《2022年中国域名服务安全状况与态势分析报告.docx》由会员分享,可在线阅读,更多相关《2022年中国域名服务安全状况与态势分析报告.docx(26页珍藏版)》请在优知文库上搜索。
1、目录专业术语表3摘要41、 前言52、 域名服务安全状况52.1 根域名服务22.1.1 简介22.1.2 系统软件32.1.3 协议支持32.1.4 服务性能42.2 顶级域名服务52.2.1 简介52.2.2 系统软件52.2.3 协议支持62.2.4 服务性能62.3 二级及以下权威域名服务82.3.1 简介82.3.2 系统软件82.3.3 协议支持92.3.4 服务性能92.3.5 重点权威域名服务112.4 递归域名服务142.4.1 简介142.4.2 系统软件142.4.3 协议支持152.4.4 服务性能162.4.5 主要递归域名服务163、 域名服务安全总体评估193.1
2、 权威域名服务203.2 递归域名服务214、 我国域名服务体系安全态势分析22专业术语表缩略语英文全称中文全称ASAutonomousSystem自治系统ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DDoSDistributedDenialofService分布式拒绝服务攻击EDNSOExtensionMechanismsforDNSVersion0DNS的扩展名机制gTLDGene
3、ralTopLevelDomain通用顶级域名IANAInternetAssignedNumbersAuthority互联网数字分配机构ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPInternetProtocol网络之间互联的协议IPv4InternetProtocolversion4互联网协议第四版本IPv6InternetProtocolversion6互联网协议第六版本ISCInternetSoftwareConsortium互联网系统协会NSNameServer域名服务器TCPTransmissio
4、nControlProtocol传输控制协议TLDTopLevelDomain顶级域名TTLTimeToLive生存时间UDPUserDatagramProtocol用户数据报协议摘要2022年我国域名服务体系总体安全状况继续保持平稳提升态势,但部分环节的安全问题依然存在。一是在根域名服务方面,年内新增26个根服务器镜像,全球根服务器及服务器镜像总数达到1500个,我国大陆新增根镜像2个,地点分别为广西、重庆,总数量为22个。根域名服务对IPV6、DNSSEC、TCP等网络协议的支持率为100%。二是在顶级域名服务方面,截至年底全球顶级域名数量达到1497个,与去年基本持平,对IPV6、DNS
5、SEC、TCP等网络协议的支持程度相比去年基本持平(其中IPv6支持率达到90.1%,DNSSEC支持率达到92.0%),对外服务性能继续提升,顶级域名安全配置趋于稳定。三是在二级及以下权威域名服务方面,我国二级及以下权威域名服务在IpV6、DNSSECTCP等网络协议支持方面进展仍然缓慢(其中IPv6支持率为12.8%,相比去年的4.0%有显著提升),而国内重点权威域名服务IPv6支持状况有大幅提升,达到了52.0%,也客观反映出近年来我国在IPv6部署工作推进方面成效显著。四是在递归域名服务方面,在DNSSEC、TCP等网络协议支持程度方面严重滞后(其中DNSSEC协议支持率仅有1.5%,
6、仍然处在较低水平)。在对TCP和EDNSO协议的支持程度方面有一定进步,分别达到了52.2%和98.8%。,但国内主要递归域名服务在安全协议支持程度上远高于国内递归域名服务的平均水平,对TCP协议支持率达到98.6%o登词:DNS安全态势、权威域名、递归域名、DNSSEC1、前言域名服务提供了从互联网域名到互联网IP地址的查询转换服务,是用户访问各种互联网应用所需要的一种基础服务,被视为整个互联网的入口。因此,域名服务安全直接影响到整个互联网的安全,是网络空间安全治理的一个重要方面。针对我国域名服务体系进行系统、全面的安全态势分析,将有助于我们更好的理解这项互联网基础服务的运营安全状况,增强对
7、我国域名服务体系的安全管控能力,同时也可以借此更好的掌握网络空间的基础安全生态环境,发掘网络空间潜在的安全问题,以更好的支撑对网络空间的有序治理。为了能够对我国域名服务体系的运行安全态势进行全而、有效的把握和研判,中国互联网络信息中心(CNNlC)基于自主建设的国家互联网基础资源大数据平台和态势感知平台,通过全球分布式部署的100多个监测节点,节点涵盖亚洲、美国、欧洲主要国家,实现了从安全、性能、故隙、流量和配置等五个方面对我国域名服务体系下的根域、顶级域和二级及以下域名,以及递归域名服务的监测与分析,涵盖NS配置、服务时延趋势、端口随机程度、TCPEDNS0IPv6支持、DNSSEC和BIN
8、D版本等涉及域名服务安全的重点指标的自动化监测。此外,CNNIC依托平台相关数据对外发布2022年度域名安全态势报告,对域名服务系统各个环节的系统软件、协议支持、服务性能等涉及域名服务安全状况的关键要素分别进行了客观描述和历史趋势分析,在此基础上针对上述两大类别域名服务系统分别作了总体的安全量化评价,最后给出了2022年度我国域名安全态势的总体分析结论。2、域名服务安全状况本节介绍域名系统根、顶级、二级及以下权威和递归等四个环节在系统软件、协议支持和服务性能等涉及域名服务安全状况的关键方面的配置运行情况。2.1 根域名服务2.1.1 简介根域名服务位于整个权威域名层级结构的最顶端,全球共设立了
9、13个根服务器(10个位于美国,其它3个分别位于瑞典、荷兰和日本),分别由美国威瑞信公司、南加州大学信息科学研究所、美国COgentCommUniCationS公司、美国马里兰大学学院市分校、美国航天航空管理局(NASA)、美国互联网系统联盟(ISC)美国国防部国防信息系统局、美国国防部陆军研究所、瑞典Netnod公司、荷兰RlPENCC、互联网名称与数字地址分配机构(ICANN)和日本WlDEPrOjeCt等12家境外机构负责运营。为保证其高可用性及抗攻击能力,自2002年以来,各根服务器在全球范围内进行了广泛的镜像部署,以此扩展其全球服务能力,提升其安全性。目前,13个根域名服务器均部署了
10、不同数量的镜像服务器。截至2022年12月31日,全球根服务器已共计部署镜像1500个(较去年同期新增26个)。图1所示为根域名服务的服务器镜像数量历年变化情况。图2所示为2022年各根域名服务器的服务器镜像数量情况。图1.根域名服务器镜像数量历年变化情况(20152022)图2.各根域名服务器的服务器镜像数量情况(2022)2.1.2 系统软件监测显示,目前所有的根域名服务器均使用Unix或者Linux作为其操作系统;在域名解析软件方面,大多数根域名服务器使用ISCBIND软件,也有个别服务器使用了NLnetLabsNSD和KnotDNS等其他软件。ISCBIND软件仍然是根域名服务器运营机
11、构的首选,由于某些原因(例如高危漏洞、商业合作问题等)曾经在2018年临时被MeilofVeeningenPosadis替代作为过渡,问题解决后根域名服务器运营机构重新选择了ISCBlND软件,其地位仍然稳固。2.1.3 协议支持由于在整个互联网中的这种特殊地位,加之其本身所固有的协议设计限制,域名服务系统一直是各种网络攻击行为的重要针对目标。随着网络攻击技术的不断发展以及DNS协议及软件漏洞的频繁曝出,攻击者己经大大缩短了域名劫持所需的时间。若要消除域名劫持风险,现行有效的解决方案就是部署DNSSEC验证服务,通过对DNS通信数据的数字签名验证来确信用户所接收到的数据是完整有效的。作为DNS
12、SEC信任链的根源,根域名服务系统是否支持DNSSEC验证服务对于整个域名服务系统的DNSSEC有效部署至关重要。监测显示,目前的根域名服务系统均已部署DNSSEC验证服务,数据加密算法为RSA/SHA-256。此外,IPv6网络的普及离不开域名服务系统对IPv6的支持。目前,13个根域名服务器均已配置IPv6地址,从而实现了对IPv6查询的全面支持。随着DNSSEC和IPv6地址的推广使用,DNS应答数据包将逐步增大。在IPv4网络到IPv6网络的过渡期间,还会存在某些域名服务器同时使用IPv6和IPv4地址的情况,而传统的DNS数据包通过UDP数据包的形式进行传输,其大小被控制在512字节
13、以内,无法满足大数据包的传输需求。因此,域名服务器在传输超过512字节的数据包时应开启EDNSO支持,或采用TCP代替UDP进行传输。监测结果显示,根域名服务系统均已支持TCP和EDNSO传输。图3展示的是根域名服务的协议支持比例从2016-2022历年变化情况,可以看出,根域名服务系统在协议支持程度方面已经基本趋于完善和稳定,DNSSEC.IPV6和TCP支持率均为100%。DNSSECIPv6TCP201720182019202020212022图3.根域名服务协议支持率历年变化情况()2.1.4 服务性能根域名服务处于整个域名服务体系的最顶端,其服务性能的高低直接影响到整个互联网应用的服
14、务质量。目前,在全球已部署的1500个根镜像中,有22个位于我国大陆,2022年在工信部对设立域名根服务及域名根服务运行机构进行审批后,新增加2个根镜像服务器。其中通过对国内每个省发起互联网查询得到平均时延统计,得到我国互联网用户对根域名服务的平均查询时延历年变化趋势如图4所示。可以看出,在中国大陆地区部署有镜像服务器的A、F、I、J、L和K根,其平均查询时延相比其他根域名服务器明显较短,而且相比去年解析时延也明显缩短。因此,根服务器镜像的引入,可以有效提高国内根域名服务质量,整体改善网民上网体验,增强我国常态下的域名服务保障能力。20172018H2019H2020B20212022Abcd
15、efghijk图4.根域名服务平均查询时延历年变化情况(亳秒)整体而言,根域名服务在协议支持方面已经趋于完备,在全球服务性能方面一直在持续提升,然而我国的根镜像数量依然较少,与国内庞大的互联网用户规模不匹配,根域名的服务能力仍有较大改善提升空间。本报告倡议国内相关机构进一步推动更多数量的根域名服务器镜像在国内的引入部署,以提升整个国内互联网基础资源安全保隙水平。2.2 顶级域名服务2.2.1 简介顶级域名服务位于整个域名服务体系的次顶端,主要包括两大类别:一类是通用顶级域名(gTLD),包括xom、.net等传统通用顶级域名,以及近几年新扩展的.网络、.xyz、.ViP等新通用顶级域名(NewgTLD);另一类是国家顶级域名(CCTLD),例如我国的.cn和.中国,德国的.de,英国的.uk等。不同于通用顶级域名,国家顶级域名用于标识某个特定国家或地区的域名空间,根据信息社会世界首脑会议-信息社会突尼斯议程,一个国家对于本国ccTLD的管理决策不受他国干涉,因此ccTLD被认为是国家主权在网络空间的象征。根据IANA官方数据,截至202
免费区 