DNS攻击分析中国域名服务及安全现状报告.docx

DNS攻击分析中国域名服务及安全现状报告.docx

《DNS攻击分析中国域名服务及安全现状报告.docx》由会员分享，可在线阅读，更多相关《DNS攻击分析中国域名服务及安全现状报告.docx（30页珍藏版）》请在冰点文库上搜索。

DNS攻击分析中国域名服务及安全现状报告

中国域名服务及安全现状报告

报告摘要

✧截至2010年8月10日，监测到世界范围内域名服务器总量为16,306,432个，其中权威域名服务器2,903,550个，递归域名服务器13,402,882个。

活跃域名服务器数量为1,375,219个，其中权威域名服务器619,797个，递归域名服务器755,422个。

✧截至2010年8月10日，监测到国内的域名服务器总量为978,713个，其中权威域名服务器107,540个，递归域名服务器871,173个。

国内活跃域名服务器数量为67,235个，其中权威域名服务器19,281个，递归域名服务器47,954个。

✧国内的域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。

其中排名前10的地区域名服务器总量占全国域名服务器总量的90%以上。

✧对国内的所有权威服务器进行扫描，统计发现，62%以上使用Unix/Linux系统，95%以上使用ISCBIND软件。

国内的权威域名服务器中53%开启了递归查询功能，远大于全球范围内31%的比率，存在一定的安全隐患。

✧对国内的所有递归域名服务系统进行全面扫描，统计发现，55%以上使用了Unix/Linux系统，94%以上使用ISCBIND软件。

✧统计发现，国内超过4%的递归域名服务器端口随机性较差，容易遭受DNS劫持攻击，远高于全球范围0.98%的平均水平。

✧对国内重要信息系统所涉域名抽样统计发现，57%的域名解析服务处于有风险的状态，其中11.8%的域名因配置管理不当，处于较高风险状态。

第一章域名服务体系说明

域名（DomainName）是由一串用点分隔的字符组成的互联网名称，是用于识别和定位互联网上计算机的层次结构式字符标识，类似于互联网上的门牌号码。

域名系统（DNS）是逐级授权的分布式数据查询系统，主要用于完成域名到IP地址的翻译转换功能。

绝大多数互联网应用都基于域名系统开展，绝大多数互联网通信都必须先通过域名系统完成域名到IP地址的寻址转换。

图1域名系统的位置角色

域名服务体系包括提供域名服务的所有域名系统，它包括两大部分、四个环节：

即递归域名服务系统，以及由根域名服务系统、顶级域名服务系统、和其他各级域名服务系统组成的权威域名解析服务体系。

图2域名服务体系的构成示意

域名服务体系中，根域名服务系统由ICANN授权的是十三家全球专业域名管理机构提供运营支持，顶级域名服务系统由ICANN签约的商业机构、或各国政府授权的科研管理机构负责运行维护，因此这两个环节的稳定运行有所保障。

而大量的二级及二级以下权威域名服务器分散在域名持有者手中，由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方；递归域名服务器一般由各网络接入机构提供。

这两个环节是数量众多、而安全状况相对薄弱的两个环节，根据监测和统计，两个环节的活跃的服务器619,797台套和755,422台套，相对安全的服务器比例不足半数。

其主要原因在于这两个环节的服务器众多、管理分散、规模有限，维护人员的技术水平也参差不齐，缺乏综合专业的安全服务能力。

第二章域名服务体系监测结果

一、根域名服务系统

根服务器的分布情况对互联网的访问性能有很大的影响。

截至目前，全球域名系统13个根服务器在全球的镜像服务器数量共206个。

根服务器及其镜像在欧洲有72个、美国51个、亚洲45个，中国大陆有F根、I根和J根的镜像服务器。

表1根域名服务器及其镜像的基本状况

根服务器

运营者

镜像个数

IP地址

AS号

平均访问时间（毫秒）

A

VeriSign,Inc.

6

IPv4:

198.41.0.4

IPv6:

2001:

503:

BA3E:

:

2:

30

19836

285

B

InformationSciencesInstitute

1

IPv4:

192.228.79.201

IPv6:

2001:

478:

65:

:

53

4

212

C

CogentCommunications

6

IPv4:

192.33.4.12

2149

215

D

UniversityofMaryland

1

IPv4:

128.8.10.90

27

278

E

NASAAmesResearchCenter

1

IPv4:

192.203.230.10

297

216

F

ISC

49*

IPv4:

192.5.5.241

IPv6:

2001:

500:

2f:

:

f

3557

4

G

U.S.DODNIC

6

IPv4:

192.112.36.4

5927

312

H

U.S.ArmyResearchLab

1

IPv4:

128.63.2.53

IPv6:

2001:

500:

1:

:

803f:

235

13

277

I

Autonomica

34*

IPv4:

192.36.148.17

IPv6:

2001:

7fe:

:

53

29216

1

J

VeriSign,Inc.

70*

IPv4:

192.58.128.30

IPv6:

2001:

503:

C27:

:

2:

30

26415

3

K

RIPENCC

18

IPv4:

193.0.14.129

IPv6:

2001:

7fd:

:

1

25152

133

L

ICANN

7

IPv4:

199.7.83.42

IPv6:

2001:

500:

3:

:

42

20144

264

M

WIDEProject

6

IPv4:

202.12.27.33

IPv6:

2001:

dc3:

:

35

7500

105

*表示在国内有镜像服务

二、顶级域服务系统

（一）总体情况

根据国际互联网域名体系的构成，顶级域名分为三类：

通用顶级域名（gTLD，GeneralTopLevelDomain）、国家与地区顶级域名（ccTLD，CountryCodeTopLevelDomain）和基础设施类顶级域（目前仅有.arpa）。

其中通用顶级域gTLD共有20个，可细分为组织主办类（Sponsored）13个，通用类（Generic）4个，及限制通用类（Generic-restricted）3个。

国家与地区顶级域共计260个（包含“.中国”等新增的顶级域），另外还有实验性顶级域11个，共计292个顶级域。

（二）软件版本类型

一般顶级域的运营者都比较注重系统的安全性，统计发现，操作系统69%以上都采用开源Linux，相对稳定性较高。

也可以发现Windows的使用率约占20%。

图3顶级域服务系统操作系统类型分布

对顶级域服务系统使用的域名服务器进行探测扫描，统计发现95%以上使用开源软件ISCBIND。

表2顶级域服务系统所用域名解析软件分类

域名解析软件类型

比例

ISCBIND

95.43%

ISCBIND4.8--4.8.3

0.23%

ISCBIND4.9.3--4.9.11

0.12%

ISCBIND8.1-REL--8.2.1-T4B

0.23%

ISCBIND8.2.2-P3--8.3.0-T2A

1.29%

ISCBIND8.3.0-RC1--8.4.4

2.81%

ISCBIND9.2.0rc4--9.2.2-P3

0.12%

ISCBIND9.2.0rc7--9.2.2-P3

2.11%

ISCBIND9.2.3rc1--9.4.0a0

88.52%

UltraDNS

1.99%

VeriSignATLAS

1.52%

bboyMyDNS

0.47%

Runtopdsl/cable

0.23%

NominumANS

0.23%

NLnetLabsNSD

0.12%

其他

0.01%

合计

100%

三、二级及以下权威域名服务系统

（一）地域分布

统计发现，拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。

以下图中十个地区的权威服务器数量占全国权威服务器总量的91%以上。

图4权威域名服务系统地域分布

（二）所属运营商

在对国内其他各级域名服务系统进行监测的同时，对这些权威服务器在各大运营商的分布状况进行统计，发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50%以上。

图5权威域名服务系统运营商分布

（三）软件版本类型

对国内各级域名服务系统中的所有权威服务器进行扫描，统计发现，62%以上的域名服务器使用开源的Linux系统，MicrosoftWindows操作系统所占比例在36%左右。

图6权威域名服务系统操作系统类型分布

对国内各级域名服务系统中的所有权威域名服务器进行探测，其中95%以上的域名服务器使用开源的ISCBIND软件，国外权威域名服务系统中ISCBIND使用率约为93%。

表3国内权威域名服务系统域名解析软件分类

域名解析软件类型

比例

ISCBIND

95.19%

ISCBIND4.8--4.8.3

0.01%

ISCBIND4.9.3--4.9.11

0.59%

ISCBIND8.1-REL--8.2.1-T4B

1.72%

ISCBIND8.2.2-P3--8.3.0-T2A

0.48%

ISCBIND8.3.0-RC1--8.4.4

4.01%

ISCBIND8.4.1-p1

0.02%

ISCBIND9.0.0b5--9.1.3

0.02%

ISCBIND9.1.0--9.1.3

0.71%

ISCBIND9.2.0a1--9.2.2-P3

0.16%

ISCBIND9.2.0rc4--9.2.2-P3

0.03%

ISCBIND9.2.0rc7--9.2.2-P3

8.68%

ISCBIND9.2.3rc1--9.4.0a0

78.75%

MicrosoftWindowsDNS

2.44%

bboyMyDNS

0.67%

YutakaSatoDeleGateDNS

0.47%

PowerDNSPowerDNS

0.41%

Runtopdsl/cable

0.18%

JHSOFTsimpleDNSplus

0.16%

DJBernsteinTinyDNS

0.08%

Mikrotikdsl/cable

0.07%

MeilofVeeningenPosadis

0.07%

RaidenDNSD

0.03%

AlteonACEswitch

0.02%

vermicellitotd

0.02%

SourceforgeJDNSS

0.02%

SamTrenholmeMaraDNS

0.02%

sheerdns

0.02%

PaulRomboutspdnsd

0.02%

NLnetLabsNSD

0.02%

menandmiceQuickDNS

0.02%

CiscoCNR

0.02%

pliantDNSServer

0.01%

NominumCNS

0.01%

NominumANS

0.01%

javaprofessionalsjavadns/jdns

0.01%

DanKaminskynomdeDNStunnel

0.01%

其他

0.01%

合计

100.00%

（四）协议支持程度

中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比，支持TCP查询的比例略低于世界水平，中国各级域名服务系统支持EDNS0的比例略高于世界平均值。

中国各级域名服务系统中的权威域名服务器中，53%开启了递归查询功能，远大于世界各级域名服务器31%的递归功能开启比率，存在一定的安全隐患，这说明中国的各级域名服务系统配置方式存在问题。

图7权威域名服务系统协议支持程度

四、递归域名服务系统

（一）地域分布

中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。

下图中十个地区的递归服务器总量占全国递归服务器总量的88%以上。

图8递归域名服务系统地域分布

（二）所属运营商

对中国境内的递归域名服务器进行运营商级的细化，62%以上的递归域名服务器分布在中国主流的运营商内，其中中国电信拥有的递归服务器数量最多，占全国递归域名服务器总量的21%以上。

图9递归域名服务系统运营商分布

（三）软件版本类型

对中国递归域名服务系统进行全面扫描，统计发现，超过55%的递归域名服务器运行在Linux等开源系统上，28%左右的递归域名服务运行在MicrosoftWindows操作系统上。

图10递归域名服务系统操作系统类型分布

在对中国递归域名服务系统进行统计分析时，发现94%以上都采用的开源软件ISCBIND，国外递归域名服务系统中ISCBIND使用率约为86%。

表4国内递归域名服务系统域名解析软件分类

域名解析软件类型

比例

ISCBIND

94.03%

ISCBIND4.8--4.8.3

0.01%

ISCBIND4.9.3--4.9.11

0.41%

ISCBIND8.1-REL--8.2.1-T4B

2.87%

ISCBIND8.2.2-P3--8.3.0-T2A

0.38%

ISCBIND8.3.0-RC1--8.4.4

6.76%

ISCBIND9.1.0--9.1.3

1.24%

ISCBIND9.2.0a1--9.2.0rc3

0.00%

ISCBIND9.2.0a1--9.2.2-P3

0.23%

ISCBIND9.2.0rc4--9.2.0rc6

0.00%

ISCBIND9.2.0rc4--9.2.2-P3

0.15%

ISCBIND9.2.0rc7--9.2.2-P3

9.79%

ISCBIND9.2.3rc1--9.4.0a0

72.19%

MicrosoftWindowsDNS2000

2.25%

Mikrotikdsl/cable

1.73%

NominumCNS

0.48%

bboyMyDNS

0.45%

Runtopdsl/cable

0.24%

vermicellitotd

0.17%

robtexVikingDNSmodule

0.11%

JHSOFTsimpleDNSplus

0.08%

RaidenDNSD

0.07%

YutakaSatoDeleGateDNS

0.06%

PowerDNSPowerDNS

0.06%

AscenvisionSwiftDNS

0.05%

CiscoCNR

0.05%

MaxFeoktistovsmallHTTPserver

0.03%

MeilofVeeningenPosadis

0.03%

sheerdns

0.03%

PaulRomboutspdnsd

0.02%

DJBernsteinTinyDNS1.05

0.01%

SamTrenholmeMaraDNS

0.01%

SourceforgeJDNSS

0.01%

Axisvideoserver

0.01%

incognitoDNScommander

0.01%

NLnetLabsNSD1.0.3--1.2.1

0.00%

NortelNetworksInstantInternet

0.00%

WinGateWingateDNS

0.00%

其他

0.00%

合计

100.00%

（四）协议支持程度

中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比，中国递归服务器的协议支持程度与世界平均水平保持一致。

图11递归域名服务系统协议支持程度

（五）递归域名服务器端口随机性

递归域名服务器对外发起查询使用的客户端端口的随机性对域名解析的安全程度具有很大影响，端口随机算法如果不够安全，会使域名服务器容易遭受缓存中毒攻击，著名的卡明斯基漏洞就是利用递归服务器的客户端端口弱随机性发起的攻击。

统计发现，中国超过4%的递归域名服务器端口随机性较差，容易遭受DNS劫持攻击，远高于世界范围的0.98%。

图12递归域名服务系统端口随机程度分布

第三章国内重点权威域名安全抽样

重要信息系统涉及域名数量众多，根据重点域名的访问量及其服务范围，抽样调查了各行业的域名，主要来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生的各个行业。

统计发现57%的重点域名解析服务处于有风险的状态，只有11%的域名解析服务安全等级为良好。

图13重点域名安全状况分布

通过对各行业的域名安全状况进行分析，教育机构的域名服务系统安全性最差，80%以上的域名解析服务处于有风险状态。

图14各行业重点域名安全等级分布

经过对重点域名列表进行扫描监测，统计发现，74%的域名配置了两台以上的域名服务器，但是这些配置两台以上域名服务器的域名中又有超过23%的域名服务器位于同一个网段内。

域名服务器作为权威服务器，应该将递归功能关闭，否则会存在安全隐患，通过统计分析发现，重点域名列表中有40%的域名服务器将递归功能开启，增加了被攻击的风险。

图15重点域名服务器递归功能开放统计

权威服务器所用软件类型及版本将从很大程度上影响到域名服务器的安全性，通过对中国重点域名所使用的软件版本类型信息进行监测和统计，发现75%的域名服务器使用开源软件ISCBIND，且在使用ISCBIND的域名服务器中14.93%以上的BIND版本过低，存在严重的安全隐患。

表5中国重点域名所用软件类别

软件系统

比例

ISCBind9

75.00%

ISCBind8

11.84%

ISCBind4

1.32%

MicrosoftWindowsDNS2000

1.97%

PowerDNS

3.95%

bboyMyDNS

2.63%

XBILLjnamed（dnsjava）

0.66%

CiscoCNR

0.66%

UltraDNS

0.66%

HyperDNS

0.66%

其他

0.66%

合计

100.00%

第四章DNSSec及全球实施状况

DNS域名服务系统作为互联网服务的重要基础设施，其设计之初就存在严重的协议安全漏洞，近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大的损失。

为此IETF成立了工作组专门研究DNSSec安全扩展协议（DNSSecurityExtensions），并推出了一系列的RFC标准，从概念、协议设计、报文格式、加密算法及密钥管理等方面完善了原有DNS体系的不足之处，从而形成一整套的DNSSec解决方案。

分析DNSSec的技术原理可发现，该解决方案遵循了如下目标和设计原则：

●为DNS解析服务提供数据源身份认证和对数据完整性验证；

●由于DNS是一个公共的网络服务基础设施，不能强制进行访问控制或者数据加密；

●DNSSec协议需要与原有DNS协议兼容；

●支持增量部署；

部署了DNSSEC的权威域名服务器在应答查询请求时，首先使用哈希算法计算应答报文的摘要，再将此摘要用自己的私钥加密生成签名后存储到报文中；查询方收到应答报文，利用权威服务器的公钥解密签名获得摘要，再将此摘要与从报文数据计算出的摘要进行对比来完成数据的完整性验证。

如果数据完整性验证成功，则也同时完成了对数据源（权威域名服务器）的身份认证，否则认识身份认证失败。

为了解决以安全的方式分发公钥所面临的挑战，使用了“信任链”的方法，所有DNS认证过程的信任锚点均为根域名服务器。

图16DNSSec签名认证过程

自2010年7月15日根正式提供DNSSec服务之后，实施DNSSec的顶级域数量逐渐增多，截至2010年8月13日，已有37个顶级域部署了DNSSec，约占顶级域总量的13%。

这些实施了DNSSec的顶级域中，有7个通用顶级域名，19国家与地区顶级域名，11个实验性顶级域名。

表6TLD实施DNSSec统计

GTLD

KSK数量

CCTLD

KSK数量

TEST-TLD

KSK数量

arpa

1

bg（保加利亚）

1

xn--0zwm56d

2

biz

2

br（巴西）

1

xn--11b5bs3a9aj6g

2

cat

1

ch（瑞士）

1

xn--80akhbyknj4f

2

edu

1

cl（智利）

1

xn--9t4b11yi5a

2

gov

1

cz（捷克共和国）

3

xn--deba0ad

2

museum

4

dk（丹麦）

1

xn--g6w251d

2

org

2

eu（欧洲联盟）

1

xn--hgbk6aj7f53bba

2

kg（吉尔吉斯斯坦）

1

xn--hlcj6aya9esc7a

2

li（列支敦士登）

1

xn--jxalpdlp

2

lk（斯里兰卡）

1

xn--kgbechtv

2

na（纳米比亚）

1

xn--zckzah

2

pm（圣皮埃尔和密克隆群岛）

2

pr（波多黎各）

2

pt（葡萄牙）

1

se（瑞典）

2

th（泰国）

2

tm（土库曼斯坦）

1

uk（英国）

1

us（美国）

2

在对区进行分布式监测时，还同时检验了实施DNSSec所用的密钥算法，经过统计发现95.43%的密钥使用的RSA/SHA-1算法，3.95%使用的RSA-NSEC3-SHA1算法。

表7DNSSec所用密钥算法统计

算法名称

比例

RSA/SHA-1

95.43%

RSA-NSEC3-SHA1

3.95%

RSA/SHA256

0.32%

DSA/SHA-1

0.18%

RSA/SHA512

0.08%

RSA/MD5

0.03%

UnknownKey12

0.01%

DSA-NSEC3-SHA1

0.003%

合计

100.00%

目前根域名服务体系已经实施DNSSec，顶级域以及其他各级域名服务系统也纷纷将DNSSec的部署实施纳入章程。

为了确保中国互联网的安全，国内各域名服务提供主体要重视DNSSec的部署和实施工作，同时密切关注国外域名服务主体实施DNSSec遇到的困难和问题，并结合中国国情探索有利于中国互联网健康发展的安全之路。

通过分析DNSS