通信基礎(chǔ)設(shè)施安全研究及相關(guān)工作國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心國家網(wǎng)絡(luò)信息安全技術(shù)研究所袁春陽博士8月10日大連★2011中國計算機(jī)網(wǎng)絡(luò)安全年會 ,國家網(wǎng)絡(luò)信息安全技術(shù)研

通信基礎(chǔ)設(shè)施安全研究及相關(guān)工作國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心

國家網(wǎng)絡(luò)信息安全技術(shù)研究所袁春陽博士8月10日大連★2011中國計算機(jī)網(wǎng)絡(luò)安全年會

國家網(wǎng)絡(luò)信息安全技術(shù)研究所路由、域名系統(tǒng)面臨的安全威脅國外在做什么？我們做了什么？下一步工作想法

國家網(wǎng)絡(luò)信息安全技術(shù)研究所“皮之不存，毛將焉附”——【出處】《左傳·僖公十四年》：“皮之不存，毛將安傅？”

——【釋義】比喻事物失去了借以生存的基礎(chǔ)，就不能存在。

春秋時左丘明

國家網(wǎng)絡(luò)信息安全技術(shù)研究所

內(nèi)容和應(yīng)用層

提供email 、WWW 、電子銀行等應(yīng)用和內(nèi)容協(xié)議和標(biāo)準(zhǔn)層（Routing 、TCP/IP、DNS 、SSL ）將數(shù)據(jù)分割成數(shù)據(jù)包并在互聯(lián)網(wǎng)上尋址傳輸DNS BGP 物理層：

由電纜、光纜、電話線、衛(wèi)星以及交換機(jī)、路由器等能夠傳輸電子數(shù)據(jù)的物理設(shè)備組成。

國家網(wǎng)絡(luò)信息安全技術(shù)研究所根域名.

… DNS 的作用 提供了主機(jī)名字和IP 地址

間的相互轉(zhuǎn)換頂級域名.cn .org .com .net

域名體系

是一個具有樹狀層次結(jié)構(gòu)的，聯(lián)機(jī)分布式數(shù)據(jù)庫系統(tǒng)。二級域名子域名.org.cn cert.org.cn

主機(jī)www.cert.org.cn 2011.cert.org.cn

國家網(wǎng)絡(luò)信息安全技術(shù)研究所

DNS 系統(tǒng)攻擊分類 直接利用漏洞 bind，opendns等服務(wù)軟件自身的漏洞被利用 流量類攻擊 UDP/TCP flood 請求類攻擊 DNS query flood spoof/放大類攻擊 利用UDP/EDNS的特點，偽造和放大 劫持類攻擊 DNS 緩沖區(qū)投毒(cache poisoning) 中間人攻擊,修改域名指向2008年Dan Kaminsky 提出實用性的DNS 攻擊方法 及其他攻擊形式

國家網(wǎng)絡(luò)信息安全技術(shù)研究所nn域名服務(wù)體系各個環(huán)節(jié)面臨的安全威脅n根和頂級域名服務(wù)器n? 根由ICANN管理，頂級域由專業(yè)機(jī)構(gòu)或公司維護(hù) ? 專業(yè)的防護(hù)仍難免受到攻擊nn主要攻擊和威脅n拒絕服務(wù)攻擊 因配置故障等產(chǎn)生重大影響nn攻擊實例n遞歸域名服務(wù)器nn權(quán)威域名服務(wù)器nn2002年，13個根域名服務(wù)器遭受攻擊 2007年2月，3個根域服務(wù)器名遭到 2009年10月，瑞典國家頂級域名.se由于維護(hù) 時出現(xiàn)失誤，導(dǎo)致.se之下的90萬個域名不能正 確解析。 2010年5月12日，德國域名服務(wù)器故障 大批 ".de"網(wǎng)站無法登錄n*相關(guān)材料來自：互聯(lián)網(wǎng)絡(luò) 7nn

國家網(wǎng)絡(luò)信息安全技術(shù)研究所nn域名服務(wù)體系各個環(huán)節(jié)面臨的安全威脅n二級及以下域名服務(wù)器n? 主要由各網(wǎng)站自建、注冊服務(wù)商免費服務(wù)為主 ? 安全防護(hù)水平參差不齊nn主要攻擊和威脅n拒絕服務(wù)攻擊 故障nn遞歸域名服務(wù)器nn攻擊實例nn權(quán)威域名服務(wù)器nn2008年12月，雅虎網(wǎng)站出現(xiàn)域名故障 致用戶一 小時無法訪問 2010年1月25日，新網(wǎng)DNS服務(wù)器出現(xiàn)故障， 大批網(wǎng)站無法訪問nn*相關(guān)材料來自：互聯(lián)網(wǎng)絡(luò) 8nn

國家網(wǎng)絡(luò)信息安全技術(shù)研究所nn域名服務(wù)體系各個環(huán)節(jié)面臨的安全威脅n遞歸域名服務(wù)器n? 主要由運營商、ISP等基礎(chǔ)網(wǎng)絡(luò)運營商提供 ? 安全防護(hù)水平仍有待提高nn主要攻擊和威脅n拒絕服務(wù)攻擊 緩沖區(qū)中毒nn攻擊實例n遞歸域名服務(wù)器nn權(quán)威域名服務(wù)器nn2009年5月19日，域名服務(wù)商DNSPOD遭遇惡 意攻擊癱瘓，導(dǎo)致其服務(wù)對象暴風(fēng)影音等網(wǎng)站 用戶提交訪問無法找到正確服務(wù)器，最終導(dǎo)致 多省網(wǎng)絡(luò)故障。 2008年9月，國外報告稱中國網(wǎng)通用戶使用的 默認(rèn)DNS服務(wù)器的DNS緩存遭到病毒入侵。n*相關(guān)材料來自：互聯(lián)網(wǎng)絡(luò) 9nn

國家網(wǎng)絡(luò)信息安全技術(shù)研究所nn域名服務(wù)體系各個環(huán)節(jié)面臨的安全威脅n域名注冊服務(wù)n? 主要由各注冊服務(wù)商提供 ? 仍然存在安全問題nn主要攻擊和威脅n數(shù)據(jù)非法篡改nn遞歸域名服務(wù)器nn攻擊實例nn2010年1月12日，baidu.com域名在美國注冊 商處被非法篡改，導(dǎo)致搜索引擎百度無法訪問。nn權(quán)威域名服務(wù)器nn*相關(guān)材料來自：互聯(lián)網(wǎng)絡(luò) 10nn