17-袁春阳-通信网基础设施安全问题研究

通信基础设施安全研究及相关工作国家计算机网络应急技术处理协调中心国家网络信息安全技术研究所袁春阳博士8月10日大连★2011中国计算机网络安全年会 ,国家网络信息安全技术研

通信基础设施安全研究及相关工作国家计算机网络应急技术处理协调中心

国家网络信息安全技术研究所袁春阳博士8月10日大连★2011中国计算机网络安全年会

国家网络信息安全技术研究所路由、域名系统面临的安全威胁国外在做什么？我们做了什么？下一步工作想法

国家网络信息安全技术研究所“皮之不存，毛将焉附”——【出处】《左传·僖公十四年》：“皮之不存，毛将安傅？”

——【释义】比喻事物失去了借以生存的基础，就不能存在。

春秋时左丘明

国家网络信息安全技术研究所

内容和应用层

提供email 、WWW 、电子银行等应用和内容协议和标准层（Routing 、TCP/IP、DNS 、SSL ）将数据分割成数据包并在互联网上寻址传输DNS BGP 物理层：

由电缆、光缆、电话线、卫星以及交换机、路由器等能够传输电子数据的物理设备组成。

国家网络信息安全技术研究所根域名.

… DNS 的作用 提供了主机名字和IP 地址

间的相互转换顶级域名.cn .org .com .net

域名体系

是一个具有树状层次结构的，联机分布式数据库系统。二级域名子域名.org.cn cert.org.cn

主机www.cert.org.cn 2011.cert.org.cn

国家网络信息安全技术研究所

DNS 系统攻击分类 直接利用漏洞 bind，opendns等服务软件自身的漏洞被利用 流量类攻击 UDP/TCP flood 请求类攻击 DNS query flood spoof/放大类攻击 利用UDP/EDNS的特点，伪造和放大 劫持类攻击 DNS 缓冲区投毒(cache poisoning) 中间人攻击,修改域名指向2008年Dan Kaminsky 提出实用性的DNS 攻击方法 及其他攻击形式

国家网络信息安全技术研究所nn域名服务体系各个环节面临的安全威胁n根和顶级域名服务器n• 根由ICANN管理，顶级域由专业机构或公司维护 • 专业的防护仍难免受到攻击nn主要攻击和威胁n拒绝服务攻击 因配置故障等产生重大影响nn攻击实例n递归域名服务器nn权威域名服务器nn2002年，13个根域名服务器遭受攻击 2007年2月，3个根域服务器名遭到 2009年10月，瑞典国家顶级域名.se由于维护 时出现失误，导致.se之下的90万个域名不能正 确解析。 2010年5月12日，德国域名服务器故障 大批 ".de"网站无法登录n*相关材料来自：互联网络 7nn

国家网络信息安全技术研究所nn域名服务体系各个环节面临的安全威胁n二级及以下域名服务器n• 主要由各网站自建、注册服务商免费服务为主 • 安全防护水平参差不齐nn主要攻击和威胁n拒绝服务攻击 故障nn递归域名服务器nn攻击实例nn权威域名服务器nn2008年12月，雅虎网站出现域名故障 致用户一 小时无法访问 2010年1月25日，新网DNS服务器出现故障， 大批网站无法访问nn*相关材料来自：互联网络 8nn

国家网络信息安全技术研究所nn域名服务体系各个环节面临的安全威胁n递归域名服务器n• 主要由运营商、ISP等基础网络运营商提供 • 安全防护水平仍有待提高nn主要攻击和威胁n拒绝服务攻击 缓冲区中毒nn攻击实例n递归域名服务器nn权威域名服务器nn2009年5月19日，域名服务商DNSPOD遭遇恶 意攻击瘫痪，导致其服务对象暴风影音等网站 用户提交访问无法找到正确服务器，最终导致 多省网络故障。 2008年9月，国外报告称中国网通用户使用的 默认DNS服务器的DNS缓存遭到病毒入侵。n*相关材料来自：互联网络 9nn

国家网络信息安全技术研究所nn域名服务体系各个环节面临的安全威胁n域名注册服务n• 主要由各注册服务商提供 • 仍然存在安全问题nn主要攻击和威胁n数据非法篡改nn递归域名服务器nn攻击实例nn2010年1月12日，baidu.com域名在美国注册 商处被非法篡改，导致搜索引擎百度无法访问。nn权威域名服务器nn*相关材料来自：互联网络 10nn