中国IDC产业年度大典---互联网域名安全挑战及对策--下

互联网域名安全挑战及对策邢志杰中国互联网络信息中心2信息泄露拒绝服务数据损坏DNS面临的安全威胁信息泄露数据损坏拒绝服务DNSSEC对非流量式攻击具有很好的防范效果信息泄露数据损坏拒绝服务DNSSEC信息泄露数据损坏拒绝服务DNSSEC3DNSSEC概览在原有DNS协议的基础上增加了新的记录类型DNSSecurityExtensions(DNS安全扩展)诞生于1995年由IETFDNSEXT工作组推动最新修订于RFC4033、4034、4035和5155DNSSEC4DNSSEC概览数据源认证提供完整性其他特征我得到的数据是否来自真实、合法的发送方？DNSSEC提供的安全特征我得到的数据在传输过程中是否已被他人篡改？授权体系更加紧密？5DNSSEC概览DNSSEC能解决的DNS安全问题DNSSEC域名劫持缓存中毒中间人攻击黑客将错误的域名纪录存入缓存中，从而使所有使用该缓存服务器的用户得到错误的DNS解析结果攻击者冒充域名服务器的一种欺骗行为，它主要用于向主机提供错误DNS信息黑客通过控制域名管理密码和邮箱，将域名的NS记录指向已被黑客控制的DNS服务器，通过在该服务器上添加相应域名记录达到劫持用户的目的6•服务器负担•签名和验证消耗系统资源•数据量大大增加•密钥管理和密钥安全•网络负担•超长UDP报文（需要修改路由器配置）•传输数据量大大增加实施DNSSEC弊利•域名的来源可验证•反钓鱼•防止缓存中毒•改进SSL•域名记录完整性•防止篡改记录•防止伪造域名DNSSEC实施的利与弊7全球部署进展DNSSEC的协议、工具、经验都在不断完善和积累越来越多的区支持DNSSEC，DNSSEC体系正在不断完善各个研究、运维组织都在积极推动DNSSEC的发展DNSSEC在对抗DNS攻击方面发挥着越来越重要的作用82010.7.152010.7.122010.6.152009200820072006•ICANN开始推动DNSSEC的部署•IETF技术人员推动DNSSEC技术发展和部署•正式根签•第二次根密钥生成仪式•第一次根密钥生成仪式•ICANN制定正式的DNSSEC部署时间表•积极鼓励进行DNSSEC部署测试全球部署进展根签时间表9DNSSEC在各类顶级域中的部署比例ABCD13%7%33%A.顶级域C.通用顶级域（包括.arpa）B.国家及地区顶级域全球部署进展•arpa•biz•cat•edu•gov•museum•orgGTLD100%D.测试顶级域10全球部署进展预计到2010年12月31日，将有19个国家与地区顶级域部署DNSSEC并开始正式运行部署升级过程是完全平滑的美洲欧洲亚洲正式运行(19)部分运行(4)宣布支持(1)试验性部署(5)11DNS面临的威胁DNSSEC概览CNNIC所做的工作及进展互联网域名安全挑战及对策域名服务安全现状内容12北龙中网在域名服务（DNS）领域积累服务产业化设备产业化推动标准，分享经验掌握自主核心技术高可信云解析服务专用DNS设备行业标准制定核心技术研发13北龙中网安全技术管理技术分布式服务监测和智能分析技术安全可靠的服务管理技术支持快速更新数据管理技术安全技术：域名协议分析检测算法抗巨量攻击的域名安全系统支持巨量查询的高性能域名解析技术用户可定制的智能解析技术高可用高可靠服务平台方案域名解析技术核心技术突破专注域名领域，现拥有10余项域名相关领域国内外专利技术。为自主开发域名设备和服务打下基础。14域名服务运行领域相关技术标准制定制定标准引导国内各级域名系统运行管理的规范化《域名系统安全防护检测要求》《域名系统安全防护技术要求》《域名系统运行总体技术要求》（报批）《域名系统权威服务器运行技术要求》（报批）《域名系统递归服务器运行技术要求》（报批）《域名服务安全框架技术要求》（报批）《IPv6网络域名服务技术要求》（报批）《域名系统授权体系技术要求》（报批）《公共域名解析系统安全标准》（报批）推动标准，分享经验，带动行业安全水平整体提升15DNS整体解决方案递归域名解析服务器权威域名解析服务器DNS防攻击DNSSEC自动化部署DNS流量分析监控