美女高潮潮喷出白浆视频,欧美村妇激情内射,日本少妇被爽到高潮无码,CHINESE猛男自慰GV

(電子商務(wù)研究中心訊)　　報(bào)告摘要：

　　-截至2010年8月10日，監(jiān)測(cè)到世界范圍內(nèi)域名服務(wù)器總量為16,306,432個(gè)，其中權(quán)威域名服務(wù)器2,903,550個(gè)，遞歸域名服務(wù)器13,402,882個(gè)?；钴S域名服務(wù)器數(shù)量為1,375,219個(gè)，其中權(quán)威域名服務(wù)器619,797個(gè)，遞歸域名服務(wù)器755,422個(gè)。

　　-截至2010年8月10日，監(jiān)測(cè)到國(guó)內(nèi)的域名服務(wù)器總量為978,713個(gè)，其中權(quán)威域名服務(wù)器107,540個(gè)，遞歸域名服務(wù)器871,173個(gè)。國(guó)內(nèi)活躍域名服務(wù)器數(shù)量為67,235個(gè)，其中權(quán)威域名服務(wù)器19,281個(gè)，遞歸域名服務(wù)器47,954個(gè)。

　　-國(guó)內(nèi)的域名服務(wù)器大多分布在廣東、北京、中國(guó)臺(tái)灣、上海等互聯(lián)網(wǎng)發(fā)達(dá)的地區(qū)。其中排名前10的地區(qū)域名服務(wù)器總量占全國(guó)域名服務(wù)器總量的90%以上。

　　-對(duì)國(guó)內(nèi)的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計(jì)發(fā)現(xiàn)，62%以上使用Unix/Linux系統(tǒng)，95%以上使用ISC BIND軟件。國(guó)內(nèi)的權(quán)威域名服務(wù)器中53%開啟了遞歸查詢功能，遠(yuǎn)大于全球范圍內(nèi)31%的比率，存在一定的安全隱患。

　　-對(duì)國(guó)內(nèi)的所有遞歸域名服務(wù)系統(tǒng)進(jìn)行全面掃描，統(tǒng)計(jì)發(fā)現(xiàn)，55%以上使用了Unix/Linux系統(tǒng)，94%以上使用ISC BIND軟件。

　　-統(tǒng)計(jì)發(fā)現(xiàn)，國(guó)內(nèi)超過4%的遞歸域名服務(wù)器端口隨機(jī)性較差，容易遭受DNS劫持攻擊，遠(yuǎn)高于全球范圍0.98%的平均水平。

　　-對(duì)國(guó)內(nèi)重要信息系統(tǒng)所涉域名抽樣統(tǒng)計(jì)發(fā)現(xiàn)，57%的域名解析服務(wù)處于有風(fēng)險(xiǎn)的狀態(tài)，其中11.8%的域名因配置管理不當(dāng)，處于較高風(fēng)險(xiǎn)狀態(tài)。

　　第一章域名服務(wù)體系說明

　　域名(Domain Name)是由一串用點(diǎn)分隔的字符組成的互聯(lián)網(wǎng)名稱，是用于識(shí)別和定位互聯(lián)網(wǎng)上計(jì)算機(jī)的層次結(jié)構(gòu)式字符標(biāo)識(shí)，類似于互聯(lián)網(wǎng)上的門牌號(hào)碼。

　　域名系統(tǒng)(DNS)是逐級(jí)授權(quán)的分布式數(shù)據(jù)查詢系統(tǒng)，主要用于完成域名到IP地址的翻譯轉(zhuǎn)換功能。絕大多數(shù)互聯(lián)網(wǎng)應(yīng)用都基于域名系統(tǒng)開展，絕大多數(shù)互聯(lián)網(wǎng)通信都必須先通過域名系統(tǒng)完成域名到IP地址的尋址轉(zhuǎn)換。

圖1域名系統(tǒng)的位置角色

　　域名服務(wù)體系包括提供域名服務(wù)的所有域名系統(tǒng)，它包括兩大部分、四個(gè)環(huán)節(jié)：即遞歸域名服務(wù)系統(tǒng)，以及由根域名服務(wù)系統(tǒng)、頂級(jí)域名服務(wù)系統(tǒng)、和其他各級(jí)域名服務(wù)系統(tǒng)組成的權(quán)威域名解析服務(wù)體系。

圖2域名服務(wù)體系的構(gòu)成示意

　　域名服務(wù)體系中，根域名服務(wù)系統(tǒng)由ICANN授權(quán)的是十三家全球?qū)I(yè)域名管理機(jī)構(gòu)提供運(yùn)營(yíng)支持，頂級(jí)域名服務(wù)系統(tǒng)由ICANN簽約的商業(yè)機(jī)構(gòu)、或各國(guó)政府授權(quán)的科研管理機(jī)構(gòu)負(fù)責(zé)運(yùn)行維護(hù)，因此這兩個(gè)環(huán)節(jié)的穩(wěn)定運(yùn)行有所保障。

　　而大量的二級(jí)及二級(jí)以下權(quán)威域名服務(wù)器分散在域名持有者手中，由政府、企事業(yè)單位、商業(yè)網(wǎng)站、終端網(wǎng)民自我運(yùn)行或托管在第三方；遞歸域名服務(wù)器一般由各網(wǎng)絡(luò)接入機(jī)構(gòu)提供。這兩個(gè)環(huán)節(jié)是數(shù)量眾多、而安全狀況相對(duì)薄弱的兩個(gè)環(huán)節(jié)，根據(jù)監(jiān)測(cè)和統(tǒng)計(jì)，兩個(gè)環(huán)節(jié)的活躍的服務(wù)器619,797臺(tái)套和755,422臺(tái)套，相對(duì)安全的服務(wù)器比例不足半數(shù)。其主要原因在于這兩個(gè)環(huán)節(jié)的服務(wù)器眾多、管理分散、規(guī)模有限，維護(hù)人員的技術(shù)水平也參差不齊，缺乏綜合專業(yè)的安全服務(wù)能力。

　　第二章域名服務(wù)體系監(jiān)測(cè)結(jié)果

　　一、根域名服務(wù)系統(tǒng)

　　根服務(wù)器的分布情況對(duì)互聯(lián)網(wǎng)的訪問性能有很大的影響。截至目前，全球域名系統(tǒng)13個(gè)根服務(wù)器在全球的鏡像服務(wù)器數(shù)量共206個(gè)。根服務(wù)器及其鏡像在歐洲有72個(gè)、美國(guó)51個(gè)、亞洲45個(gè)，中國(guó)大陸有F根、I根和J根的鏡像服務(wù)器。

　　表1根域名服務(wù)器及其鏡像的基本狀況

*表示在國(guó)內(nèi)有鏡像服務(wù)

　　二、頂級(jí)域服務(wù)系統(tǒng)

　　(一)總體情況

　　根據(jù)國(guó)際互聯(lián)網(wǎng)域名體系的構(gòu)成，頂級(jí)域名分為三類：通用頂級(jí)域名(gTLD，General Top Level Domain)、國(guó)家與地區(qū)頂級(jí)域名(ccTLD，Country Code Top Level Domain)和基礎(chǔ)設(shè)施類頂級(jí)域(目前僅有.arpa)。其中通用頂級(jí)域gTLD共有20個(gè)，可細(xì)分為組織主辦類(Sponsored)13個(gè)，通用類(Generic)4個(gè)，及限制通用類(Generic-restricted)3個(gè)。國(guó)家與地區(qū)頂級(jí)域共計(jì)260個(gè)(包含“.中國(guó)”等新增的頂級(jí)域)，另外還有實(shí)驗(yàn)性頂級(jí)域11個(gè)，共計(jì)292個(gè)頂級(jí)域。

　　(二)軟件版本類型

　　一般頂級(jí)域的運(yùn)營(yíng)者都比較注重系統(tǒng)的安全性，統(tǒng)計(jì)發(fā)現(xiàn)，操作系統(tǒng)69%以上都采用開源Linux，相對(duì)穩(wěn)定性較高。也可以發(fā)現(xiàn)Windows的使用率約占20%。

圖3頂級(jí)域服務(wù)系統(tǒng)操作系統(tǒng)類型分布

　　對(duì)頂級(jí)域服務(wù)系統(tǒng)使用的域名服務(wù)器進(jìn)行探測(cè)掃描，統(tǒng)計(jì)發(fā)現(xiàn)95%以上使用開源軟件ISC BIND。

　　表2頂級(jí)域服務(wù)系統(tǒng)所用域名解析軟件分類

三、二級(jí)及以下權(quán)威域名服務(wù)系統(tǒng)

　　(一)地域分布

　　統(tǒng)計(jì)發(fā)現(xiàn)，擁有權(quán)威服務(wù)器較多的省份為中國(guó)臺(tái)灣、香港、北京等互聯(lián)網(wǎng)較為發(fā)達(dá)的省市地區(qū)。以下圖中十個(gè)地區(qū)的權(quán)威服務(wù)器數(shù)量占全國(guó)權(quán)威服務(wù)器總量的91%以上。

圖4權(quán)威域名服務(wù)系統(tǒng)地域分布

　　(二)所屬運(yùn)營(yíng)商

　　在對(duì)國(guó)內(nèi)其他各級(jí)域名服務(wù)系統(tǒng)進(jìn)行監(jiān)測(cè)的同時(shí)，對(duì)這些權(quán)威服務(wù)器在各大運(yùn)營(yíng)商的分布狀況進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)中國(guó)主流運(yùn)營(yíng)商擁有的權(quán)威服務(wù)器數(shù)量占中國(guó)各級(jí)域名服務(wù)系統(tǒng)的50%以上。

圖5權(quán)威域名服務(wù)系統(tǒng)運(yùn)營(yíng)商分布

　　(三)軟件版本類型

　　對(duì)國(guó)內(nèi)各級(jí)域名服務(wù)系統(tǒng)中的所有權(quán)威服務(wù)器進(jìn)行掃描，統(tǒng)計(jì)發(fā)現(xiàn)，62%以上的域名服務(wù)器使用開源的Linux系統(tǒng)，Microsoft Windows操作系統(tǒng)所占比例在36%左右。

圖6權(quán)威域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布

　　對(duì)國(guó)內(nèi)各級(jí)域名服務(wù)系統(tǒng)中的所有權(quán)威域名服務(wù)器進(jìn)行探測(cè)，其中95%以上的域名服務(wù)器使用開源的ISC BIND軟件，國(guó)外權(quán)威域名服務(wù)系統(tǒng)中ISC BIND使用率約為93%。

　　表3國(guó)內(nèi)權(quán)威域名服務(wù)系統(tǒng)域名解析軟件分類

    (四)協(xié)議支持程度

　　中國(guó)各級(jí)域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界各級(jí)域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，支持TCP查詢的比例略低于世界水平，中國(guó)各級(jí)域名服務(wù)系統(tǒng)支持EDNS0的比例略高于世界平均值。

　　中國(guó)各級(jí)域名服務(wù)系統(tǒng)中的權(quán)威域名服務(wù)器中，53%開啟了遞歸查詢功能，遠(yuǎn)大于世界各級(jí)域名服務(wù)器31%的遞歸功能開啟比率，存在一定的安全隱患，這說明中國(guó)的各級(jí)域名服務(wù)系統(tǒng)配置方式存在問題。

圖7權(quán)威域名服務(wù)系統(tǒng)協(xié)議支持程度

　　四、遞歸域名服務(wù)系統(tǒng)

　　(一)地域分布

　　中國(guó)境內(nèi)的遞歸域名服務(wù)器大多分布在廣東、北京、中國(guó)臺(tái)灣、上海等互聯(lián)網(wǎng)發(fā)達(dá)的地區(qū)。下圖中十個(gè)地區(qū)的遞歸服務(wù)器總量占全國(guó)遞歸服務(wù)器總量的88%以上。

圖8遞歸域名服務(wù)系統(tǒng)地域分布

　　(二)所屬運(yùn)營(yíng)商

　　對(duì)中國(guó)境內(nèi)的遞歸域名服務(wù)器進(jìn)行運(yùn)營(yíng)商級(jí)的細(xì)化，62%以上的遞歸域名服務(wù)器分布在中國(guó)主流的運(yùn)營(yíng)商內(nèi)，其中中國(guó)電信擁有的遞歸服務(wù)器數(shù)量最多，占全國(guó)遞歸域名服務(wù)器總量的21%以上。

圖9遞歸域名服務(wù)系統(tǒng)運(yùn)營(yíng)商分布

　　(三)軟件版本類型

　　對(duì)中國(guó)遞歸域名服務(wù)系統(tǒng)進(jìn)行全面掃描，統(tǒng)計(jì)發(fā)現(xiàn)，超過55%的遞歸域名服務(wù)器運(yùn)行在Linux等開源系統(tǒng)上，28%左右的遞歸域名服務(wù)運(yùn)行在Microsoft Windows操作系統(tǒng)上。

圖10遞歸域名服務(wù)系統(tǒng)操作系統(tǒng)類型分布

　　在對(duì)中國(guó)遞歸域名服務(wù)系統(tǒng)進(jìn)行統(tǒng)計(jì)分析時(shí)，發(fā)現(xiàn)94%以上都采用的開源軟件ISC BIND，國(guó)外遞歸域名服務(wù)系統(tǒng)中ISC BIND使用率約為86%。

　　表4國(guó)內(nèi)遞歸域名服務(wù)系統(tǒng)域名解析軟件分類

    (四)協(xié)議支持程度

　　中國(guó)遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況與世界遞歸域名服務(wù)系統(tǒng)的協(xié)議支持情況相比，中國(guó)遞歸服務(wù)器的協(xié)議支持程度與世界平均水平保持一致。

圖11遞歸域名服務(wù)系統(tǒng)協(xié)議支持程度

　　(五)遞歸域名服務(wù)器端口隨機(jī)性

　　遞歸域名服務(wù)器對(duì)外發(fā)起查詢使用的客戶端端口的隨機(jī)性對(duì)域名解析的安全程度具有很大影響，端口隨機(jī)算法如果不夠安全，會(huì)使域名服務(wù)器容易遭受緩存中毒攻擊，著名的卡明斯基漏洞就是利用遞歸服務(wù)器的客戶端端口弱隨機(jī)性發(fā)起的攻擊。統(tǒng)計(jì)發(fā)現(xiàn)，中國(guó)超過4%的遞歸域名服務(wù)器端口隨機(jī)性較差，容易遭受DNS劫持攻擊，遠(yuǎn)高于世界范圍的0.98%。

　　圖12遞歸域名服務(wù)系統(tǒng)端口隨機(jī)程度分布

　　第三章國(guó)內(nèi)重點(diǎn)權(quán)威域名安全抽樣

　　重要信息系統(tǒng)涉及域名數(shù)量眾多，根據(jù)重點(diǎn)域名的訪問量及其服務(wù)范圍，抽樣調(diào)查了各行業(yè)的域名，主要來(lái)自政府機(jī)構(gòu)、金融機(jī)構(gòu)、教育機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營(yíng)商以及涉及到國(guó)計(jì)民生的各個(gè)行業(yè)。統(tǒng)計(jì)發(fā)現(xiàn)57%的重點(diǎn)域名解析服務(wù)處于有風(fēng)險(xiǎn)的狀態(tài)，只有11%的域名解析服務(wù)安全等級(jí)為良好?！?/p>

圖13重點(diǎn)域名安全狀況分布

　　通過對(duì)各行業(yè)的域名安全狀況進(jìn)行分析，教育機(jī)構(gòu)的域名服務(wù)系統(tǒng)安全性最差，80%以上的域名解析服務(wù)處于有風(fēng)險(xiǎn)狀態(tài)。

圖14各行業(yè)重點(diǎn)域名安全等級(jí)分布

　　經(jīng)過對(duì)重點(diǎn)域名列表進(jìn)行掃描監(jiān)測(cè)，統(tǒng)計(jì)發(fā)現(xiàn)，74%的域名配置了兩臺(tái)以上的域名服務(wù)器，但是這些配置兩臺(tái)以上域名服務(wù)器的域名中又有超過23%的域名服務(wù)器位于同一個(gè)網(wǎng)段內(nèi)。

　　域名服務(wù)器作為權(quán)威服務(wù)器，應(yīng)該將遞歸功能關(guān)閉，否則會(huì)存在安全隱患，通過統(tǒng)計(jì)分析發(fā)現(xiàn)，重點(diǎn)域名列表中有40%的域名服務(wù)器將遞歸功能開啟，增加了被攻擊的風(fēng)險(xiǎn)。

圖15重點(diǎn)域名服務(wù)器遞歸功能開放統(tǒng)計(jì)

　　權(quán)威服務(wù)器所用軟件類型及版本將從很大程度上影響到域名服務(wù)器的安全性，通過對(duì)中國(guó)重點(diǎn)域名所使用的軟件版本類型信息進(jìn)行監(jiān)測(cè)和統(tǒng)計(jì)，發(fā)現(xiàn)75%的域名服務(wù)器使用開源軟件ISC BIND，且在使用ISC BIND的域名服務(wù)器中14.93%以上的BIND版本過低，存在嚴(yán)重的安全隱患。

　　表5中國(guó)重點(diǎn)域名所用軟件類別

    第四章DNSSec及全球?qū)嵤顩r

　　DNS域名服務(wù)系統(tǒng)作為互聯(lián)網(wǎng)服務(wù)的重要基礎(chǔ)設(shè)施，其設(shè)計(jì)之初就存在嚴(yán)重的協(xié)議安全漏洞，近年來(lái)針對(duì)這些安全漏洞的網(wǎng)絡(luò)攻擊給DNS和互聯(lián)網(wǎng)帶來(lái)了巨大的損失。為此IETF成立了工作組專門研究DNSSec安全擴(kuò)展協(xié)議(DNS Security Extensions)，并推出了一系列的RFC標(biāo)準(zhǔn)，從概念、協(xié)議設(shè)計(jì)、報(bào)文格式、加密算法及密鑰管理等方面完善了原有DNS體系的不足之處，從而形成一整套的DNSSec解決方案。

　　分析DNSSec的技術(shù)原理可發(fā)現(xiàn)，該解決方案遵循了如下目標(biāo)和設(shè)計(jì)原則：

　　-為DNS解析服務(wù)提供數(shù)據(jù)源身份認(rèn)證和對(duì)數(shù)據(jù)完整性驗(yàn)證；

　　-由于DNS是一個(gè)公共的網(wǎng)絡(luò)服務(wù)基礎(chǔ)設(shè)施，不能強(qiáng)制進(jìn)行訪問控制或者數(shù)據(jù)加密；

　　- DNSSec協(xié)議需要與原有DNS協(xié)議兼容；

　　-支持增量部署；

　　部署了DNSSEC的權(quán)威域名服務(wù)器在應(yīng)答查詢請(qǐng)求時(shí)，首先使用哈希算法計(jì)算應(yīng)答報(bào)文的摘要，再將此摘要用自己的私鑰加密生成簽名后存儲(chǔ)到報(bào)文中；查詢方收到應(yīng)答報(bào)文，利用權(quán)威服務(wù)器的公鑰解密簽名獲得摘要，再將此摘要與從報(bào)文數(shù)據(jù)計(jì)算出的摘要進(jìn)行對(duì)比來(lái)完成數(shù)據(jù)的完整性驗(yàn)證。如果數(shù)據(jù)完整性驗(yàn)證成功，則也同時(shí)完成了對(duì)數(shù)據(jù)源(權(quán)威域名服務(wù)器)的身份認(rèn)證，否則認(rèn)識(shí)身份認(rèn)證失敗。為了解決以安全的方式分發(fā)公鑰所面臨的挑戰(zhàn)，使用了“信任鏈”的方法，所有DNS認(rèn)證過程的信任錨點(diǎn)均為根域名服務(wù)器。

圖16 DNSSec簽名認(rèn)證過程

　　自2010年7月15日根正式提供DNSSec服務(wù)之后，實(shí)施DNSSec的頂級(jí)域數(shù)量逐漸增多，截至2010年8月13日，已有37個(gè)頂級(jí)域部署了DNSSec，約占頂級(jí)域總量的13%。這些實(shí)施了DNSSec的頂級(jí)域中，有7個(gè)通用頂級(jí)域名，19國(guó)家與地區(qū)頂級(jí)域名，11個(gè)實(shí)驗(yàn)性頂級(jí)域名。

　　表6 TLD實(shí)施DNSSec統(tǒng)計(jì)

　　在對(duì)區(qū)進(jìn)行分布式監(jiān)測(cè)時(shí)，還同時(shí)檢驗(yàn)了實(shí)施DNSSec所用的密鑰算法，經(jīng)過統(tǒng)計(jì)發(fā)現(xiàn)95.43%的密鑰使用的RSA/SHA-1算法，3.95%使用的RSA-NSEC3-SHA1算法。

　　表7 DNSSec所用密鑰算法統(tǒng)計(jì)

    目前根域名服務(wù)體系已經(jīng)實(shí)施DNSSec，頂級(jí)域以及其他各級(jí)域名服務(wù)系統(tǒng)也紛紛將DNSSec的部署實(shí)施納入章程。為了確保中國(guó)互聯(lián)網(wǎng)的安全，國(guó)內(nèi)各域名服務(wù)提供主體要重視DNSSec的部署和實(shí)施工作，同時(shí)密切關(guān)注國(guó)外域名服務(wù)主體實(shí)施DNSSec遇到的困難和問題，并結(jié)合中國(guó)國(guó)情探索有利于中國(guó)互聯(lián)網(wǎng)健康發(fā)展的安全之路。

　　通過分析DNSSec的技術(shù)實(shí)現(xiàn)原理以及國(guó)外DNSSec實(shí)施案例，發(fā)現(xiàn)國(guó)內(nèi)部署實(shí)施DNSSec將面臨如下困難和問題：

　　第一，缺乏最佳的實(shí)踐指導(dǎo)，各域名服務(wù)提供主體對(duì)DNSSec的實(shí)施方式尚未有統(tǒng)一認(rèn)識(shí)。由于DNSSec尚未廣泛部署，對(duì)即將面對(duì)的問題缺乏最佳的解決經(jīng)驗(yàn)。

　　第二，部署實(shí)施DNSSec需要一系列技術(shù)性要求較高的專用設(shè)備，如密鑰管理設(shè)備、簽名設(shè)備等，市場(chǎng)上缺乏成熟的產(chǎn)品。

　　第二，實(shí)施DNSSec對(duì)域名解析系統(tǒng)有更高的要求，需要擴(kuò)充域名解析系統(tǒng)的計(jì)算資源和存儲(chǔ)能力以保證解析效率。

　　第三，由于部署DNSSec、實(shí)施EDNS0會(huì)使得DNS數(shù)據(jù)包增大，超過傳統(tǒng)的512字節(jié)，增大網(wǎng)絡(luò)流量，擴(kuò)展的DNS數(shù)據(jù)包有可能超過路徑最大傳輸單元(PMTU)，發(fā)生丟包現(xiàn)象。

　　第四，部署實(shí)施DNSSec需要技術(shù)人員對(duì)DNS體系、加密算法等十分精通，國(guó)外實(shí)施DNSSec時(shí)因配置失誤導(dǎo)致域名解析故障屢有發(fā)生。國(guó)內(nèi)具備這些能力的專業(yè)技術(shù)人員嚴(yán)重缺乏。

　　第五，實(shí)施DNSSec可能增大DDoS攻擊的成功率，因?yàn)镈NS響應(yīng)數(shù)據(jù)包增大，使得黑客更容易利用DNS系統(tǒng)形成放大攻擊或反射攻擊。

　　第五章域名服務(wù)風(fēng)險(xiǎn)分析和安全建議

　　域名服務(wù)包含了權(quán)威域名服務(wù)和遞歸域名服務(wù)，服務(wù)的正確、安全和可靠運(yùn)行對(duì)于整個(gè)互聯(lián)網(wǎng)的發(fā)展和建設(shè)來(lái)說至關(guān)重要。分析發(fā)現(xiàn)，國(guó)內(nèi)域名服務(wù)在配置管理和運(yùn)行維護(hù)方面均存在不同程度的安全隱患，域名服務(wù)系統(tǒng)面臨的風(fēng)險(xiǎn)以及安全防范建議如下：

　　風(fēng)險(xiǎn)一：信息更改或過期：各級(jí)域名解析系統(tǒng)通常與域名注冊(cè)、WHOIS等系統(tǒng)協(xié)調(diào)工作，任一環(huán)節(jié)的漏洞都可能被黑客利用，篡改域名解析數(shù)據(jù)。權(quán)威域名解析服務(wù)的主服務(wù)器或輔服務(wù)器如因配置不當(dāng)，也容易被攻擊，造成權(quán)威解析服務(wù)故障。

　　防范建議：確保域名解析服務(wù)的獨(dú)立性，運(yùn)行域名解析服務(wù)的服務(wù)器上不能同時(shí)開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供。

　　風(fēng)險(xiǎn)二：DNS系統(tǒng)應(yīng)用程序崩潰：域名解析服務(wù)系統(tǒng)所用軟件極其重要，如因配置不當(dāng)或升級(jí)延遲，軟件存在的漏洞容易被黑客利用。近年來(lái)開源軟件BIND被廣泛使用，一旦該軟件出現(xiàn)嚴(yán)重安全漏洞，互聯(lián)網(wǎng)服務(wù)體系將面臨災(zāi)難性崩潰。

　　防范建議：采用安全的操作系統(tǒng)平臺(tái)和域名解析軟件，并關(guān)注軟件商發(fā)布的最新安全漏洞，定期升級(jí)軟件系統(tǒng)。

　　風(fēng)險(xiǎn)三：域名劫持(Domain Name Hijacking)：通過各種攻擊手段控制了域名管理密碼和域名管理郵箱，然后將該域名的NS紀(jì)錄指向到黑客可以控制的DNS服務(wù)器，然后通過在該DNS服務(wù)器上添加相應(yīng)域名紀(jì)錄，從而使網(wǎng)民訪問該域名時(shí)，進(jìn)入了黑客所指向的內(nèi)容。值得注意的是：域名被劫持后，不僅網(wǎng)站內(nèi)容會(huì)被改變，甚至?xí)?dǎo)致域名所有權(quán)也旁落他人。如果是國(guó)內(nèi)的CN域名被劫持，還可以通過和注冊(cè)服務(wù)商或注冊(cè)管理機(jī)構(gòu)聯(lián)系，較快地拿回控制權(quán)。如果是國(guó)際域名被劫持，而且又是通過國(guó)際注冊(cè)商注冊(cè)，那么其復(fù)雜的解決流程，再加上非本地化的服務(wù)，會(huì)使得奪回域名變得異常復(fù)雜。

　　防范建議1：選擇安全性高、服務(wù)便捷的域名注冊(cè)服務(wù)機(jī)構(gòu)和域名注冊(cè)管理機(jī)構(gòu)；

　　防范建議2：隱藏域名解析軟件及操作系統(tǒng)等版本信息；

　　防范建議3：限制域名區(qū)文件的傳送權(quán)限；

　　風(fēng)險(xiǎn)四：中間人攻擊(Man in the Middle Attack)：中間人攻擊，是攻擊者冒充域名服務(wù)器的一種欺騙行為，它主要用于向主機(jī)提供錯(cuò)誤DNS信息。中間人攻擊大多數(shù)本質(zhì)都是被動(dòng)，其檢測(cè)和防御十分困難。

　　防范建議1：使用入侵檢測(cè)系統(tǒng)，盡可能的檢測(cè)出中間人攻擊行為；

　　防范建議2：需對(duì)域名服務(wù)器邊界網(wǎng)絡(luò)設(shè)備的流量、數(shù)據(jù)包進(jìn)行監(jiān)控，監(jiān)控方式可基于監(jiān)聽、SNMP、NetFlow等網(wǎng)管技術(shù)和協(xié)議；

　　防范建議3：對(duì)域名服務(wù)協(xié)議是否正常進(jìn)行監(jiān)控，即利用對(duì)應(yīng)的服務(wù)協(xié)議或采用相應(yīng)的測(cè)試工具向服務(wù)端口發(fā)起模擬請(qǐng)求，分析服務(wù)器返回的結(jié)果，以判斷當(dāng)前服務(wù)是否正常以及內(nèi)存數(shù)據(jù)是否變動(dòng)。在條件允許的情況下，在不同網(wǎng)絡(luò)內(nèi)部部署多個(gè)探測(cè)點(diǎn)分布式監(jiān)控；

　　防范建議4：部署實(shí)施DNSSec；

　　風(fēng)險(xiǎn)五：NSEC游走：早期的DNSSec使用NSEC方案，會(huì)造成區(qū)文件被遍歷、枚舉，從而泄露所管理的域名解析數(shù)據(jù)，既是商業(yè)數(shù)據(jù)的泄露，也容易成為黑客攻擊的靶子。

　　防范建議1：采用NSEC3方案解決該問題；

　　風(fēng)險(xiǎn)六：分布式拒絕服務(wù)攻擊(DDoS Attack)：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的更有效的攻擊方式。其攻擊手段往往是攻擊者組織大量的傀儡機(jī)同時(shí)向域名服務(wù)器發(fā)送大量查詢報(bào)文，這些報(bào)文看似完全符合規(guī)則，但往往需要DNS服務(wù)器花費(fèi)大量時(shí)間進(jìn)行查詢，從而使DNS癱瘓。2009年5月19日全國(guó)大面積斷網(wǎng)事件起因即為DDoS攻擊。

　　防范建議1：提供域名服務(wù)的服務(wù)器數(shù)量應(yīng)不低于2臺(tái)，建議獨(dú)立的名字服務(wù)器數(shù)量為5臺(tái)。并且建議將服務(wù)器部署在不同的物理網(wǎng)絡(luò)環(huán)境中；

　　防范建議2：限制遞歸服務(wù)的服務(wù)范圍；

　　防范建議3：利用流量分析等工具檢測(cè)出DDoS攻擊行為，以便及時(shí)采取應(yīng)急措施；

　　防范建議4：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對(duì)這類型的攻擊；

　　風(fēng)險(xiǎn)七：緩存窺探(Cache Snooping)：DNS緩存窺探是一個(gè)確定某一個(gè)資源記錄是否存在于一個(gè)特定的DNS緩存中的過程。通過這個(gè)過程攻擊者可以得到一些信息，例如解析器處理了哪些域名查詢。攻擊者通常利用緩存窺探尋找可攻擊對(duì)象。

　　防范建議：限制遞歸服務(wù)的服務(wù)范圍，僅允許特定網(wǎng)段的用戶使用遞歸服務(wù)。

　　風(fēng)險(xiǎn)八：緩存中毒(或DNS欺騙)(Cache Poisoning or DNS Spoofing)：通過向DNS服務(wù)器注入非法網(wǎng)絡(luò)域名地址實(shí)現(xiàn)緩存中毒攻擊，對(duì)該類安全威脅的檢測(cè)十分困難。利用該漏洞輕則可以讓用戶無(wú)法打開網(wǎng)頁(yè)，重則是網(wǎng)絡(luò)釣魚和金融詐騙，給受害者造成巨大損失。由于軟件實(shí)現(xiàn)技術(shù)水平參差不齊，端口、報(bào)文ID隨機(jī)算法落后的域名服務(wù)器容易遭受緩存中毒攻擊。

　　防范建議1：對(duì)重要域名的解析結(jié)果進(jìn)行重點(diǎn)監(jiān)測(cè)，一旦發(fā)現(xiàn)解析數(shù)據(jù)有變化能夠及時(shí)給出告警提示；

　　防范建議2：部署實(shí)施DNSSec；

　　風(fēng)險(xiǎn)九：DNS放大、反射攻擊：目前的DDoS攻擊通常與“DNS放大攻擊”和“DNS反射攻擊”配合實(shí)施。在這兩類攻擊中，DNS服務(wù)器往往不受攻擊目標(biāo)，而是充當(dāng)了無(wú)辜的被利用者的角色。這種攻擊向互聯(lián)網(wǎng)上的一系列無(wú)辜的第三方DNS服務(wù)器發(fā)送小的和欺騙性的詢問信息。這些DNS服務(wù)器隨后將向表面上是提出查詢的那臺(tái)服務(wù)器發(fā)回大量的回復(fù)，導(dǎo)致通訊流量的放大并且最終導(dǎo)致攻擊目標(biāo)癱瘓。提供遞歸域名解析服務(wù)的主體需要控制服務(wù)范圍，盡可能的避免提供開放遞歸服務(wù)，并借助于流量分析監(jiān)測(cè)等手段發(fā)現(xiàn)潛在的DDos攻。

　　防范建議1：利用流量分析等工具檢測(cè)出攻擊行為；

　　防范建議2：在域名服務(wù)系統(tǒng)周圍部署抗攻擊設(shè)備，應(yīng)對(duì)這類型的攻擊；

　　此外，為了加強(qiáng)域名服務(wù)的安全可靠性，域名服務(wù)部署時(shí)，需要考慮單節(jié)點(diǎn)故障問題。所涉及的路由器、交換機(jī)等均需要有冗余備份能力，建立完善的數(shù)據(jù)備份機(jī)制和日志管理系統(tǒng)。應(yīng)保留最新的3個(gè)月的全部解析日志。并且建議對(duì)重要的域名信息系統(tǒng)采取7×24的維護(hù)機(jī)制保障。應(yīng)急響應(yīng)到場(chǎng)時(shí)間不能遲于30分鐘。

　　附錄1術(shù)語(yǔ)定義

　　- DNS：全稱為Domain Name System，即域名服務(wù)系統(tǒng)，是互聯(lián)網(wǎng)的重要基礎(chǔ)設(shè)施，完成了域名到IP地址的映射功能。

　　- IP：網(wǎng)絡(luò)地址，標(biāo)示互聯(lián)網(wǎng)上的每一臺(tái)主機(jī)。

　　- TCP：Transmission Control Protocol，傳輸控制協(xié)議，是一種面向連接的、可靠的、基于字節(jié)流的運(yùn)輸層通信協(xié)議。

　　- UDP：User Datagram Protocol，用戶數(shù)據(jù)包協(xié)議，是一種無(wú)連接的傳輸層通信協(xié)議。

　　- DNSSec：DNS安全擴(kuò)展協(xié)議，在傳統(tǒng)DNS基礎(chǔ)上提供數(shù)據(jù)源認(rèn)證和完整性檢查。

　　- EDNS0：DNS擴(kuò)展協(xié)議第一個(gè)版本，實(shí)施DNSSec所必需的重要協(xié)議。

　　- ccTLD：Country Code Top Level Domain，國(guó)家及地區(qū)頂級(jí)域名。

　　- gTLD：Generic top-level domain，通用頂級(jí)域名。

　　-根域名服務(wù)器：是互聯(lián)網(wǎng)域名解析系統(tǒng)中最高級(jí)別的域名服務(wù)器。

　　-權(quán)威域名服務(wù)器：提供權(quán)威名字解析服務(wù)的域名服務(wù)器。

　　-遞歸域名服務(wù)器：具有處理遞歸查詢功能的域名服務(wù)器。

　　- ISP：Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商。

　　附錄2全球技術(shù)動(dòng)態(tài)及安全事件

　　技術(shù)動(dòng)態(tài)

　　- 2009年6月2日，PIR(Public Internet Registry)對(duì).ORG區(qū)文件進(jìn)行了簽名，宣告ORG正式支持DNSSec功能。

　　- 2009年6月10日，Matthew Dempsky(來(lái)自.ORG注冊(cè)機(jī)構(gòu))發(fā)布了每個(gè)TLD的DNS信任依賴圖(區(qū)與名字服務(wù)器之間)，有助于研究DNS體系的安全狀況。

　　- 2009年6月12日，CNNIC與ISC簽署戰(zhàn)略合作協(xié)議，雙方將共同進(jìn)行DNS基礎(chǔ)服務(wù)軟件以及相關(guān)技術(shù)的研發(fā)工作。

　　- 2009年7月2日，ENUM NL嘗試使用DNSSEC對(duì)1.3.e164.arpa區(qū)進(jìn)行簽名，在正式提交信任錨點(diǎn)前進(jìn)行測(cè)試。

　　- 2009年7月7日，DNS-OARC撰文稱，近來(lái)隨著DNSSEC部署的增加，不斷暴露出部分DNS解析器不能接收較大應(yīng)答消息的問題。

　　- 2009年8月，CNNIC技術(shù)人員正式加入BIND 10軟件的核心開發(fā)團(tuán)隊(duì)，這將對(duì)研發(fā)中國(guó)自主產(chǎn)權(quán)的域名解析軟件奠定堅(jiān)實(shí)的基礎(chǔ)。

　　- 2009年8月10日，ISC宣稱Afilias和Neustar將為DLV區(qū)提供二級(jí)DNS服務(wù)，以此來(lái)支持DLV的注冊(cè)。

　　- 2009年9月4日，為推進(jìn)對(duì)根簽名的進(jìn)程，VeriSign公布了關(guān)于root DNSKEY response size的實(shí)驗(yàn)結(jié)果。

　　- 2009年9月17日，ICANN發(fā)布了L根數(shù)據(jù)膨脹的影響分析報(bào)告——“Root Zone Augmentation and Impact Analysis”。

　　- 2009年9月30日，ICANN提議：IDN項(xiàng)目于2009年11月16日啟動(dòng)。該提議已被提交到2009年10月下旬在首爾召開的ICANN會(huì)議的董事會(huì)上進(jìn)行討論。

　　- 2009年10月1日，ICANN發(fā)布根區(qū)膨脹模型的研究報(bào)告——“Root Scaling Study：Description of the DNS Root Scaling Model”(由TNO荷蘭應(yīng)用科學(xué)研究組織完成)。

　　- 2009年10月8日，在葡萄牙首都里斯本召開的RIPE 59會(huì)議上，來(lái)自ICANN的DNS工作組主席Joe Abley和VeriSign副總裁Matt Larson宣布了根簽名的時(shí)間表。

　　- 2009年10月30日，在首爾ICANN會(huì)議上，ICANN董事會(huì)同意引入IDN ccTLD，這意味著很快將能夠在網(wǎng)絡(luò)上使用非拉丁字母的互聯(lián)網(wǎng)地址。

　　- 2009年11月5日-6日，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)在京承辦“域名系統(tǒng)運(yùn)行分析研究中心”(DNS-OARC)秋季工作會(huì)議。會(huì)議就DNS安全，IPv4向IPv6過渡，國(guó)際化域名(IDN)推進(jìn)等問題進(jìn)行了討論。

　　- 2009年12月，Google提供了Public DNS解析服務(wù)。

　　- 2010年2月8日，CNNIC與ISC建立互聯(lián)網(wǎng)技術(shù)聯(lián)合實(shí)驗(yàn)室CILAB，雙方依托聯(lián)合實(shí)驗(yàn)室進(jìn)行產(chǎn)品開發(fā)、服務(wù)平臺(tái)運(yùn)行、技術(shù)研究、以及國(guó)內(nèi)業(yè)務(wù)拓展等方面的合作。

　　- 2010年4月30日，新華社報(bào)道了上海世博會(huì)官網(wǎng)expo2010.cn全球訪問信息。作為互聯(lián)網(wǎng)上顯著的“中國(guó)”標(biāo)識(shí)，expo2010.cn、expo.cn等一系列.CN域名的廣泛應(yīng)用，使國(guó)家域名成為上海世博會(huì)的網(wǎng)絡(luò)“新地標(biāo)”。

　　- 2010年7月10日，互聯(lián)網(wǎng)名稱與編號(hào)分配機(jī)構(gòu)(ICANN)授權(quán)互聯(lián)網(wǎng)地址指派機(jī)構(gòu)(IANA)將“.中國(guó)”域名正式寫入全球互聯(lián)網(wǎng)根域名系統(tǒng)(DNS)。至此，“.中國(guó)”域名全球解析部署已實(shí)施完畢。全球網(wǎng)民在瀏覽器地址欄中直接輸入已注冊(cè)的“.中國(guó)”域名即可訪問相應(yīng)網(wǎng)站。

　　- 2010年7月15日，根簽名服務(wù)器正式對(duì)外提供服務(wù)，標(biāo)識(shí)著DNSSec在根服務(wù)器的部署已經(jīng)完成。

　　域名安全事件

　　- 2009年5月19日，域名免費(fèi)托管組織DNSPod遭受DDoS攻擊，加上暴風(fēng)影音軟件存在的問題，導(dǎo)致了中國(guó)六省長(zhǎng)時(shí)間斷網(wǎng)事件。

　　- 2009年7月29日，BIND 9的所有版本被發(fā)現(xiàn)存在缺陷。攻擊者只需向BIND 9服務(wù)器發(fā)送一個(gè)特殊的動(dòng)態(tài)更新消息，就會(huì)導(dǎo)致服務(wù)器停止工作。專家稱該缺陷比Kaminsky揭露的緩存毒藥缺陷更加嚴(yán)重。

　　- 2009年9月8日，由于一個(gè)過期、錯(cuò)誤的DLV key，.pr遭遇servfail。

　　- 2009年10月12日，瑞典當(dāng)?shù)貢r(shí)間21點(diǎn)45分，由于在日常維護(hù)中不正確的軟件升級(jí)，頂級(jí)域名.se出現(xiàn)故障，導(dǎo)致整個(gè)瑞典互聯(lián)網(wǎng)幾乎完全癱瘓，所有的.se網(wǎng)站都無(wú)法訪問。

　　- 2009年8月26日，波多黎各主要的域名注冊(cè)機(jī)構(gòu)遭受長(zhǎng)達(dá)幾個(gè)小時(shí)的攻擊，造成Google, Microsoft, Yahoo, Coca-Cola等多家大公司的網(wǎng)站被重定向到某惡意網(wǎng)站。

　　- 2009年9月24日，EditDNS，著名托管型DNS提供商(popular hosted DNS provider)，遭受了DDoS攻擊。

　　- 2009年10月21日，Yammer(與Twitter類似，為商業(yè)人士提供的短消息服務(wù))由于DNS配置錯(cuò)誤而經(jīng)歷了長(zhǎng)時(shí)間的癱瘓。

　　- 2009年10月22日，互聯(lián)網(wǎng)基礎(chǔ)服務(wù)提供商新網(wǎng)公司的DNS系統(tǒng)遭受十多分鐘的持續(xù)攻擊。

　　- 2010年1月12日，知名搜索引擎公司百度DNS被劫持，造成其網(wǎng)站數(shù)小時(shí)內(nèi)無(wú)法被訪問。

　　- 2010年1月20日，時(shí)代互聯(lián)域名解析服務(wù)遭受攻擊。

　　- 2010年2月8日，印度最大的軟件開發(fā)商塔塔(Tata)咨詢服務(wù)公司網(wǎng)站遭黑客攻擊，經(jīng)證實(shí)攻擊手段為DNS劫持。

　　- 2010年2月22日，通信領(lǐng)域著名網(wǎng)站DSLReports域名服務(wù)器發(fā)生故障。

　　- 2010年3月9日，澳大利亞游戲網(wǎng)站Ubisoft遭受DDoS攻擊。

　　- 2010年3月24日，維基百科Wikimedia的DNS在做服務(wù)切換時(shí)發(fā)生配置錯(cuò)誤，致使歐洲用戶數(shù)小時(shí)無(wú)法訪問維基百科網(wǎng)站。

　　- 2010年3月26日，國(guó)外著名VoIP提供商Line2的域名系統(tǒng)遭受DDoS攻擊。

　　- 2010年5月15日，DENIC負(fù)責(zé)運(yùn)營(yíng)的德國(guó)國(guó)家頂級(jí)域DE因配置錯(cuò)誤，導(dǎo)致成千上萬(wàn)的de域名無(wú)法訪問。

　　- 2010年6月2日，Netscape網(wǎng)景公司的DNS服務(wù)遭受攻擊并致癱瘓。

　　- 2010年6月3日，國(guó)外網(wǎng)站Quakelive因域名配置錯(cuò)誤，造成網(wǎng)站長(zhǎng)時(shí)間無(wú)法訪問。

　　- 2010年8月3日，VeryCD部分地區(qū)無(wú)法訪問，據(jù)官方微薄證實(shí)是DNS服務(wù)器遭受攻擊所致。

　　- 2010年8月7日，國(guó)際知名DNS服務(wù)提供者DNS Made Easy遭受DDoS攻擊，造成1.5小時(shí)的服務(wù)宕機(jī)。分析發(fā)現(xiàn)DDoS的攻擊流量高達(dá)50Gbps，而針對(duì)DNS的攻擊流量歷史最高為49Gbps。（編選：網(wǎng)經(jīng)社）