2022年 中国域名服务安全状况与态势分析报告

2 3 4 5 5 2 2 3 3 4 5 5 5 6 6 8 8 8 9 9 11 14 14 14 15 16 16 19 20 214、我国域名服务体系安全态势分析 223专业术语表DistributedDenialofSeExtensionMechanismsforDNSVersion0InternetAssignedNumbersAuthInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配InternetProtocolversion4InternetProtocolversion6NSTransmissionControlPUserDatagramProtocol4摘要程度相比去年基本持平（其中IPv6支持率达到90.1%，DNSSEC支持92.0%对外服务性能继续提升，顶级域名安全配置趋于稳定。三是在二级及有显著提升而国内重点权威域名服务IPv6支持状况有大幅提升，达到了5名服务安全直接影响到整个互联网的安全，是网络空间安全治理的一个重要方为了能够对我国域名服务体系的运行安全态势进行全面、有效的把握和研判，中国互联网络信息中心（CNNIC）基于自主建设的国家互联网基础资源大2、域名服务安全状况22.1根域名服务2.1.1简介），______________________________________________________________________________1500______________________________________________________________________________1474_______________________________________________________________________1320________________________________________________________________1189__________________________________________________________________6334003503002502001501005003283441941901571055661261213ABCDEFGHIJKLM镜像数量32.1.2系统软件2.1.3协议支持所需的时间。若要消除域名劫持风险，现行有效的解决方案就是部署DNSSEC域名服务器均已配置IPv6地址，从而实现了对IPv6查询的全面支持。随着42.1.4服务性能个位于我国大陆，2022年在工信部对设立域名根服务及域名根服务运行机构进20172018201920202021202214514519919519916027518919221223020012038263249173157806658302097250502452.2顶级域名服务2.2.1简介2.2.2系统软件能（比例与去年接近仍然具有一定的安全隐患62.2.3协议支持2.2.4服务性能77777级域名服务器的递归服务开启比例为3.0%，与去年基本持平。权威域名服务器通过设置TTL值来决定其权威数据在递归服务器缓20172018201920202021202261.360.622.222.822.29.79.86.89.79.8300s-3600s3600s-10800s10800s-86400s>86400s82017201820192020202120(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s123456789102.3二级及以下权威域名服务2.3.1简介2.3.2系统软件监测数据显示，作为二级及以下权威域名服务器所使用的主流操作系统类9ISCBIND和MeilofVeeningenPosadis是二级及以下权威此外，40.01%的ISCBIND软件仍旧开启版本应答功能（去年该比例为2.3.3协议支持2.3.4服务性能2017201820192020202120222.82.31.71.51.05.20.62.82.31.71.51.05.2123456715.080.080.02017201820192020242.326.38.6<300s300s-3600s3600s-10800s10800s-86400s>86400s87.2201720182019202020212022(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s(11)>1s6.72.91.30.60.20.20.10.10.1123456789102.3.5重点权威域名服务重点权威域名，对其服务器的安全配置情况监测显示，重点权威域名服务器采用Unix或Linux操作系统的比例为以下域名相比，重点权威域名服务的协议支持情况相对较好，但总体上对于10.2I2021202220172018201920202021202212.810.06.15.86.12.72.22.82.72.21234567>731.531.5国内国内重点12.810.06.15.81.51.00.65.22.82.82.72.32.21.71234567>7201720182019202020212022I2.13<300s300s-3600s3600s-10800s10800s-86400s>86400s<300s300s-3600s3600s-93.8201720182019202020212022(1)<0.1s(2)0.1s~0.2(3)0.2s~0.3s(4)0.3s~0.4(5)0.4s~0.5s(6)0.5s~0.6(7)0.6s~0.7s(8)0.7s~0.83.62.10.50.00.00.00.00.00.0国内国内重点93.880.3国内国内重点93.880.3(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s9.63.61.60.50.70.00.40.04.02.10.50.00.30.00.33.61.60.50.70.00.40.04.02.12.4递归域名服务2.4.1简介2.4.2系统软件15.20%。其中，使用ISCBIND的递归域名服务器中开启版本2.4.3协议支持TCP20172018201920202021202291.10.80.50.45.60.26.486.40.3186.4<512B512B-1024B1024B-2048B2048B-3072B>3072B20172020201820192017202020182019100.0100.069.210.720.10.00.00.010.720.10.00.0优良差84.684.62.4.4服务性能201720182019202020212022(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s(11)>1s5.71.72.11.40.50.30.20.50.4123456789102.4.5主要递归域名服务2017201820192020202120222.92.592.40.62.221.610.190.193.89595.85.5<512B512B-1024B1024B-2048B2048B-3072B>3072B为优的服务器比例达到了100%，明显高于国内递归域名服务的整体平均水平20172018201920202021202299.1100.0100.00.90.00.00.00.00.0优良差98.4100.0国内国内主要0.567.319.20.567.319.292.3201720182019202020212022(1)<0.1s(2)0.1s~0.2(3)0.2s~0.3s(4)0.3s~0.4(5)0.4s~0.5s(6)0.5s~0.6(7)0.6s~0.7s(8)0.7s~0.8(9)0.8s~0.9s(10)0.9s~1s(11)>1s5.52.40.41.64.61.60.80.00.20.00.50.30.25.52.40.41.64.61.60.80.00.20.00.50.30.20.11.11234567891084.6国内递归国内主要67.32.11.61.42.419.25.7I5.51.7(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s(11)>1s0.51.60.40.51.60.40.00.21.6123456789103、域名服务安全总体评估3.1权威域名服务安全指标值含义0≤#<0.