofMarylandIPv4:199.
7.
91.
13IPv6:2001:500:2D::D27ENASAAmesResearchCenterIPv4:192.
203.
230.
10297F*InternetSystemsConsortium,Inc.
IPv4:192.
5.
5.
241IPv6:2001:500:2f::f3557GU.
S.
DODNetworkInformationCenterIPv4:192.
112.
36.
45927HU.
S.
ArmyResearchLabIPv4:128.
63.
2.
53IPv6:2001:500:1::803f:23513I*NetnodIPv4:192.
36.
148.
17IPv6:2001:7fe::5329216J*VeriSign,Inc.
IPv4:192.
58.
128.
30IPv6:2001:503:C27::2:30264151注:"*"表示在中国境内具有该服务器镜像节点.
中国互联网络信息中心&国家域名安全联盟9KRIPENCCIPv4:193.
0.
14.
129IPv6:2001:7fd::125152L*ICANNIPv4:199.
7.
83.
42IPv6:2001:500:3::4220144MWIDEProjectIPv4:202.
12.
27.
33IPv6:2001:dc3::3575003.
1.
2系统软件监测显示,根域名服务器均采用了Linux或者Unix操作系统;DNS服务软件方面,所有的根域名服务器同样都采用了ISCBIND软件.
系统软件配置管理相对非常完善,表现出极高的服务管理能力.
3.
1.
3协议支持随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作.
若要在长期内消除此漏洞,唯一的解决方案是以端到端的形式部署DNSSEC协议.
开发DNSSEC技术的目的之一是通过对DNS数据进行数字签名来抵御此类攻击,从而使用户确信所接收到的数据有效.
但是,为了从互联网中彻底消除该漏洞,必须在从根区到最终域名的查找过程中的每一步部署DNSSEC.
因此,作为DNSSEC信任链的根源,根服务器是否支持DNSSEC对于整个DNS服务体系部署DNSSEC至关重要.
检测结果显示,根服务器都已经部署了DNSSEC服务(ICANN于2010年已宣布,根区完成DNSSEC签名).
数据加密算法为RSA/SHA-256.
此外,所有的根服务器都支持NSEC.
IPv6的普及离不开DNS对IPv6的支持.
2014年,C根服务器开始支持IPv6服务,目前还有E、G节点仍未支持IPv6.
随着DNSSEC、IPv6地址的推广使用,DNS应答数据包将逐步增大.
在IPv4到IPv6的过渡期间,还会存在某些域名服务同时使用IPv6、IPv4地址的情况.
而传统DNS数据包大小被控制在512Byte以下,通过一个UDP数据包进行传输,无法满足上述数据包的传输需求.
因此,DNS服务器在交换超过512Byte的数据时应开启EDNS0支持,或采用TCP代替UDP.
检测结果显示,所有的根服务器都支持TCP协议.
中国互联网络信息中心&国家域名安全联盟10图2显示的是根域名服务器的协议支持比例分布情况.
可见,根域名服务器在协议支持程度方面,除C根新增IPv6支持以外,与去年相比没有其他变化.
图2根域名服务器协议支持比例情况(%)3.
1.
4服务性能为了保证全球DNS服务的高可用性以及抗攻击能力,根服务器采用BGPGlobalAnyCast技术在全球范围内广泛部署镜像节点.
截至2014年12月31日,全球共有447个根服务器镜像节点(较去年同期新增61个),除了由InformationSciencesInstitute运维的B根以外,其他12个根服务器均在全球范围内部署了广泛的镜像节点.
图3所示为13个根服务器各自所部署的镜像数量分布情况.
图3根服务器部署镜像数量分布情况根域名服务系统采用BGPGlobalAnyCast机制保证多个镜像节点对于用户访问的透明性,该机制会将用户的DNS查询引导到距其最近的DNS根镜像节点,从而起到了一定的负载均衡作用.
因此,根服务器查询时延的大小对于监测点的位置有直接的依赖性.
为了全面反映国内互联网用户访问根服务器的时延,本报告对分布在全球范围内的监测点的探测结果取平均值,具体结果如图4所示.
为了进一步监测国内互联网用户访问根服务器时延变化趋势,本报告记录了2014中国互联网络信息中心&国家域名安全联盟11年3月起13个根服务器的平均探测时延,具体结果如图5所示(注:图5是每5分钟探测一次,探测频率、时延数据总量高于图4的定期监测).
从图4、图5可以看出,大部分根域名服务器的查询时延较去年都有了一定程度的减少,2014年7月份之后我国互联网连接根服务器的平均响应速度有所提升.
图4根域名服务器查询时延分布情况(毫秒)图5根域名服务器平均查询时延趋势(毫秒)中国早在2003年就引入了第一个根服务器的镜像—F根镜像,这是由ISC和中国电信共同建立的.
2005年,I根的管理机构Autonomica(现已并入Netnod)在CNNIC设立了I根镜像.
2006年,原中国网通(现已并入中国联通)与美国Verisign公司正式开通中国的J根镜像.
此外,CNNIC于2012年与ICANN合作部署了国内第一个L根镜像,2014年天地互连和北龙中网又分别部署了L根镜像.
这4个根服务器的6个镜像成为我国境内DNS查询请求最主要的根域名服务节点.
从图4中也可以看出,相对于其他根服务器,上述4个在国内拥有镜像的根服务器的查询时延相比其他根服务器明显要小,这表明根镜像在国内的部署确实可以有效提升我国境内查询根服务器的响应速度.
中国互联网络信息中心&国家域名安全联盟123.
2顶级域名服务系统3.
2.
1简介根据国际互联网域名体系的构成,当前顶级域名共包含四类:通用顶级域名(gTLD)、国家与地区顶级域名(ccTLD)、基础设施类顶级域名(infrastructure,目前仅有.
arpa)和实验性顶级域(test).
其中通用顶级域gTLD可细分为组织主办类(sponsored),通用类(generic),及限制通用类(generic-restricted).
根据IANA的统计,截至2014年12月31日,全球域名服务体系共包含805个TLD,同比增长110.
2%,(去年同期TLD数量为383个),其中绝大部分是新通用顶级域(NewgTLD).
3.
2.
2系统软件监测显示,顶级域名服务器普遍采用了Linux或者Unix操作系统,两者所占比例达到98%以上.
在所采用的DNS服务软件方面,ISCBIND依然是绝大多数顶级域名服务器首选的DNS服务软件,比例占到了81.
8%,较去年略有下降(去年比例为95.
9%).
同时,采用NLnetLabsNSD软件的顶级域名服务器比例有了明显的提升,比例占到了15.
8%.
32.
6%的BIND软件开启了版本应答功能(相比去年降低5.
5个百分点),存在一定的安全隐患,应当引起相关运营方的重视.
3.
2.
3协议支持顶级域名服务器的协议支持分布情况如图6所示.
可见,和去年相比,顶级域名服务器在协议支持方面有了全面的改善.
随着业界对于DNSSEC的努力推动,各顶级域名管理机构陆续开始部署DNSSEC服务.
截至2014年12月31日,已有78.
0%的顶级权威域部署了DNSSEC,与去年相比大幅提升了31.
6个百分点.
其中所支持的加密算法,以RSA/SHA-256和RSASHA1-NSEC3-SHA1为主,两者占到了91.
4%.
依然采用传统的NextSECure(NSEC)机制的DNSSEC顶级域名服务器比例占到了13.
3%中国互联网络信息中心&国家域名安全联盟13(相比去年下降了接近13个百分点),具有区文件被遍历、枚举从而泄露所管理的域名解析数据的风险.
IPv6支持比率由去年的58.
9%提升到今年的66.
3%,TCP支持比率由去年的92.
1%增至98.
1%,这种变化有助于加速下一代互联网的过渡进程.
图6顶级域名服务器协议支持程度分布情况(%)3.
2.
4服务性能监测显示,顶级域名服务器均具有冗余配置2,平均每个顶级域所拥有的服务地址数量由去年的5.
2个大幅提升至今年的7.
6个,其中超过半数的顶级域名服务器拥有超过7个服务地址,表现出极高的冗余性,具体情况如图7所示.
图7顶级域名服务地址数量比例分布情况(%)权威域名服务器开启递归服务具有易遭受DoS攻击的风险.
监测显示,顶级域名服务器的递归服务开启比例依然保持在较低的水平(0.
52%).
部署多台权威域名服务器能够起到增强权威域名服务鲁棒性和抗攻击能力的效果.
但检测显示,6.
1%的顶级域名具有数据不一致的问题(去年同期该数值为15.
5%),即同一个顶级域的多台权威域名服务器数据不完全相同,这将会导2注:本报告以一个顶级域所具有的服务地址数量表示其冗余性程度.
中国互联网络信息中心&国家域名安全联盟14致客户端从不同服务器查询得到不一致的DNS信息3.
服务器如果设置较大的TTL,有可能会使客户端接收到过期的DNS缓存数据,但如果TTL设置过小,权威域名服务器将会因为频繁的DNS更新和区传输导致较大的开销,顶级权威域的TTL设置分布如图8所示.
可以看出,有一定比例的顶级域名服务器开始倾向于选择较大的TTL值.
图8顶级域的TTL设置比例分布情况(%)由于顶级域名服务器的运维和管理都相对成熟,不仅整体配置和功能实现较为完善,服务状态良好.
顶级域名服务器的查询时延分布如图9所示.
可以看出,顶级域名服务器的整体查询时延相比去年有了较大的提升,超过80%的顶级域名服务器的查询时延在0.
5秒以内.
图9顶级域名服务器查询时延比例分布情况(%)3注:不排除检测时发生区传输等影响区数据的操作.
11s中国互联网络信息中心&国家域名安全联盟153.
3二级及以下权威域名服务系统3.
3.
1简介二级及以下权威域名服务系统的基础建设普遍比较薄弱,运维能力也参差不齐.
而其中一些域名服务器,如运行重点域名的服务器或运行重要信息系统的域名服务器,其所提供的权威数据直接影响到各种互联网应用的正常服务,一旦发生问题后果非常严重.
为了抽样了解二级及以下权威域名服务系统的安全状态,本报告抽样选择了在中国境内使用最广泛的.
CN、.
COM和.
NET三大顶级域下超过1000万个二级及以下域名作为监测对象,以下是详细的监测结果.
3.
3.
2系统软件Linux/Unix为二级及以下权威域名服务器使用的主流操作系统类型,所占比例高达85.
4%,和去年基本持平(去年比例为85.
9%).
ISCBIND在所有DNS软件中所占比例依然保持绝对领先,为91.
28%.
具体分布如表2所示.
此外,30.
1%的BIND软件仍旧开启版本应答功能(去年该比例为28%),存在一定的安全隐患.
表2二级及以下权威域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND91.
4591.
28DJBernsteinTinyDNS4.
644.
30bboyMyDNS2.
581.
96JHSOFTsimpleDNSplus0.
50.
9MicrosoftWindowsDNS20000.
330.
37PowerDNS0.
090.
14UltraDNS0.
060.
08NominumANS0.
040.
03MicrosoftWindowsDNS20030.
030.
56NLnetLabsNSD0.
020.
12Other0.
260.
26中国互联网络信息中心&国家域名安全联盟163.
3.
3协议支持监测显示,虽然根域和顶级域的DNSSEC部署已经比较广泛,但是二级及以下权威域中仅有0.
33%部署了DNSSEC服务(去年该比例为0.
26%),这也是整个DNS业界期望整体实现DNSSEC功能、避免安全孤岛的工作重点所在.
对于已经签名的区域,同样以RSA/SHA-256和RSASHA1-NSEC3-SHA1为主,两者占到了92.
8%.
依然采用传统的NSEC机制的DNSSEC权威服务器比例由去年的4.
1%进一步缩减至今年的3.
5%,域名解析数据的泄露风险有所降低.
二级及以下权威域名服务器的协议支持比例情况如图10所示.
可以看出,二级及以下权威域名服务器的整体协议支持比例情况有所提升.
图10二级及以下权威域名服务器协议支持比例情况(%)3.
3.
4服务性能在服务冗余方面,86.
5%的二级及以下权威域具有冗余配置,相比去年有了明显提升(去年该比例为73.
8%),平均每个域所拥有的服务器地址数由去年的2.
0个增至今年的3.
3个,具体情况如图11所示.
图11二级及以下权威域服务地址数量比例分布情况(%)中国互联网络信息中心&国家域名安全联盟17另外,5.
5%的服务器仍然开启了递归服务,相比去年有了显著降低(去年比例为16.
8%),这种配置缺陷具有易遭受DoS攻击的风险.
二级及以下权威域名的TTL设置分布如图12所示.
与顶级域名服务器类似,开始有越来越多的二级域选择较大的TTL值.
图12二级及以下权威域名TTL设置分布(%)二级及以下权威域名服务器的查询时延分布情况如图13所示.
可以看出,各服务器的查询时延分布较广、差别巨大.
另外,查询时延在100毫秒内的服务器比例相比去年有较明显的波动.
上述现象一方面反映出各二级及以下权威域名服务器之间服务性能的参差不齐,另一方面也反映出各二级及以下权威域名服务器自身服务性能的非线性,这也是二级及以下权威域名服务器作为数量规模最大的一类域名服务器所表现出的独有特征.
图13二级及以下权威域名服务器查询时延比例分布情况(%)11s中国互联网络信息中心&国家域名安全联盟183.
3.
5国内二级及以下权威域名服务系统3.
3.
5.
1简介除了对二级及以下权威域名服务器的监测分析以外,本报告还针对上述服务器中的国内部分做了专门的分析(抽样量级达到100万),以下是相关监测数据情况.
3.
3.
5.
2系统软件监测显示,国内权威域名服务器采用Linux或Unix操作系统的比例为78.
3%.
DNS软件中,采用各版本BIND软件所占比例为92.
4%(表3).
但是,仍然有31.
4%的BIND服务器开启了版本应答,存在一定的安全隐患.
表3国内二级及以下权威域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND92.
292.
4UnlogicEagleDNS3.
03.
2MicrosoftWindowsDNS2.
92.
6NLnetLabsNSD0.
60.
6DJBernsteinTinyDNS0.
20.
3bboyMyDNS0.
20.
2JHSOFTsimpleDNSplus0.
10.
1UnlogicEagleDNS0.
00.
1Other0.
80.
53.
3.
5.
3协议支持国内权威域名服务器的协议支持情况如图14、15所示.
中国互联网络信息中心&国家域名安全联盟19图14国内权威域名服务器协议支持情况(%)图15国内权威域名服务器与全球权威协议支持情况对比(2014年)(%)2014年国内域名的协议支持情况相对去年略有提升,但还是明显低于全球平均水平.
此外,仍然有23.
1%的服务器开启了递归服务,存在遭受DoS攻击的风险.
3.
3.
5.
4服务性能在服务冗余方面,91.
3%的国内二级及以下权威域名具有冗余配置,与去年相比总体冗余程度有了明显提高(图16~17).
图16国内二级及以下权威域服务地址数量比例分布情况(%)中国互联网络信息中心&国家域名安全联盟20图17国内/全球二级及以下权威域名服务器服务地址数量比例分布对比情况(%)另外,大约72%的国内二级及以下权威域名服务器的解析时延小于0.
5秒,具有良好的服务性能(图18).
另外由图18可以看出,国内查询时延在100毫秒以内的二级及以下权威域名服务器比例明显高于全球水平.
图18国内二级及以下权威域名服务器查询时延比例分布情况(%)图19全球/国内二级及以下权威域名服务器查询时延比例分布对比(%)国内二级及以下权威域名的TTL设置情况如图20所示.
大部分国内重点域名的TTL设置较大,域名权威数据稳定.
中国互联网络信息中心&国家域名安全联盟21图20国内二级及以下权威域名TTL设置比例分布情况(%)国内二级及以下权威域名与全球权威TTL设置情况对比如图21所示,与全球相比,国内权威TTL小于300s的比例较高.
图21国内二级及以下权威域名与全球权威TTL设置情况对比(2014年)(%)3.
3.
6国内重点权威域名服务系统3.
3.
6.
1简介为了能够更加全面深入的了解我国域名体系的整体安全状态,本报告还抽样选择了五百多个来自政府机构、金融机构、网络运营商以及涉及到国计民生行业的热门域名,对其权威域名服务器的安全配置情况进行了监测.
3.
3.
6.
2系统软件监测显示,我国重点权威域名服务器采用Linux或Unix操作系统的比例为81.
4%.
DNS软件中,采用各版本BIND软件所占比例为94.
6%(表4).
但是,中国互联网络信息中心&国家域名安全联盟22仍然有17.
8%的BIND服务器开启了版本应答,存在一定的安全隐患(去年该比例为23.
2%).
表4国内重点权威域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND94.
294.
6MicrosoftWindowsDNS3.
53.
1NLnetLabsNSD1.
01.
2UnlogicEagleDNS0.
50.
4JHSOFTsimpleDNSplus0.
20.
2CiscoCNR0.
20.
1Other0.
40.
43.
3.
6.
3协议支持国内重点权威域名服务器的协议支持情况如图22~23所示.
图22国内重点权威域名服务器协议支持情况(%)图23国内权威域名服务器与国内重点权威协议支持情况对比(2014年)(%)与国内域名相比,国内重点域名的协议支持情况相对较好,TCP支持程度明显较高.
此外,仍然有16.
1%的服务器开启了递归服务,存在遭受DoS攻击的风险(去年该数据为10.
2%).
中国互联网络信息中心&国家域名安全联盟233.
3.
6.
4服务性能在服务冗余方面,92.
7%的国内重点权威域名具有冗余配置,总体冗余程度较高(图24~25).
图24国内重点权威域名服务地址数量比例分布情况(%)图25国内重点权威域名/国内二级及以下权威域名服务地址数量比例分布对比(%)国内重点权威域名的TTL设置情况如图26所示.
大部分国内重点权威域名的TTL设置较大,域名权威数据稳定.
另外,有更高比例的国内重点权威域名将TTL设置为特长(大于86400秒),如图27所示.
图26国内重点权威域名TTL设置比例分布情况(%)中国互联网络信息中心&国家域名安全联盟24图27国内重点域名与国内二级及以下权威域名TTL设置情况对比(2014年)(%)此外,大约96.
4%的国内重点权威域名服务器的解析时延均小于100毫秒,与去年相比,整体服务性能明显提升(图28).
另外从图29中也可以看出,国内重点权威域名的整体解析时延明显优于国内平均水平.
图28国内重点权威域名服务器查询时延比例分布情况(%)图29国内重点权威/国内二级及以下权威域名服务器查询时延比例分布对比(%)中国互联网络信息中心&国家域名安全联盟253.
4递归域名服务系统3.
4.
1简介递归域名服务系统作为和客户端直接交互的环节,其配置情况和运行状态对于用户所获取到的DNS解析数据的完整性、正确性和及时性有直接的影响.
为了解全球范围内的递归服务器配置情况和运行状态,本报告以连续七天出现在.
CN顶级域名服务器日志中的递归域名服务器作为样本4进行了抽样监测,以下是详细的监测结果.
3.
4.
2系统软件递归域名服务器采用Linux或者Unix操作系统的比例达到93.
7%.
所采用的DNS软件中,BIND所占比例高达94.
4%(表5).
其中,仍有34.
9%的BIND软件开启了版本应答功能(去年该数据为38.
9%).
表5递归域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND96.
3694.
43NLnetLabsNSD2.
072.
16MicrosoftWindowsDNS20000.
660.
69JHSOFTsimpleDNSplus0.
350.
35RaidenDNSD0.
180.
16bboyMyDNS0.
070.
06PowerDNS0.
030.
04NominumCNS0.
030.
04MicrosoftWindowsDNS20030.
020.
03Other0.
232.
043.
4.
3协议支持递归域名服务器的协议支持情况如图30所示,与去年监测结果相比,DNSSEC、TCP的支持情况未出现显著变化.
4只考虑连续七天日查询量均超过百次的递归服务器,共计约44.
6万个,抽样9.
5万个.
中国互联网络信息中心&国家域名安全联盟26图30递归域名服务器协议支持比例情况(%)另外,递归域名服务器对于大数据包的支持情况持续改善,支持超过512字节的大数据包的比例从去年的53.
9%进一步增至今年的98.
8%,如图31所示.
图31递归域名服务器最大数据包支持比例分布情况(%)长期以来,递归域名服务器一直受到缓存中毒攻击的威胁,而其中主要的原因就是递归域名服务器的端口随机性不足,从而提高了中毒攻击的成功率,图32所示为递归域名服务器的端口随机性程度比例分布情况.
同去年比较,递归域名服务器的端口随机性程度整体上有所下降.
图32递归域名服务器端口随机性程度比例分布情况3.
4.
4服务性能递归域名服务器的查询时延比例分布情况如图33所示.
递归域名服务器查中国互联网络信息中心&国家域名安全联盟27询时延比例分布情况与去年的监测结果基本一致,整体上递归域名服务器的查询时延差异较大.
图33递归域名服务器查询时延比例分布情况(%)3.
4.
5国内递归域名服务系统3.
4.
5.
1简介本报告还对位于国内的上述递归域名服务器作了抽取(共计大约9000台),并对其进行了针对性的监测.
以下是相关监测结果展示.
3.
4.
5.
2系统软件结果显示,国内递归域名服务器使用ISCBIND软件的比例为96.
3%(表6),其中BIND版本应答比例为23.
0%,略低于全球递归域名服务器的BIND版本应答比例(34.
9%).
表6国内递归域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND95.
9296.
33MicrosoftWindowsDNS20001.
711.
63MicrosoftWindowsDNS20031.
661.
72NLnetLabsNSD0.
260.
15RaidenDNSD0.
120.
06PaulRomboutspdnsd0.
040.
03bboyMyDNS0.
030.
03UnlogicEagleDNS0.
030.
03Other0.
230.
0211s中国互联网络信息中心&国家域名安全联盟283.
4.
5.
3协议支持国内递归域名服务器的协议支持情况如图34~35所示.
国内递归域名服务器对于EDNS0的支持已经非常广泛,但是对于TCP支持低于全球平均水平.
另外,国内递归域名服务器的DNSSEC支持率同样偏低,仅有1.
03%.
图34国内递归域名服务器协议支持比例分布情况(%)图35国内递归域名服务器与全球递归协议支持情况对比(2014年)(%)值得注意的是,国内递归域名服务器对于大数据包的支持情况继续改善,支持超过512字节的大数据包的服务器从去年的52.
5%进一步增加至今年的95.
5%,具体如图36所示.
图36国内递归域名服务器最大数据包支持比例分布情况(%)中国互联网络信息中心&国家域名安全联盟29图37国内递归域名服务器与全球递归最大数据包支持比例分布对比(2014年)(%)国内递归域名服务器的端口随机性程度比例分布情况如图38所示,同全球范围内递归域名服务器的端口随机性程度比例分布情况基本一致.
图38国内递归域名服务器端口随机性程度比例分布情况图39国内递归域名服务器与全球递归端口随机性程度比例分布对比(2014年)(%)中国互联网络信息中心&国家域名安全联盟303.
4.
5.
4服务性能国内递归域名服务器的查询时延分布如图40~41所示.
国内递归域名服务器查询时延整体情况相比去年有了明显改善,86%的国内递归域名服务器查询时延集中在100毫秒以内,整体解析性能良好.
图40国内递归域名服务器查询时延比例分布情况(%)图41国内递归域名服务器与全球递归查询时延比例分布对比(2014年)(%)3.
4.
6国内主要递归域名服务系统3.
4.
6.
1简介国内基础电信企业所提供的递归域名服务是目前国内互联网用户所使用的主要递归域名服务.
另外,一些互联网企业(诸如114DNS、OpenDNS、Google11s11s中国互联网络信息中心&国家域名安全联盟31等)也面向国内互联网用户提供公共递归服务(PublicDNSService),成为国内递归域名服务的重要组成部分.
本报告针对目前国内主要基础电信企业(即中国电信、中国联通、中国移动(含中国铁通))在全国各省份部署的递归域名服务器,以及主流公共递归域名服务器(共计监测近500个对外服务IP地址)进行了探测.
3.
4.
6.
2系统软件结果显示,国内主要递归域名服务器使用ISCBIND软件的比例为89.
6%(表7),其中BIND版本应答比例为10.
1%,低于国内平均水平.
表7国内主要递归域名服务器DNS软件比例分布情况软件类型2013年所占比例(%)2014年所占比例(%)ISCBIND85.
4689.
59MicrosoftWindowsDNS6.
715.
14VermicelliTotd4.
262.
14NLnetLabsNSD1.
621.
59RaidenDNSD1.
311.
16PaulRomboutspdnsd0.
140.
13UnlogicEagleDNS0.
060.
06Other0.
440.
193.
4.
6.
3协议支持如图42~43所示,国内主要递归域名服务器均已实现对EDNS0的支持;对于TCP支持率达到75.
8%,高于国内平均水平.
另外,国内递归域名服务器的DNSSEC支持率同样偏低,仅有2.
2%.
图42国内主要递归域名服务器协议支持比例分布情况(%)中国互联网络信息中心&国家域名安全联盟32图43国内主要递归域名服务器与国内递归协议支持情况对比(2014年)(%)国内主要递归域名服务器对于大数据包的支持变化情况同国内整体水平基本保持一致,支持超过512字节的大数据包的服务器比例达到92.
1%(图44).
图44国内主要递归域名服务器最大数据包支持比例分布情况(%)图45国内主要递归域名服务器与国内递归最大数据包支持比例分布对比(2014年)(%)另外,国内主要递归域名服务器的端口随机性程度整体较高,端口随机性程度为优的服务器比例达到了98.
2%(图46).
中国互联网络信息中心&国家域名安全联盟33图46国内主要递归域名服务器端口随机性程度比例分布情况图47国内主要递归域名服务器与国内递归端口随机性程度比例分布对比(2014年)(%)3.
4.
6.
4服务性能如图48所示,国内主要递归域名服务器的查询时延分布情况同国内整体水平基本保持一致,92.
6%的服务器查询时延集中在100毫秒以内,整体解析性能良好.
中国互联网络信息中心&国家域名安全联盟34图48国内主要递归域名服务器查询时延比例分布情况(%)图49国内主要递归域名服务器与国内递归查询时延比例分布对比(2014年)(%)4、域名服务安全评估域名服务体系安全评估旨在针对域名体系各个环节,选择恰当的检测项并进行归一化处理,然后根据域名系统常见安全威胁进行检测项的权重设置,以量化的方式对域名服务体系整体安全状态进行客观、准确的评估.
4.
1权威域名服务系统权威域名服务器主要用于维护和提供DNS权威数据,其可能遭受的攻击包括DoS攻击、数据篡改等,对权威服务器的安全评估主要考虑权威系统服务架构、服务器配置、安全功能支持以及服务器性能四个方面.
安全指标如表8所示.
表8权威服务安全指标11s中国互联网络信息中心&国家域名安全联盟35安全指标值含义0≤#<0.
4服务安全差,如存在配置漏洞0.
4≤#<0.
7服务安全良,如无配置漏洞0.
7≤#≤1服务安全优,如具有若干安全防护配置根据检测结果,全球权威域名服务安全状态分布如图50所示.
图50权威域名服务安全状态分布(%)和去年的监测数据相比较,安全状态为差的权威域名服务器比例仍占据70%以上,配置漏洞问题在权威域名服务器中普遍存在.
另外,安全状态为优的权威域名服务器比例略有提升,由去年的4.
2%升至今年的6.
2%.
各国家和地区的权威域名服务器平均安全状态如图51所示.
中国境内的权威域名服务器平均安全指标为0.
40,安全状态为良,与去年值基本持平(0.
406).
图51各国家和地区的权威域名服务平均安全状态分布情况对于国内重点权威域名服务器,其安全状态分布如图52所示.
国内重点权威域名服务器的安全状况相对优于全球权威域名服务器的总体安全状况,大部分国内重点权威域名服务器配置较为完善,安全状态良好.
中国互联网络信息中心&国家域名安全联盟36图52国内重点权威域名安全状态分布情况(%)4.
2递归域名服务系统递归服务器进行DNS解析查询,并对所获取到的权威数据进行缓存,其可能遭受的攻击包括DoS攻击、缓存中毒等,对递归服务系统的安全评估主要考虑服务器配置、安全功能支持以及服务器性能三个方面,安全指标如表9所示.
表9权威服务安全指标安全指标值含义0≤#<0.
4服务安全差,如存在配置漏洞0.
4≤#<0.
7服务安全良,如无配置漏洞0.
7≤#≤1服务安全优,如具有若干安全防护配置根据抽样检测结果,全球递归域名服务安全状态分布如图53所示,递归域名服务器安全状态整体较好.
图53全球递归域名服务安全状态分布情况(%)各国家和地区的递归域名服务器平均安全状态如图54所示.
中国境内的权威域名服务器平均安全指标为0.
73,相比去年有略微提升(去年为0.
72),安全状态为优.
中国互联网络信息中心&国家域名安全联盟37图54各国家和地区的递归域名服务平均安全状态分布情况国内主要递归域名服务器安全状态具体分布如图55所示.
图55国内主要递归域名服务安全状态比例分布情况(%)国内主要递归域名服务器的安全状况相对优于全球递归域名服务器的总体安全状况,但也有少部分服务器存在一定的安全配置漏洞.
中国互联网络信息中心&国家域名安全联盟385、我国域名基础设施安全态势分析基于域名系统的重要性和其在互联网领域牵一发动全身的地位,对我国域名服务体系进行整体的安全监测和运行分析,不仅可以为国家提供第一手的域名服务系统情况,还可以根据监测分析,向国家提出域名服务系统和网络安全等方面的建议,从而有效地增强国家对互联网的管控能力,从根本上提升我国域名体系的安全保障能力.
本报告的监测结果表明,虽然整体安全状况略有提升,但是我国权威域名服务和递归域名服务在配置管理和运行维护方面仍然存在不同程度的安全隐患.

2014年我国域名服务体系安全态势呈现出以下几方面特点:(1)总体来看,各级域名服务的安全状况同比都有了一定的改善.
但除根域名服务以外的其他各级域名服务仍然存在不同程度的安全问题,表现在系统软件、协议支持和服务性能等各个方面.
(2)虽然DNSSEC服务在根区已部署数年,目前在顶级域名服务器中的部署比率也已接近80%,但在二级及以下权威域名服务器和递归域名服务器中的部署情况仍然步履维艰,这将是今后相当长一段时间内DNSSEC部署推进工作的主要着力点.
(3)今年以来,共计四百多个新通用顶级域开始正式对外服务,未来还将有大批的新通用顶级域涌入,其安全管理将是今后域名安全领域的一项重要内容.