中国域名服务及安全现状报告

北龙中网（北京）科技有限责任公司2010年8月中国域名服务及安全现状报告目录•域名服务简介•我国域名服务现状•域名服务安全状况•风险分析及建议域名域名域名系统域名服务体系域名（DomainName）是用于识别和定位互联网上计算机的层次结构式字符标识，类似于互联网上的门牌号码。域名系统域名系统（DNS）是用于完成域名到IP地址的翻译转换功能。绝大多数互联网应用和通信都基于域名系统。域名系统域名服务体系159.226.97.85基础网络传输设备互联设备接入系统互联网业务应用域名系统互联网物理设施电子商务电子政务网络游戏视频通讯域名国家域名服务体系包括提供域名服务的所有域名系统，它包括两大部分、四个环节：即递归域名服务系统，以及由根域名服务系统、顶级域名服务系统和其他各级域名服务系统所组成的权威域名解析服务体系。域名系统域名服务体系域名域名服务体系2009年5月19日，5.19事件，6省大面积断网，二十几个省网络缓慢。2009年6月，国内著名域名注册商新网公司DNS遭受攻击，20万域名无法解析2009年7月29日，BIND9的所有版本被发现存在缺陷。攻击者只需向BIND9服务器发送一个特殊的动态更新消息，就会导致服务器停止工作2009年7月，BIND9的所有版本被发现存在缺陷。攻击者只需向BIND9服务器发送一个特殊的动态更新消息，就会导致服务器停止工作。2009年8月，波多黎各主要的域名注册机构遭受长达几个小时的攻击，造成Google,Microsoft,Yahoo,Coca-Cola等多家大公司的网站被重定向到某恶意网站。2009年9月，著名托管型DNS提供商EditDNS，遭受了DDoS攻击。2009年10月，由于在日常维护中不正确的软件升级，瑞典国家顶级域名.se出现故障，导致整个瑞典互联网几乎完全瘫痪。2009年12月，twitter上次域名被转向，百度和这次攻击有着惊人的相似之处2009年12月，亚马逊所使用的UltraDNS遭DDoS攻击瘫痪约一小时2010年1月，百度域名DNS授权记录遭到篡改，域名被劫持。2010年2月8日，印度最大的软件开发商塔塔(Tata)咨询服务公司网站遭黑客攻击，经证实攻击手段为DNS劫持2010年3月26日，国外著名VoIP提供商Line2的域名系统遭受DDoS攻击2010年6月2日，Netscape网景公司的DNS服务遭受攻击并致瘫痪2010年8月3日，VeryCD部分地区无法访问，据官方微薄证实是DNS服务器遭受攻击所致2010年8月7日，国际知名DNS服务提供者DNSMadeEasy遭受DDoS攻击域名作为基础服务的地位被充分关注以及利用，攻击行为日益频繁。域名系统安全问题突出CNNIC:CN顶级节点查询存在大量异常无效查询重复查询攻击行为来源分布异常非CN顶级域名查询请求；无效域名查询类型；域名格式非法。顶级域异常数据分析大量查询来自国外。存在大量的恶意的查询请求。同一地址连续发出同一域名的查询请求。国家域名服务体系的实际状况？分析监测方法主动监测与被动监测技术相结合分布式监测与集中式监测并举充分利用数据挖掘、机器学习等技术目录•域名服务简介•我国域名服务现状•域名服务安全状况•风险分析及建议总体情况截至2010年8月10日，监测到世界范围内域名服务器总量为16,306,432个，其中权威域名服务器2,903,550个，递归域名服务器13,402,882个。活跃域名服务器数量为1,375,219个，其中权威域名服务器619,797个，递归域名服务器755,422个。世界截至2010年8月10日，监测到的国内域名服务器总量为978,713个，其中权威域名服务器107,540个，递归域名服务器871,173个。国内活跃的域名服务器数量为67,235个，其中权威域名服务器19,281个，递归域名服务器47,954个。国内权威域名服务器分布统计发现，拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的91%以上。地域分布在对国内其他各级域名服务系统进行监测的同时，对这些权威服务器在各大运营商的分布状况进行统计，发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50%以上。所属运营商福建山东辽宁江苏浙江上海广东北京香港台湾1.30%1.45%1.94%2.17%2.66%5.89%6.26%13.76%22.98%33.06%0.00%5.00%10.00%15.00%20.00%25.00%20.16%10.93%10.11%4.60%2.34%1.38%0.89%0.01%权威域名服务器软件版本分布对国内各级域名服务系统中的所有权威服务器进行扫描，统计发现，62%以上的域名服务器使用开源的Linux系统，MicrosoftWindows操作系统所占比例在36%左右。操作系统类型对国内各级域名服务系统中的所有权威域名服务器进行探测，其中95%以上的域名服务器使用开源的ISCBIND软件，国外权威域名服务系统中ISCBIND使用率约为93%。域名解析软件类型Linux62%MicrosoftWindows36%SunSolaris2%IBMAIX0%OpenBSD0%FreeBSD0%域名解析软件类型比例ISCBIND95.48%ISCBIND40.60%ISCBIND86.23%ISCBIND988.65%MicrosoftWindowsDNS2.44%bboyMyDNS0.67%YutakaSatoDeleGateDNS0.47%PowerDNSPowerDNS0.41%Runtopdsl/cable0.18%JHSOFTsimpleDNSplus0.16%其他0.19%合计100.00%权威域名服务器协议配置情况中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比，支持TCP查询的比例略低于世界水平，中国各级域名服务系统支持EDNS0的比例略高于世界平均值。协议支持程度中国各级域名服务系统中的权威域名服务器中，53%开启了递归查询功能，远大于世界各级域名服务器31%的递归功能开启比率，存在一定的安全隐患，这说明中国的各级域名服务系统配置方式存在问题。递归开启比例0%20%40%60%80%100%支持TCP支持EDNS0开启递归86%33%53%93%24%31%国内国外递归开放53%递归关闭47%递归域名服务器分布中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。下图中十个地区的递归服务器总量占全国递归服务器总量的88%以上。地域分布对中国境内的递归域名服务器进行运营商级的细化，62%以上的递归域名服务器分布在中国主流的运营商内，其中中国电信拥有的递归服务器数量最多，占全国递归域名服务器总量的21%以上。所属运营商辽宁福建山东江苏浙江上海香港北京广东台湾1.47%1.87%2.06%2.43%2.58%5.08%9.55%12.42%13.51%37.54%0.00%5.00%10.00%15.00%20.00%25.00%21.89%21.31%13.56%2.04%2.00%0.83%0.67%0.004%递归域名服务器软件分布对中国递归域名服务系统进行全面扫描，统计发现，超过55%的递归域名服务器运行在Linux等开源系统上，28%左右的递归域名服务运行在MicrosoftWindows操作系统上。操作系统类型在对中国递归域名服务系统进行统计分析时，发现94%以上都采用的开源软件ISCBIND，国外递归域名服务系统中ISCBIND使用率约为86%。域名解析软件类型Linux55%MicrosoftWindows28%SunSolaris8%IBMAIX4%FreeBSD4%AppleMacOSX1%OpenBSD0%域名解析软件类型比例ISCBIND94.03%ISCBIND40.42%ISCBIND810.01%ISCBIND983.60%MicrosoftWindowsDNS20002.25%Mikrotikdsl/cable1.73%NominumCNS0.48%bboyMyDNS0.45%Runtopdsl/cable0.24%vermicellitotd0.17%robtexVikingDNSmodule0.11%其他0.54%合计100.00%递归域名服务器协议配置情况中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比，中国递归服务器的协议支持程度与世界平均水平保持一致。协议支持程度统计发现，中国超过4%的递归域名服务器端口随机性较差，容易遭受DNS劫持攻击，远高于世界范围的0.98%。端口随机程度0%10%20%30%40%50%60%70%支持TCP支持EDNS063%42%61%34%国内国外88%90%92%94%96%98%100%国内国外92.42%94.26%2.62%3.91%0.75%0.85%4.20%0.98%GREATGOODWHITELISTPOOR目录•域名服务简介•我国域名服务现状•域名服务安全状况•风险分析及建议根和顶级安全状况较好各种安全事情表明，二级及二级以下域名为“重灾区”。监测到的国内两个环节的服务器达到755,422台套，但相对安全的服务器比例不足半数。其主要原因在于这两个环节的服务器众多、管理分散、规模有限，维护人员的技术水平也参差不齐，没有统一的技术标准，缺乏综合专业的安全服务能力。安全现状统计域名服务安全状况57%的重点域名解析服务处于有风险的状态；只有11%的域名解析服务安全等级为良好。安全状况分布各行业域名服务安全状况分析政府机构、金融机构的域名服务系统处于安全状态的不足10%；教育机构域名服务系统安全性最差，80%以上的域名解析服务处于有风险状态各行业域名安全状况分析良好11%一般32%有风险45%风险较高11%非常危险1%0%10%20%30%40%50%60%70%80%90%100%非常危险风险较高有风险一般良好重点域名抽样重点域名服务状况74%的域名配置了两台以上的域名服务器，但是这些配置两台以上域名服务器的域名中又有超过23%的域名服务器位于同一个网段内；重点域名中有40%的域名服务器将递归功能开启。服务状况分析重点域名解析软件类型分布发现75%的域名服务器使用开源软件ISCBIND；在使用ISCBIND的域名服务器中14.93%以上的BIND版本过低。域名解析软件类型递归开放40%递归关闭60%软件系统比例ISCBind975.00%ISCBind811.84%ISCBind41.32%MicrosoftWindowsDNS20001.97%PowerDNS3.95%bboyMyDNS2.63%XBILLjnamed(dnsjava)0.66%CiscoCNR0.66%UltraDNS0.66%HyperDNS0.66%其他0.66%合计100.00%重点域名抽样权威服务器递归服务器1.3%73%8%93%国内国外DNSSec部署状况目前国内域名服务器DNSSec协议支持程度低于世界平均水平；监测发现，当前DNSSec部署策略严重不一致，尚未形成统一的最佳实践指导方案。支持比例DNSSec部署现状主要问题总结服务审计和规范软件系统的脆弱性服务平台能力不足无明确升级路线容灾备份和应急目录•域名服务简介•我国域名服务现状•域名服务安全状况•风险分析及建议防范建议1：使用入侵检测系统，检测出中间人攻击行为；防范建议2：对流量、数据包进行监控；防范建议3：对域名服务协议是否正常进行监控；防范建议4：部署实施DNSSec；防范建议1：多台域名服务器（建议5台）；防范建议2：限制递归服务的服务范围；防范建议3：利用流量分析等工具检测出DDoS攻击行为；防范建议4：在域名服务系统周围部署抗攻击设备；域名劫持分布式拒绝服务攻击缓存中毒中间人攻击DNS放大、反射攻击防范建议1：选择安全性高、服务便捷的域名