中國域名服務(wù)及安全現(xiàn)狀報告中國域名服務(wù)及安全現(xiàn)狀報告北龍中網(wǎng) CNNIC 聯(lián)合推出（2010年8月）1 ,中國域名服務(wù)及安全現(xiàn)狀報告目 錄報告摘要.............

中國域名服務(wù)及安全現(xiàn)狀報告

中國域名服務(wù)及安全現(xiàn)狀報告

北龍中網(wǎng) CNNIC 聯(lián)合推出

（2010年8月）

1

中國域名服務(wù)及安全現(xiàn)狀報告

目 錄

報告摘要............................................................................................. 3

第一章

第二章 域名服務(wù)體系說明 . ............................................................ 4 域名服務(wù)體系監(jiān)測結(jié)果 ..................................................... 6

一、根域名服務(wù)系統(tǒng) . ........................................................................................................................................6

二、頂級域服務(wù)系統(tǒng) . ........................................................................................................................................7

（一）總體情況 . ............................................................................................................................................7

（二）軟件版本類型 . ...................................................................................................................................7

三、二級及以下權(quán)威域名服務(wù)系統(tǒng) ..............................................................................................................8

（一）地域分布 . ............................................................................................................................................8

（二）所屬運(yùn)營商.........................................................................................................................................8

（三）軟件版本類型 . ...................................................................................................................................9

（四）協(xié)議支持程度 . .................................................................................................................................10

四、遞歸域名服務(wù)系統(tǒng)...................................................................................................................................11

（一）地域分布 . .......................................................................................................................................... 11

（二）所屬運(yùn)營商.......................................................................................................................................12

（三）軟件版本類型 . .................................................................................................................................12

（四）協(xié)議支持程度 . .................................................................................................................................14

（五）遞歸域名服務(wù)器端口隨機(jī)性 .......................................................................................................15

第三章

第四章

第五章 國內(nèi)重點(diǎn)權(quán)威域名安全抽樣 . ........................................... 16 DNSSEC 及全球?qū)嵤顩r . .............................................. 18 域名服務(wù)風(fēng)險分析和安全建議 ........................................ 22

附錄1術(shù)語定義 ............................................................................... 25

附錄2全球技術(shù)動態(tài)及安全事件 ..................................................... 26

2

中國域名服務(wù)及安全現(xiàn)狀報告

報告摘要

? 截至2010年8月10日，監(jiān)測到世界范圍內(nèi)域名服務(wù)器總量為16,306,432個，其中權(quán)威

域名服務(wù)器2,903,550個，遞歸域名服務(wù)器13,402,882個?；钴S域名服務(wù)器數(shù)量為1,375,219個，其中權(quán)威域名服務(wù)器619,797個，遞歸域名服務(wù)器755,422個。

? 截至2010年8月10日，監(jiān)測到國內(nèi)的域名服務(wù)器總量為978,713個，其中權(quán)威域名服

務(wù)器107,540 個，遞歸域名服務(wù)器871,173 個。國內(nèi)活躍域名服務(wù)器數(shù)量為67,235個，其中權(quán)威域名服務(wù)器19,281個，遞歸域名服務(wù)器47,954個。

? 國內(nèi)的域名服務(wù)器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達(dá)的地區(qū)。其中

排名前10的地區(qū)域名服務(wù)器總量占全國域名服務(wù)器總量的90以上。

? 對國內(nèi)的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計發(fā)現(xiàn)，62以上使用Unix/Linux系統(tǒng)，95以

上使用ISC BIND軟件。國內(nèi)的權(quán)威域名服務(wù)器中53開啟了遞歸查詢功能，遠(yuǎn)大于全球范圍內(nèi)31的比率，存在一定的安全隱患。

? 對國內(nèi)的所有遞歸域名服務(wù)系統(tǒng)進(jìn)行全面掃描，統(tǒng)計發(fā)現(xiàn)，55以上使用了Unix/Linux

系統(tǒng)，94以上使用ISC BIND軟件。

? 統(tǒng)計發(fā)現(xiàn)，國內(nèi)超過4的遞歸域名服務(wù)器端口隨機(jī)性較差，容易遭受DNS 劫持攻擊，

遠(yuǎn)高于全球范圍0.98的平均水平。

? 對國內(nèi)重要信息系統(tǒng)所涉域名抽樣統(tǒng)計發(fā)現(xiàn)， 57的域名解析服務(wù)處于有風(fēng)險的狀態(tài)，

其中11.8的域名因配置管理不當(dāng)，處于較高風(fēng)險狀態(tài)。

3

中國域名服務(wù)及安全現(xiàn)狀報告

第一章 域名服務(wù)體系說明

域名（Domain Name）是由一串用點(diǎn)分隔的字符組成的互聯(lián)網(wǎng)名稱，是用于識別和定位互聯(lián)網(wǎng)上計算機(jī)的層次結(jié)構(gòu)式字符標(biāo)識，類似于互聯(lián)網(wǎng)上的門牌號碼。

域名系統(tǒng)（DNS ）是逐級授權(quán)的分布式數(shù)據(jù)查詢系統(tǒng)，主要用于完成域名到IP 地址的翻譯轉(zhuǎn)換功能。絕大多數(shù)互聯(lián)網(wǎng)應(yīng)用都基于域名系統(tǒng)開展，絕大多數(shù)互聯(lián)網(wǎng)通信都必須先通過域名系統(tǒng)完成域名到IP 地址的尋址轉(zhuǎn)換。

圖1 域名系統(tǒng)的位置角色

域名服務(wù)體系包括提供域名服務(wù)的所有域名系統(tǒng)，它包括兩大部分、四個環(huán)節(jié)：即遞歸域名服務(wù)系統(tǒng)，以及由根域名服務(wù)系統(tǒng)、頂級域名服務(wù)系統(tǒng)、和其他各級域名服務(wù)系統(tǒng)組成的權(quán)威域名解析服務(wù)體系。

4

中國域名服務(wù)及安全現(xiàn)狀報告

圖2 域名服務(wù)體系的構(gòu)成示意

域名服務(wù)體系中，根域名服務(wù)系統(tǒng)由ICANN 授權(quán)的是十三家全球?qū)I(yè)域名管理機(jī)構(gòu)提供運(yùn)營支持，頂級域名服務(wù)系統(tǒng)由ICANN 簽約的商業(yè)機(jī)構(gòu)、或各國政府授權(quán)的科研管理機(jī)構(gòu)負(fù)責(zé)運(yùn)行維護(hù)，因此這兩個環(huán)節(jié)的穩(wěn)定運(yùn)行有所保障。

而大量的二級及二級以下權(quán)威域名服務(wù)器分散在域名持有者手中，由政府、企事業(yè)單位、商業(yè)網(wǎng)站、終端網(wǎng)民自我運(yùn)行或托管在第三方；遞歸域名服務(wù)器一般由各網(wǎng)絡(luò)接入機(jī)構(gòu)提供。這兩個環(huán)節(jié)是數(shù)量眾多、而安全狀況相對薄弱的兩個環(huán)節(jié)，根據(jù)監(jiān)測和統(tǒng)計，兩個環(huán)節(jié)的活躍的服務(wù)器619,797臺套和755,422臺套，相對安全的服務(wù)器比例不足半數(shù)。其主要原因在于這兩個環(huán)節(jié)的服務(wù)器眾多、管理分散、規(guī)模有限，維護(hù)人員的技術(shù)水平也參差不齊，缺乏綜合專業(yè)的安全服務(wù)能力。

5

中國域名服務(wù)及安全現(xiàn)狀報告

第二章 域名服務(wù)體系監(jiān)測結(jié)果

一、根域名服務(wù)系統(tǒng)

根服務(wù)器的分布情況對互聯(lián)網(wǎng)的訪問性能有很大的影響。截至目前，全球域名系統(tǒng)13個根服務(wù)器在全球的鏡像服務(wù)器數(shù)量共206個。根服務(wù)器及其鏡像在歐洲有72個、美國51個、亞洲45個，中國大陸有F 根、I 根和J 根的鏡像服務(wù)器。

表 1 根域名服務(wù)器及其鏡像的基本狀況

*

6

中國域名服務(wù)及安全現(xiàn)狀報告

二、頂級域服務(wù)系統(tǒng)

（一）總體情況

根據(jù)國際互聯(lián)網(wǎng)域名體系的構(gòu)成，頂級域名分為三類：通用頂級域名（gTLD ，General Top Level Domain）、國家與地區(qū)頂級域名（ccTLD ，Country Code Top Level Domain）和基礎(chǔ)設(shè)施類頂級域（目前僅有.arpa ）。其中通用頂級域gTLD 共有20個，可細(xì)分為組織主辦類（Sponsored ）13個，通用類（Generic ）4個，及限制通用類（Generic-restricted ）3個。國家與地區(qū)頂級域共計260個（包含“. 中國”等新增的頂級域），另外還有實(shí)驗(yàn)性頂級域11個，共計292個頂級域。

（二）軟件版本類型

一般頂級域的運(yùn)營者都比較注重系統(tǒng)的安全性，統(tǒng)計發(fā)現(xiàn)，操作系統(tǒng)69以上都采用開源Linux ，相對穩(wěn)定性較高。也可以發(fā)現(xiàn)Windows 的使用率約占20。

圖 3 頂級域服務(wù)系統(tǒng)操作系統(tǒng)類型分布

對頂級域服務(wù)系統(tǒng)使用的域名服務(wù)器進(jìn)行探測掃描，統(tǒng)計發(fā)現(xiàn)95以上使用開源軟件ISC BIND。

表 2 頂級域服務(wù)系統(tǒng)所用域名解析軟件分類

7

中國域名服務(wù)及安全現(xiàn)狀報告

三、二級及以下權(quán)威域名服務(wù)系統(tǒng)

（一）地域分布

統(tǒng)計發(fā)現(xiàn)，擁有權(quán)威服務(wù)器較多的省份為中國臺灣、香港、北京等互聯(lián)網(wǎng)較為發(fā)達(dá)的省市地區(qū)。以下圖中十個地區(qū)的權(quán)威服務(wù)器數(shù)量占全國權(quán)威服務(wù)器總量的91以上。

圖 4 權(quán)威域名服務(wù)系統(tǒng)地域分布

（二）所屬運(yùn)營商

在對國內(nèi)其他各級域名服務(wù)系統(tǒng)進(jìn)行監(jiān)測的同時，對這些權(quán)威服務(wù)器在各大運(yùn)營商的分布狀況進(jìn)行統(tǒng)計，發(fā)現(xiàn)中國主流運(yùn)營商擁有的權(quán)威服務(wù)器數(shù)量占中國各級域名服務(wù)系統(tǒng)的50以上。

8

中國域名服務(wù)及安全現(xiàn)狀報告

圖 5 權(quán)威域名服務(wù)系統(tǒng)運(yùn)營商分布

（三）軟件版本類型

對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計發(fā)現(xiàn)，62以上的域名服務(wù)器使用開源的Linux 系統(tǒng)，Microsoft Windows操作系統(tǒng)所占比例在36左右。

圖 6 權(quán)威域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布

對國內(nèi)各級域名服務(wù)系統(tǒng)中的所有權(quán)威域名服務(wù)器進(jìn)行探測，其中95以上的域名服務(wù)器使用開源的ISC BIND軟件，國外權(quán)威域名服務(wù)系統(tǒng)中ISC BIND使用率約為93。

表3 國內(nèi)權(quán)威域名服務(wù)系統(tǒng)域名解析軟件分類

9

中國域名服務(wù)及安全現(xiàn)狀報告

（四）協(xié)議支持程度

中國各級域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界各級域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，

10