中国域名服务及安全现状报告
中国域名服务及安全现状报告中国域名服务及安全现状报告北龙中网 CNNIC 联合推出(2010年8月)1 ,中国域名服务及安全现状报告目 录报告摘要 ............
中国域名服务及安全现状报告
中国域名服务及安全现状报告
北龙中网 CNNIC 联合推出
(2010年8月)
1
,中国域名服务及安全现状报告
目 录
报告摘要 .................................................................................................... 3
第一章
第二章 域名服务体系说明 .................................................................. 4 域名服务体系监测结果 .......................................................... 6
一、根域名服务系统 . ......................................................................................................................... 6
二、顶级域服务系统 . ......................................................................................................................... 7
(一)总体情况 . ............................................................................................................................. 7
(二)软件版本类型 . ..................................................................................................................... 7
三、二级及以下权威域名服务系统 .................................................................................................. 8
(一)地域分布 . ............................................................................................................................. 8
(二)所属运营商 . ......................................................................................................................... 8
(三)软件版本类型 . ..................................................................................................................... 9
(四)协议支持程度 . ................................................................................................................... 10
四、递归域名服务系统 .................................................................................................................... 11
(一)地域分布 . ........................................................................................................................... 11
(二)所属运营商 . ....................................................................................................................... 12
(三)软件版本类型 . ................................................................................................................... 12
(四)协议支持程度 . ................................................................................................................... 14
(五)递归域名服务器端口随机性 . ........................................................................................... 15
第三章
第四章
第五章 国内重点权威域名安全抽样 ................................................ 16 DNSSEC 及全球实施状况 ................................................... 18 域名服务风险分析和安全建议 ............................................ 22
附录1术语定义 ...................................................................................... 25
附录2全球技术动态及安全事件 .......................................................... 26
2
,中国域名服务及安全现状报告
报告摘要
✧ 截至2010年8月10日,监测到世界范围内域名服务器总量为16,306,432个,其中权威
域名服务器2,903,550个,递归域名服务器13,402,882个。活跃域名服务器数量为1,375,219个,其中权威域名服务器619,797个,递归域名服务器755,422个。
✧ 截至2010年8月10日,监测到国内的域名服务器总量为978,713个,其中权威域名服
务器107,540 个,递归域名服务器871,173 个。国内活跃域名服务器数量为67,235个,其中权威域名服务器19,281个,递归域名服务器47,954个。
✧ 国内的域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。其中
排名前10的地区域名服务器总量占全国域名服务器总量的90以上。
✧ 对国内的所有权威服务器进行扫描,统计发现,62以上使用Unix/Linux系统,95以
上使用ISC BIND软件。国内的权威域名服务器中53开启了递归查询功能,远大于全球范围内31的比率,存在一定的安全隐患。
✧ 对国内的所有递归域名服务系统进行全面扫描,统计发现,55以上使用了Unix/Linux
系统,94以上使用ISC BIND软件。
✧ 统计发现,国内超过4的递归域名服务器端口随机性较差,容易遭受DNS 劫持攻击,
远高于全球范围0.98的平均水平。
✧ 对国内重要信息系统所涉域名抽样统计发现, 57的域名解析服务处于有风险的状态,
其中11.8的域名因配置管理不当,处于较高风险状态。
3
,
中国域名服务及安全现状报告
第一章 域名服务体系说明
域名(Domain Name)是由一串用点分隔的字符组成的互联网名称,是用于识别和定位互联网上计算机的层次结构式字符标识,类似于互联网上的门牌号码。
域名系统(DNS )是逐级授权的分布式数据查询系统,主要用于完成域名到IP 地址的翻译转换功能。绝大多数互联网应用都基于域名系统开展,绝大多数互联网通信都必须先通过域名系统完成域名到IP 地址的寻址转换。
图1 域名系统的位置角色
域名服务体系包括提供域名服务的所有域名系统,它包括两大部分、四个环节:即递归域名服务系统,以及由根域名服务系统、顶级域名服务系统、和其他各级域名服务系统组成的权威域名解析服务体系。
4
,
中国域名服务及安全现状报告
图2 域名服务体系的构成示意
域名服务体系中,根域名服务系统由ICANN 授权的是十三家全球专业域名管理机构提供运营支持,顶级域名服务系统由ICANN 签约的商业机构、或各国政府授权的科研管理机构负责运行维护,因此这两个环节的稳定运行有所保障。
而大量的二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方;递归域名服务器一般由各网络接入机构提供。这两个环节是数量众多、而安全状况相对薄弱的两个环节,根据监测和统计,两个环节的活跃的服务器619,797台套和755,422台套,相对安全的服务器比例不足半数。其主要原因在于这两个环节的服务器众多、管理分散、规模有限,维护人员的技术水平也参差不齐,缺乏综合专业的安全服务能力。
5
,
中国域名服务及安全现状报告
第二章 域名服务体系监测结果
一、根域名服务系统
根服务器的分布情况对互联网的访问性能有很大的影响。截至目前,全球域名系统13个根服务器在全球的镜像服务器数量共206个。根服务器及其镜像在欧洲有72个、美国51个、亚洲45个,中国大陆有F 根、I 根和J 根的镜像服务器。
表 1 根域名服务器及其镜像的基本状况
*
6
,
中国域名服务及安全现状报告
二、顶级域服务系统
(一)总体情况
根据国际互联网域名体系的构成,顶级域名分为三类:通用顶级域名(gTLD ,General Top Level Domain)、国家与地区顶级域名(ccTLD ,Country Code Top Level Domain)和基础设施类顶级域(目前仅有.arpa )。其中通用顶级域gTLD 共有20个,可细分为组织主办类(Sponsored )13个,通用类(Generic )4个,及限制通用类(Generic-restricted )3个。国家与地区顶级域共计260个(包含“. 中国”等新增的顶级域),另外还有实验性顶级域11个,共计292个顶级域。
(二)软件版本类型
一般顶级域的运营者都比较注重系统的安全性,统计发现,操作系统69以上都采用开源Linux ,相对稳定性较高。也可以发现Windows 的使用率约占20。
图 3 顶级域服务系统操作系统类型分布
对顶级域服务系统使用的域名服务器进行探测扫描,统计发现95以上使用开源软件ISC BIND。
7
,
中国域名服务及安全现状报告
三、二级及以下权威域名服务系统
(一)地域分布
统计发现,拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的91以上。
图 4 权威域名服务系统地域分布
(二)所属运营商
在对国内其他各级域名服务系统进行监测的同时,对这些权威服务器在各大运营商的分布状况进行统计,发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50以上。
8
中国域名服务及安全现状报告
图 5 权威域名服务系统运营商分布
(三)软件版本类型
对国内各级域名服务系统中的所有权威服务器进行扫描,统计发现,62以上的域名服务器使用开源的Linux 系统,Microsoft Windows操作系统所占比例在36左右。
图 6 权威域名服务系统操作系统类型分布
对国内各级域名服务系统中的所有权威域名服务器进行探测,其中95以上的域名服务器使用开源的ISC BIND软件,国外权威域名服务系统中ISC BIND使用率约为93。
表3 国内权威域名服务系统域名解析软件分类
9
中国域名服务及安全现状报告
(四)协议支持程度
中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比,
10
