中国互联网络信息中心与互联网域名管理技术国家工程实验室关于域名服务安全状况的报告总结
1. 前言
- 背景:报告概述了中国互联网络信息中心(CNNIC)对2022年中国域名服务体系的全面安全态势分析。
- 方法:利用国家互联网基础资源大数据平台和态势感知平台,通过全球100多个监测节点,对根域名、顶级域名、二级及以下权威域名、递归域名服务进行了安全态势分析。
2. 域名服务安全状况概览
-
根域名服务:
- 安全配置:100%支持IPv6、DNSSEC、TCP协议。
- 服务性能:查询时延显著降低,特别强调了引入根域名镜像服务器的积极作用。
- 发展趋势:新增根镜像服务器至22个,分布在中国大陆,特别是新增广西和重庆的站点。
-
顶级域名服务:
- 协议支持:DNSSEC支持率92%,IPv6支持率90.1%,TCP支持率100%。
- 系统软件:多数顶级域名服务器使用ISC BIND和NLnetLabs NSD软件。
- 安全建议:建议关闭开启版本应答功能的顶级域名服务器上的相关功能。
-
二级及以下权威域名服务:
- IPv6支持:进展缓慢,IPv6支持率12.8%。
- 重点权威域名服务:IPv6支持率大幅提高至52%,反映我国IPv6部署工作的进展。
-
递归域名服务:
- 协议支持:DNSSEC支持率1.5%,TCP和EDNS0支持率分别为52.2%和98.8%。
- 主要递归域名服务:TCP协议支持率达到98.6%,安全协议支持度高于平均水平。
3. 安全态势评估
- 总体评价:2022年,我国域名服务体系在协议支持和服务性能方面总体保持稳定提升,但在IPv6支持和DNSSEC部署等方面仍存在改进空间。
- 关注点:重点关注根域名服务的镜像数量和分布、顶级域名服务的DNSSEC和IPv6支持、二级及以下权威域名服务的IPv6部署进度、以及递归域名服务的DNSSEC支持率。
4. 结论
- 趋势展望:我国在IPv6部署和DNSSEC应用方面取得了显著进展,但还需进一步优化根域名服务的地理分布、提升递归域名服务的DNSSEC支持率,以及加快二级及以下权威域名服务的IPv6部署速度。
- 政策建议:建议相关部门和机构加快基础设施建设,提升域名服务的安全性和效率,确保互联网基础服务的稳定运行。
关键词
- DNS (Domain Name System)
- 安全态势
- 权威域名
- 递归域名
- DNSSEC (DNS Security Extensions)
专业术语表
- AS:Autonomous System 自治系统
- ccTLD:Country Code Top Level Domain 国家与地区顶级域名
- CDN:Content Delivery Network 内容分发网络
- DNS:Domain Name System 域名系统
- DNSSEC:DNS Security Extensions 域名系统安全扩展
- DDoS:Distributed Denial of Service 分布式拒绝服务攻击
- EDNS0:Extension Mechanisms for DNS Version 0 DNS的扩展名机制
- gTLD:General Top Level Domain 通用顶级域名
- IANA:Internet Assigned Numbers Authority 互联网数字分配机构
- ICANN:Internet Corporation for Assigned Names and Numbers 互联网名称与数字地址分配机构
- IP:Internet Protocol 网络之间互联的协议
- IPv4:Internet Protocol version 4 互联网协议第四版本
- IPv6:Internet Protocol version 6 互联网协议第六版本
- ISC:Internet Software Consortium 互联网系统协会
- NS:Name Server 域名服务器
- TCP:Transmission Control Protocol 传输控制协议
- TLD:Top Level Domain 顶级域名
- TTL:Time To Live 生存时间
- UDP:User Datagram Protocol 用户数据报协议
