中國域名服務及安全現(xiàn)狀報告中國域名服務及安全現(xiàn)狀報告北龍中網(wǎng) CNNIC 聯(lián)合推出（2010年8月）1 ,中國域名服務及安全現(xiàn)狀報告目 錄報告摘要 ............

中國域名服務及安全現(xiàn)狀報告

中國域名服務及安全現(xiàn)狀報告

北龍中網(wǎng) CNNIC 聯(lián)合推出

（2010年8月）

1

中國域名服務及安全現(xiàn)狀報告

目 錄

報告摘要 .................................................................................................... 3

第一章

第二章 域名服務體系說明 .................................................................. 4 域名服務體系監(jiān)測結果 .......................................................... 6

一、根域名服務系統(tǒng) . ......................................................................................................................... 6

二、頂級域服務系統(tǒng) . ......................................................................................................................... 7

（一）總體情況 . ............................................................................................................................. 7

（二）軟件版本類型 . ..................................................................................................................... 7

三、二級及以下權威域名服務系統(tǒng) .................................................................................................. 8

（一）地域分布 . ............................................................................................................................. 8

（二）所屬運營商 . ......................................................................................................................... 8

（三）軟件版本類型 . ..................................................................................................................... 9

（四）協(xié)議支持程度 . ................................................................................................................... 10

四、遞歸域名服務系統(tǒng) .................................................................................................................... 11

（一）地域分布 . ........................................................................................................................... 11

（二）所屬運營商 . ....................................................................................................................... 12

（三）軟件版本類型 . ................................................................................................................... 12

（四）協(xié)議支持程度 . ................................................................................................................... 14

（五）遞歸域名服務器端口隨機性 . ........................................................................................... 15

第三章

第四章

第五章 國內重點權威域名安全抽樣 ................................................ 16 DNSSEC 及全球實施狀況 ................................................... 18 域名服務風險分析和安全建議 ............................................ 22

附錄1術語定義 ...................................................................................... 25

附錄2全球技術動態(tài)及安全事件 .......................................................... 26

2

中國域名服務及安全現(xiàn)狀報告

報告摘要

? 截至2010年8月10日，監(jiān)測到世界范圍內域名服務器總量為16,306,432個，其中權威

域名服務器2,903,550個，遞歸域名服務器13,402,882個?；钴S域名服務器數(shù)量為1,375,219個，其中權威域名服務器619,797個，遞歸域名服務器755,422個。

? 截至2010年8月10日，監(jiān)測到國內的域名服務器總量為978,713個，其中權威域名服

務器107,540 個，遞歸域名服務器871,173 個。國內活躍域名服務器數(shù)量為67,235個，其中權威域名服務器19,281個，遞歸域名服務器47,954個。

? 國內的域名服務器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網(wǎng)發(fā)達的地區(qū)。其中

排名前10的地區(qū)域名服務器總量占全國域名服務器總量的90以上。

? 對國內的所有權威服務器進行掃描，統(tǒng)計發(fā)現(xiàn)，62以上使用Unix/Linux系統(tǒng)，95以

上使用ISC BIND軟件。國內的權威域名服務器中53開啟了遞歸查詢功能，遠大于全球范圍內31的比率，存在一定的安全隱患。

? 對國內的所有遞歸域名服務系統(tǒng)進行全面掃描，統(tǒng)計發(fā)現(xiàn)，55以上使用了Unix/Linux

系統(tǒng)，94以上使用ISC BIND軟件。

? 統(tǒng)計發(fā)現(xiàn)，國內超過4的遞歸域名服務器端口隨機性較差，容易遭受DNS 劫持攻擊，

遠高于全球范圍0.98的平均水平。

? 對國內重要信息系統(tǒng)所涉域名抽樣統(tǒng)計發(fā)現(xiàn)， 57的域名解析服務處于有風險的狀態(tài)，

其中11.8的域名因配置管理不當，處于較高風險狀態(tài)。

3

中國域名服務及安全現(xiàn)狀報告

第一章 域名服務體系說明

域名（Domain Name）是由一串用點分隔的字符組成的互聯(lián)網(wǎng)名稱，是用于識別和定位互聯(lián)網(wǎng)上計算機的層次結構式字符標識，類似于互聯(lián)網(wǎng)上的門牌號碼。

域名系統(tǒng)（DNS ）是逐級授權的分布式數(shù)據(jù)查詢系統(tǒng)，主要用于完成域名到IP 地址的翻譯轉換功能。絕大多數(shù)互聯(lián)網(wǎng)應用都基于域名系統(tǒng)開展，絕大多數(shù)互聯(lián)網(wǎng)通信都必須先通過域名系統(tǒng)完成域名到IP 地址的尋址轉換。

圖1 域名系統(tǒng)的位置角色

域名服務體系包括提供域名服務的所有域名系統(tǒng)，它包括兩大部分、四個環(huán)節(jié)：即遞歸域名服務系統(tǒng)，以及由根域名服務系統(tǒng)、頂級域名服務系統(tǒng)、和其他各級域名服務系統(tǒng)組成的權威域名解析服務體系。

4

中國域名服務及安全現(xiàn)狀報告

圖2 域名服務體系的構成示意

域名服務體系中，根域名服務系統(tǒng)由ICANN 授權的是十三家全球專業(yè)域名管理機構提供運營支持，頂級域名服務系統(tǒng)由ICANN 簽約的商業(yè)機構、或各國政府授權的科研管理機構負責運行維護，因此這兩個環(huán)節(jié)的穩(wěn)定運行有所保障。

而大量的二級及二級以下權威域名服務器分散在域名持有者手中，由政府、企事業(yè)單位、商業(yè)網(wǎng)站、終端網(wǎng)民自我運行或托管在第三方；遞歸域名服務器一般由各網(wǎng)絡接入機構提供。這兩個環(huán)節(jié)是數(shù)量眾多、而安全狀況相對薄弱的兩個環(huán)節(jié)，根據(jù)監(jiān)測和統(tǒng)計，兩個環(huán)節(jié)的活躍的服務器619,797臺套和755,422臺套，相對安全的服務器比例不足半數(shù)。其主要原因在于這兩個環(huán)節(jié)的服務器眾多、管理分散、規(guī)模有限，維護人員的技術水平也參差不齊，缺乏綜合專業(yè)的安全服務能力。

5

中國域名服務及安全現(xiàn)狀報告

第二章 域名服務體系監(jiān)測結果

一、根域名服務系統(tǒng)

根服務器的分布情況對互聯(lián)網(wǎng)的訪問性能有很大的影響。截至目前，全球域名系統(tǒng)13個根服務器在全球的鏡像服務器數(shù)量共206個。根服務器及其鏡像在歐洲有72個、美國51個、亞洲45個，中國大陸有F 根、I 根和J 根的鏡像服務器。

表 1 根域名服務器及其鏡像的基本狀況

*

6

中國域名服務及安全現(xiàn)狀報告

二、頂級域服務系統(tǒng)

（一）總體情況

根據(jù)國際互聯(lián)網(wǎng)域名體系的構成，頂級域名分為三類：通用頂級域名（gTLD ，General Top Level Domain）、國家與地區(qū)頂級域名（ccTLD ，Country Code Top Level Domain）和基礎設施類頂級域（目前僅有.arpa ）。其中通用頂級域gTLD 共有20個，可細分為組織主辦類（Sponsored ）13個，通用類（Generic ）4個，及限制通用類（Generic-restricted ）3個。國家與地區(qū)頂級域共計260個（包含“. 中國”等新增的頂級域），另外還有實驗性頂級域11個，共計292個頂級域。

（二）軟件版本類型

一般頂級域的運營者都比較注重系統(tǒng)的安全性，統(tǒng)計發(fā)現(xiàn)，操作系統(tǒng)69以上都采用開源Linux ，相對穩(wěn)定性較高。也可以發(fā)現(xiàn)Windows 的使用率約占20。

圖 3 頂級域服務系統(tǒng)操作系統(tǒng)類型分布

對頂級域服務系統(tǒng)使用的域名服務器進行探測掃描，統(tǒng)計發(fā)現(xiàn)95以上使用開源軟件ISC BIND。

7

中國域名服務及安全現(xiàn)狀報告

三、二級及以下權威域名服務系統(tǒng)

（一）地域分布

統(tǒng)計發(fā)現(xiàn)，擁有權威服務器較多的省份為中國臺灣、香港、北京等互聯(lián)網(wǎng)較為發(fā)達的省市地區(qū)。以下圖中十個地區(qū)的權威服務器數(shù)量占全國權威服務器總量的91以上。

圖 4 權威域名服務系統(tǒng)地域分布

（二）所屬運營商

在對國內其他各級域名服務系統(tǒng)進行監(jiān)測的同時，對這些權威服務器在各大運營商的分布狀況進行統(tǒng)計，發(fā)現(xiàn)中國主流運營商擁有的權威服務器數(shù)量占中國各級域名服務系統(tǒng)的50以上。

8

中國域名服務及安全現(xiàn)狀報告

圖 5 權威域名服務系統(tǒng)運營商分布

（三）軟件版本類型

對國內各級域名服務系統(tǒng)中的所有權威服務器進行掃描，統(tǒng)計發(fā)現(xiàn)，62以上的域名服務器使用開源的Linux 系統(tǒng)，Microsoft Windows操作系統(tǒng)所占比例在36左右。

圖 6 權威域名服務系統(tǒng)操作系統(tǒng)類型分布

對國內各級域名服務系統(tǒng)中的所有權威域名服務器進行探測，其中95以上的域名服務器使用開源的ISC BIND軟件，國外權威域名服務系統(tǒng)中ISC BIND使用率約為93。

表3 國內權威域名服務系統(tǒng)域名解析軟件分類

9

中國域名服務及安全現(xiàn)狀報告

（四）協(xié)議支持程度

中國各級域名服務系統(tǒng)的協(xié)議支持情況與世界各級域名服務系統(tǒng)的協(xié)議支持情況相比，

10