8月26日消息,北龍中網攜域名注冊管理機構CNNIC發(fā)布國內首份《中國域名服務及安全現狀報告》,《報告》顯示,我國目前域名服務器總量近百萬,其中超過50%的域名服務器相對不安全,而我國57%的重要信息系統(tǒng)存在域名解析風險。
以下為《中國域名服務及安全現狀報告》全文:
報告摘要:
- 截至2010年8月10日,監(jiān)測到世界范圍內域名服務器總量為16,306,432個,其中權威域名服務器2,903,550個,遞歸域名服務器13,402,882個;钴S域名服務器數量為1,375,219個,其中權威域名服務器619,797個,遞歸域名服務器755,422個。
- 截至2010年8月10日,監(jiān)測到國內的域名服務器總量為978,713個,其中權威域名服務器107,540 個,遞歸域名服務器871,173 個。國內活躍域名服務器數量為67,235個,其中權威域名服務器19,281個,遞歸域名服務器47,954個。
- 國內的域名服務器大多分布在廣東、北京、中國臺灣、上海等互聯(lián)網發(fā)達的地區(qū)。其中排名前10的地區(qū)域名服務器總量占全國域名服務器總量的90%以上。
- 對國內的所有權威服務器進行掃描,統(tǒng)計發(fā)現,62%以上使用Unix/Linux系統(tǒng),95%以上使用ISC BIND軟件。國內的權威域名服務器中53%開啟了遞歸查詢功能,遠大于全球范圍內31%的比率,存在一定的安全隱患。
- 對國內的所有遞歸域名服務系統(tǒng)進行全面掃描,統(tǒng)計發(fā)現,55%以上使用了Unix/Linux系統(tǒng),94%以上使用ISC BIND軟件。
- 統(tǒng)計發(fā)現,國內超過4%的遞歸域名服務器端口隨機性較差,容易遭受DNS劫持攻擊,遠高于全球范圍0.98%的平均水平。
- 對國內重要信息系統(tǒng)所涉域名抽樣統(tǒng)計發(fā)現, 57%的域名解析服務處于有風險的狀態(tài),其中11.8%的域名因配置管理不當,處于較高風險狀態(tài)。
第一章 域名服務體系說明
域名(Domain Name)是由一串用點分隔的字符組成的互聯(lián)網名稱,是用于識別和定位互聯(lián)網上計算機的層次結構式字符標識,類似于互聯(lián)網上的門牌號碼。
域名系統(tǒng)(DNS)是逐級授權的分布式數據查詢系統(tǒng),主要用于完成域名到IP地址的翻譯轉換功能。絕大多數互聯(lián)網應用都基于域名系統(tǒng)開展,絕大多數互聯(lián)網通信都必須先通過域名系統(tǒng)完成域名到IP地址的尋址轉換。
圖1 域名系統(tǒng)的位置角色
域名服務體系包括提供域名服務的所有域名系統(tǒng),它包括兩大部分、四個環(huán)節(jié):即遞歸域名服務系統(tǒng),以及由根域名服務系統(tǒng)、頂級域名服務系統(tǒng)、和其他各級域名服務系統(tǒng)組成的權威域名解析服務體系。
圖2 域名服務體系的構成示意
域名服務體系中,根域名服務系統(tǒng)由ICANN授權的是十三家全球專業(yè)域名管理機構提供運營支持,頂級域名服務系統(tǒng)由ICANN簽約的商業(yè)機構、或各國政府授權的科研管理機構負責運行維護,因此這兩個環(huán)節(jié)的穩(wěn)定運行有所保障。
而大量的二級及二級以下權威域名服務器分散在域名持有者手中,由政府、企事業(yè)單位、商業(yè)網站、終端網民自我運行或托管在第三方;遞歸域名服務器一般由各網絡接入機構提供。這兩個環(huán)節(jié)是數量眾多、而安全狀況相對薄弱的兩個環(huán)節(jié),根據監(jiān)測和統(tǒng)計,兩個環(huán)節(jié)的活躍的服務器619,797臺套和755,422臺套,相對安全的服務器比例不足半數。其主要原因在于這兩個環(huán)節(jié)的服務器眾多、管理分散、規(guī)模有限,維護人員的技術水平也參差不齊,缺乏綜合專業(yè)的安全服務能力。