【文章內(nèi)容簡介】 國外遞歸域名服務(wù)系統(tǒng)中 ISC BIND 使用率約為 86%。表 4 國內(nèi)遞歸域名服務(wù)系統(tǒng)域名解析軟件分類域名解析軟件類型 比例ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %ISC BIND %Microsoft Windows DNS 2022 %Mikrotik dsl/cable %Nominum CNS %bboy MyDNS %Runtop dsl/cable %vermicelli totd %robtex Viking DNS module %14 / 32JHSOFT simple DNS plus %Raiden DNSD %Yutaka Sato DeleGate DNS %PowerDNS PowerDNS %Ascenvision SwiftDNS %Cisco CNR %Max Feoktistov small HTTP server %Meilof Veeningen Posadis %sheerdns %Paul Rombouts pdnsd %DJ Bernstein TinyDNS %Sam Trenholme MaraDNS %Sourcefe JDNSS %Axis video server %incognito DNS mander %NLLabs NSD %Nortel Networks Instant Inter %WinGate Wingate DNS %其他 %合計 %（四）協(xié)議支持程度中國遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，中國遞歸服務(wù)器的協(xié)議支持程度與世界平均水平保持一致。圖 11 遞歸域名服務(wù)系統(tǒng)協(xié)議支持程度15 / 32（五）遞歸域名服務(wù)器端口隨機性遞歸域名服務(wù)器對外發(fā)起查詢使用的客戶端端口的隨機性對域名解析的安全程度具有很大影響，端口隨機算法如果不夠安全，會使域名服務(wù)器容易遭受緩存中毒攻擊，著名的卡明斯基漏洞就是利用遞歸服務(wù)器的客戶端端口弱隨機性發(fā)起的攻擊。統(tǒng)計發(fā)現(xiàn)，中國超過 4%的遞歸域名服務(wù)器端口隨機性較差，容易遭受 DNS 劫持攻擊，遠(yuǎn)高于世界范圍的%。圖 12 遞歸域名服務(wù)系統(tǒng)端口隨機程度分布16 / 32第三章第三章 國內(nèi)重點權(quán)威域名安全抽樣國內(nèi)重點權(quán)威域名安全抽樣重要信息系統(tǒng)涉及域名數(shù)量眾多，根據(jù)重點域名的訪問量及其服務(wù)范圍，抽樣調(diào)查了各行業(yè)的域名，主要來自政府機構(gòu)、金融機構(gòu)、教育機構(gòu)、網(wǎng)絡(luò)運營商以及涉及到國計民生的各個行業(yè)。統(tǒng)計發(fā)現(xiàn) 57%的重點域名解析服務(wù)處于有風(fēng)險的狀態(tài)，只有 11%的域名解析服務(wù)安全等級為良好。圖 13 重點域名安全狀況分布通過對各行業(yè)的域名安全狀況進(jìn)行分析，教育機構(gòu)的域名服務(wù)系統(tǒng)安全性最差，80%以上的域名解析服務(wù)處于有風(fēng)險狀態(tài)。圖 14 各行業(yè)重點域名安全等級分布經(jīng)過對重點域名列表進(jìn)行掃描監(jiān)測，統(tǒng)計發(fā)現(xiàn)，74%的域名配置了兩臺以上的域名服17 / 32務(wù)器，但是這些配置兩臺以上域名服務(wù)器的域名中又有超過 23%的域名服務(wù)器位于同一個網(wǎng)段內(nèi)。域名服務(wù)器作為權(quán)威服務(wù)器，應(yīng)該將遞歸功能關(guān)閉，否則會存在安全隱患，通過統(tǒng)計分析發(fā)現(xiàn)，重點域名列表中有 40%的域名服務(wù)器將遞歸功能開啟，增加了被攻擊的風(fēng)險。圖 15 重點域名服務(wù)器遞歸功能開放統(tǒng)計權(quán)威服務(wù)器所用軟件類型及版本將從很大程度上影響到域名服務(wù)器的安全性，通過對中國重點域名所使用的軟件版本類型信息進(jìn)行監(jiān)測和統(tǒng)計，發(fā)現(xiàn) 75%的域名服務(wù)器使用開源軟件 ISC BIND，且在使用 ISC BIND 的域名服務(wù)器中 %以上的 BIND 版本過低，存在嚴(yán)重的安全隱患。表 5 中國重點域名所用軟件類別軟件系統(tǒng) 比例ISC Bind 9 %ISC Bind 8 %ISC Bind 4 %Microsoft Windows DNS 2022 %PowerDNS %bboy MyDNS %XBILL jnamed (dnsjava) %Cisco CNR %UltraDNS %HyperDNS %其他 %合計 %18 / 32第四章第四章 DNSSec 及全球?qū)嵤顩r及全球?qū)嵤顩rDNS 域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，其設(shè)計之初就存在嚴(yán)重的協(xié)議安全漏洞，近年來針對這些安全漏洞的網(wǎng)絡(luò)攻擊給 DNS 和互聯(lián)網(wǎng)帶來了巨大的損失。為此IETF 成立了工作組專門研究 DNSSec 安全擴展協(xié)議（DNS Security Extensions） ，并推出了一系列的 RFC 標(biāo)準(zhǔn)，從概念、協(xié)議設(shè)計、報文格式、加密算法及密鑰管理等方面完善了原有 DNS 體系的不足之處，從而形成一整套的 DNSSec 解決方案。分析 DNSSec 的技術(shù)原理可發(fā)現(xiàn)，該解決方案遵循了如下目標(biāo)和設(shè)計原則：? 為 DNS 解析服務(wù)提供數(shù)據(jù)源身份認(rèn)證和對數(shù)據(jù)完整性驗證；? 由于 DNS 是一個公共的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施，不能強制進(jìn)行訪問控制或者數(shù)據(jù)加密；? DNSSec 協(xié)議需要與原有 DNS 協(xié)議兼容；? 支持增量部署；部署了 DNSSEC 的權(quán)威域名服務(wù)器在應(yīng)答查詢請求時，首先使用哈希算法計算應(yīng)答報文的摘要，再將此摘要用自己的私鑰加密生成簽名后存儲到報文中；查詢方收到應(yīng)答報文，利用權(quán)威服務(wù)器的公鑰解密簽名獲得摘要，再將此摘要與從報文數(shù)據(jù)計算出的摘要進(jìn)行對比來完成數(shù)據(jù)的完整性驗證。如果數(shù)據(jù)完整性驗證成功，則也同時完成了對數(shù)據(jù)源（權(quán)威域名服務(wù)器）的身份認(rèn)證，否則認(rèn)識身份認(rèn)證失敗。為了解決以安全的方式分發(fā)公鑰所面臨的挑戰(zhàn)，使用了“信任鏈”的方法，所有 DNS 認(rèn)證過程的信任錨點均為根域名服務(wù)器。19 / 32圖 16 DNSSec 簽名認(rèn)證過程自 2022 年 7 月 15 日根正式提供 DNSSec 服務(wù)之后，實施 DNSSec 的頂級域數(shù)量逐漸增多，截至 2022 年 8 月 13 日，已有 37 個頂級域部署了 DNSSec，約占頂級域總量的13%。這些實施了 DNSSec 的頂級域中，有 7 個通用頂級域名，19 國家與地區(qū)頂級域名，11 個實驗性頂級域名。表 6 TLD 實施 DNSSec 統(tǒng)計GTLD KSK 數(shù)量 CCTLD KSK 數(shù)量 TESTTLD KSK 數(shù)量arpa 1 bg(保加利亞) 1 xn0zwm56d 2biz 2 br(巴西) 1 xn11b5bs3a9aj6g 2cat 1 ch(瑞士) 1 xn80akhbyknj4f 2edu 1 cl(智利) 1 xn9t4b11yi5a 2gov 1 cz(捷克共和國