搜索
互联网域名安全挑战及对策邢志杰中国互联网络信息中心2DNS面临的威胁DNSSEC概览CNNIC所做的工作及进展互联网域名安全挑战及对策域名服务安全现状内容3域名服务体系各个环节面临的安全威胁权威域名服务器递归域名服务器根和顶级域名服务•根由ICANN管理,顶级域由专业机构或公司维护•服务有保证4权威域名服务器递归域名服务器域名服务体系各个环节面临的安全威胁根和顶级域名服务•根由ICANN管理,顶级域由专业机构或公司维护•服务有保证递归域名服务•主要由运营商、ISP等基础网络运营商提供•分布拒绝服务攻击和缓存中毒是最大威胁5域名服务体系各个环节面临的安全威胁二级和二级以下域名服务•主要由各网站自建、注册服务商免费服务为主•是目前出现问题最多的环节•国内缺乏高可信的第三方域名服务商权威域名服务器递归域名服务器根和顶级域名服务•根由ICANN管理,顶级域由专业机构或公司维护•服务有保证递归域名服务•主要由运营商、ISP等基础网络运营商提供•分布拒绝服务攻击和缓存中毒是最大威胁6域名服务体系各个环节面临的安全威胁二级和二级以下域名服务•主要由各网站自建、注册服务商免费服务为主•是目前出现问题最多的环节•国内缺乏高可信的第三方域名服务商权威域名服务器递归域名服务器根和顶级域名服务•根由ICANN管理,顶级域由专业机构或公司维护•服务有保证递归域名服务•主要由运营商、ISP等基础网络运营商提供•分布拒绝服务攻击和缓存中毒是最大威胁域名注册服务•主要由各注册局和注册服务商提供•最大的问题是数据非法篡改(域名劫持)7根和顶级安全状况较好各种安全事情表明,二级及二级以下域名为“重灾区”。监测到的国内两个环节的服务器达到755,422台套,但相对安全的服务器比例不足半数。其主要原因在于这两个环节的服务器众多、管理分散、规模有限,维护人员的技术水平也参差不齐,没有统一的技术标准,缺乏综合专业的安全服务能力。来源:《中国域名服务及安全现状报告》我国域名安全现状统计8域名服务安全状况57%的重点域名解析服务处于有风险的状态;只有11%的域名解析服务安全等级为良好。安全状况分布各行业域名服务安全状况分析政府机构、金融机构的域名服务系统处于安全状态的不足10%;教育机构域名服务系统安全性最差,80%以上的域名解析服务处于有风险状态各行业域名安全状况分析重点域名抽样9重点域名服务状况74%的域名配置了两台以上的域名服务器,但是这些配置两台以上域名服务器的域名中又有超过23%的域名服务器位于同一个网段内;重点域名中有40%的域名服务器将递归功能开启。服务状况分析重点域名解析软件类型分布发现75%的域名服务器使用开源软件ISCBIND;在使用ISCBIND的域名服务器中14.93%以上的BIND版本过低。域名解析软件类型软件系统比例ISCBind975.00%ISCBind811.84%ISCBind41.32%MicrosoftWindowsDNS20001.97%PowerDNS3.95%bboyMyDNS2.63%XBILLjnamed(dnsjava)0.66%CiscoCNR0.66%UltraDNS0.66%HyperDNS0.66%其他0.66%合计100.00%重点域名抽样10DNS面临的威胁DNSSEC概览CNNIC所做的工作及进展互联网域名安全挑战及对策域名服务安全现状内容11DNS面临的安全威胁最主要的网络安全威胁几乎所有攻击类型都与DNS直接或间接相关12DNS面临的安全威胁DDoS攻击发展趋势针对DNS的DDoS攻击事件逐渐增多数据来源:面临的安全威胁信息泄露数据损坏拒绝服务信息过期社会工程攻击域名劫持缓存中毒中间人攻击缓存窥探NSEC行走DoS攻击分布式DoS攻击DNS的主要安全威胁14DNS面临的威胁DNSSEC概览CNNIC所做的工作及进展互联网域名安全挑战及对策域名服务安全现状内容15信息泄露拒绝服务数据损坏DNS面临的安全威胁信息泄露数据损坏拒绝服务DNSSEC对非流量式攻击具有很好的防范效果信息泄露数据损坏拒绝服务DNSSEC信息泄露数据损坏拒绝服务DNSSEC