中国域名服务安全状况与态势分析报告

中国互联网络信息中心&互联网域名管理技术国家工程实验室 中国互联网络信息中心&互联网域名管理技术国家工程实验室 目录 专业术语表3 摘要4 1、前言5 2、域名服务安全状况5 2.1根域名服务2 2.1.1简介2 2.1.2系统软件3 2.1.3协议支持3 2.1.4服务性能4 2.2顶级域名服务5 2.2.1简介5 2.2.2系统软件5 2.2.3协议支持6 2.2.4服务性能6 2.3二级及以下权威域名服务8 2.3.1简介8 2.3.2系统软件8 2.3.3协议支持9 2.3.4服务性能9 2.3.5重点权威域名服务11 2.4递归域名服务14 2.4.1简介14 2.4.2系统软件14 2.4.3协议支持15 2.4.4服务性能16 2.4.5主要递归域名服务16 3、域名服务安全总体评估19 3.1权威域名服务20 3.2递归域名服务21 4、我国域名服务体系安全态势分析22 中国互联网络信息中心&互联网域名管理技术国家工程实验室 专业术语表 缩略语 英文全称 中文全称 AS AutonomousSystem 自治系统 ccTLD CountryCodeTopLevelDomain 国家与地区顶级域名 CDN ContentDeliveryNetwork 内容分发网络 DNS DomainNameSystem 域名系统 DNSSEC DNSSecurityExtensions 域名系统安全扩展 DDoS DistributedDenialofService 分布式拒绝服务攻击 EDNS0 ExtensionMechanismsforDNSVersion0 DNS的扩展名机制 gTLD GeneralTopLevelDomain 通用顶级域名 IANA InternetAssignedNumbersAuthority 互联网数字分配机构 ICANN InternetCorporationforAssignedNamesandNumbers 互联网名称与数字地址分配机构 IP InternetProtocol 网络之间互联的协议 IPv4 InternetProtocolversion4 互联网协议第四版本 IPv6 InternetProtocolversion6 互联网协议第六版本 ISC InternetSoftwareConsortium 互联网系统协会 NS NameServer 域名服务器 TCP TransmissionControlProtocol 传输控制协议 TLD TopLevelDomain 顶级域名 TTL TimeToLive 生存时间 UDP UserDatagramProtocol 用户数据报协议 中国互联网络信息中心&互联网域名管理技术国家工程实验室 摘要 2022年我国域名服务体系总体安全状况继续保持平稳提升态势，但部分环节 的安全问题依然存在。一是在根域名服务方面，年内新增26个根服务器镜像， 全球根服务器及服务器镜像总数达到1500个，我国大陆新增根镜像2个，地点分别为广西、重庆，总数量为22个。根域名服务对IPv6、DNSSEC、TCP等网络协议的支持率为100%。二是在顶级域名服务方面，截至年底全球顶级域名数量达到1497个，与去年基本持平，对IPv6、DNSSEC、TCP等网络协议的支持程度相比去年基本持平（其中IPv6支持率达到90.1%，DNSSEC支持率达到92.0%），对外服务性能继续提升，顶级域名安全配置趋于稳定。三是在二级及以下权威域名服务方面，我国二级及以下权威域名服务在IPv6、DNSSEC、TCP等网络协议支持方面进展仍然缓慢（其中IPv6支持率为12.8%，相比去年的4.0%有显著提升），而国内重点权威域名服务IPv6支持状况有大幅提升，达到了52.0%，也客观反映出近年来我国在IPv6部署工作推进方面成效显著。四是在递归域名服务方面，在DNSSEC、TCP等网络协议支持程度方面严重滞后（其中DNSSEC协议支持率仅有1.5%，仍然处在较低水平）。在对TCP和EDNS0协议的支持程度方面有一定进步，分别达到了52.2%和98.8%。，但国内主要递归域名服务在安全协议支持程度上远高于国内递归域名服务的平均水平，对TCP协议支持率达到98.6%。 关键词：DNS、安全态势、权威域名、递归域名、DNSSEC 中国互联网络信息中心&互联网域名管理技术国家工程实验室 1、前言 域名服务提供了从互联网域名到互联网IP地址的查询转换服务，是用户访问各种互联网应用所需要的一种基础服务，被视为整个互联网的入口。因此，域名服务安全直接影响到整个互联网的安全，是网络空间安全治理的一个重要方面。针对我国域名服务体系进行系统、全面的安全态势分析，将有助于我们更好的理解这项互联网基础服务的运营安全状况，增强对我国域名服务体系的安全管控能力，同时也可以借此更好的掌握网络空间的基础安全生态环境，发掘网络空间潜在的安全问题，以更好的支撑对网络空间的有序治理。 为了能够对我国域名服务体系的运行安全态势进行全面、有效的把握和研判，中国互联网络信息中心（CNNIC）基于自主建设的国家互联网基础资源大数据平台和态势感知平台，通过全球分布式部署的100多个监测节点，节点涵盖亚洲、美国、欧洲主要国家，实现了从安全、性能、故障、流量和配置等五个方面对我国域名服务体系下的根域、顶级域和二级及以下域名，以及递归域名服务的监测与分析，涵盖NS配置、服务时延趋势、端口随机程度、TCP/EDNS0/IPv6支持、DNSSEC和BIND版本等涉及域名服务安全的重点指标的自动化监测。此外，CNNIC依托平台相关数据对外发布2022年度域名安全态势报告，对域名服务系统各个环节的系统软件、协议支持、服务性能等涉及域名服务安全状况的关键要素分别进行了客观描述和历史趋势分析，在此基础上针对上述两大类别域名服务系统分别作了总体的安全量化评价，最后给出了2022年度我国域名安全态势的总体分析结论。 2、域名服务安全状况 本节介绍域名系统根、顶级、二级及以下权威和递归等四个环节在系统软件、协议支持和服务性能等涉及域名服务安全状况的关键方面的配置运行情况。 2.1根域名服务 2.1.1简介 根域名服务位于整个权威域名层级结构的最顶端，全球共设立了13个根服务器（10个位于美国，其它3个分别位于瑞典、荷兰和日本），分别由美国威瑞信公司、南加州大学信息科学研究所、美国CogentCommunications公司、美国马里兰大学学院市分校、美国航天航空管理局（NASA）、美国互联网系统联盟 （ISC）、美国国防部国防信息系统局、美国国防部陆军研究所、瑞典Netnod公司、荷兰RIPENCC、互联网名称与数字地址分配机构（ICANN）和日本WIDEProject等12家境外机构负责运营。 为保证其高可用性及抗攻击能力，自2002年以来，各根服务器在全球范围内进行了广泛的镜像部署，以此扩展其全球服务能力，提升其安全性。目前，13个根域名服务器均部署了不同数量的镜像服务器。截至2022年12月31日，全 球根服务器已共计部署镜像1500个（较去年同期新增26个）。图1所示为根域 名服务的服务器镜像数量历年变化情况。图2所示为2022年各根域名服务器的服务器镜像数量情况。 2022 2021 2020 2019 2018 2017 2016 2015 516 633 956 1044 1189 1320 1500 1474 图1.根域名服务器镜像数量历年变化情况（2015~2022） 400 350 300 250 328344 194 190 200 157 镜像数量 150 105 100 77 56 50 612 612 13 0 ABCDEFGHIJKLM 图2.各根域名服务器的服务器镜像数量情况（2022） 2.1.2系统软件 监测显示，目前所有的根域名服务器均使用Unix或者Linux作为其操作系统；在域名解析软件方面，大多数根域名服务器使用ISCBIND软件，也有个别服务器使用了NLnetLabsNSD和KnotDNS等其他软件。ISCBIND软件仍然是根域名服务器运营机构的首选，由于某些原因（例如高危漏洞、商业合作问题等）曾经在2018年临时被MeilofVeeningenPosadis替代作为过渡，问题解决后根域名服务器运营机构重新选择了ISCBIND软件，其地位仍然稳固。 2.1.3协议支持 由于在整个互联网中的这种特殊地位，加之其本身所固有的协议设计限制，域名服务系统一直是各种网络攻击行为的重要针对目标。随着网络攻击技术的不断发展以及DNS协议及软件漏洞的频繁曝出，攻击者已经大大缩短了域名劫持所需的时间。若要消除域名劫持风险，现行有效的解决方案就是部署DNSSEC验证服务，通过对DNS通信数据的数字签名验证来确信用户所接收到的数据是完整有效的。 作为DNSSEC信任链的根源，根域名服务系统是否支持DNSSEC验证服务对于整个域名服务系统的DNSSEC有效部署至关重要。监测显示，目前的根域名服务系统均已部署DNSSEC验证服务，数据加密算法为RSA/SHA-256。 此外，IPv6网络的普及离不开域名服务系统对IPv6的支持。目前，13个根域名服务器均已配置IPv6地址，从而实现了对IPv6查询的全面支持。随着DNSSEC和IPv6地址的推广使用，DNS应答数据包将逐步增大。在IPv4网络到IPv6网络的过渡期间，还会存在某些域名服务器同时使用IPv6和IPv4地址的情况，而传统的DNS数据包通过UDP数据包的形式进行传输，其大小被控制在512字节以内，无法满足大数据包的传输需求。因此，域名服务器在传输超过512字节的数据包时应开启EDNS0支持，或采用TCP代替UDP进行传输。监测结果显示，根域名服务系统均已支持TCP和EDNS0传输。 图3展示的是根域名服务的协议支持比例从2016-2022历年变化情况，可以 看出，根域名服务系统在协议支持程度方面已经基本趋于完善和稳定，DNSSEC、 IPv6和TCP支持率均为100%。 100.0 100.0 100.0 100.0 100.0 100.0 100.0 DNSSEC IPv6 TCP 2017 2018 2019 2020 2021 2022 图3.根域名服务协议支持率历年变化情况（%） 2.1.4服务性能 根域名服务处于整个域名服务体系的最顶端，其服务性能的高低直接影响到整个互联网应用的服务质量。目前，在全球已部署的1500个根镜像中，有22个位于我国大陆，2022年在工信部对设立域名根服务及域名根服务运行机构进行审批后，新增加2个根镜像服务器。其中通过对国内每个省发起互联网查询得到平均时延统计，得到我国互联网用户对根域名服务的平均查询时延历年变化趋势如图4所示。可以看出，在中国大陆地区部署有镜像服务器的A、F、I、J、L和K根，其平均查询时延相比其他根域名服务器明显较短，而且相比去年解析时延也明显缩短。因此，根服务器镜像的引入，可以有效提高国内根域名服务质量，整体改善网民上网体验，增强我国常态下的域名服务保障能力。 201720182019202020212022 275 263249 145 199 160 195189 192212200 230 209 157 173 120 66 38 80 58 30 72 50 24 图4.根域名服务平均查询时延历年变化情况（毫秒） 整体而言，根域名服务在协议支持方面已经趋于完备，在全球服务性能方面一直在持续提升，然而我国的根镜像数量依然较少，与国内庞大的互联网用户规模不匹配，根域名的服务能力仍有较大改善提升空间。本报告倡议国内相关机构 进一步推动更多数量的根域名服务器镜像在国内的引入部署，以提升整个国内互联网基础资源安全保障水平。 2.2顶级域名服务 2.2.1简介 顶级域名服务位于整个域名服务体系的