中国域名服务安全状况与态势分析报告2023-中国互联网络信息中心

12 3 4 5 5 2 2 3 3 4 5 5 5 6 6 8 8 8 9 9 20 21 22 233专业术语表DistributedDenialofSeExtensionMechanismsforDNSVersion0InternetAssignedNumbersAuthInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配InternetProtocolversion4InternetProtocolversion6NSTransmissionControlPUserDatagramProtocol4持率达到92.0%对外服务性能继续提升，顶级域名安全配置趋于稳定。三是在二级及以下权威域名服务方面，我国二级及以下权威域名服务在IPv6、相比去年的4.0%有显著提升而国内重点权威域名服务但国内主要递归域名服务在安全协议支持程度上远高于国内递归域名服务的平关键词：DNS、安全态势、权威域名、递归域名、DNSSEC5域名服务提供了从互联网域名到互联网I名服务安全直接影响到整个互联网的安全，是网络空间安全治理的一个重要方为了能够对我国域名服务体系的运行安全态势进行全面、有效的把握和研判，中国互联网络信息中心（CNNIC）基于自主建设的国家互联网基础资源大2、域名服务安全状况22.1根域名服务2.1.1简介），400300200100034532834520911981l6121661216ABCDEFGHIJKLM镜像数量32.1.2系统软件服务器使用了NLnetLabsNSD和KnotDNS等其他软名服务器运营机构重新选择了ISCBIND软件，其地位仍然稳固。2.1.3协议支持所需的时间。若要消除域名劫持风险，现行有效的解决方案就是部署DNSSEC域名服务器均已配置IPv6地址，从而实现了对IPv6查询的全面支持。随着42.1.4服务性能个位于我国大陆，2023年在工信部对设立域名根服务及域名根服务运行机构进2018201920202209173120157145169919518919221200230209173120157901007250668058302438901007250668058302452.2顶级域名服务2.2.1简介2.2.2系统软件86%。在域名解析软件方面，2023年监测数据显示级域名运营机构更换其他DNS解析软件后又重能（比例与去年接近仍然具有一定的安全隐患。本62.2.3协议支持有92.00%的顶级域名部署了DNSSEC验证服务，所支持的加密算法仍以注意的是，仍然有3.04%的DNSSEC顶级域名服务器采用传统的NextSECure（NSEC）机制，该机制具有区文件被遍历、枚举从而泄露所管理的域名解析数2.2.4服务性能7级域名服务器的递归服务开启比例为3.0%，与去年基本持平。建议器间域名数据不一致的风险。监测显示，2.40%的顶级域名具有授权数权威域名服务器通过设置TTL值来决定其权威数据在递归服务器缓201820192020202120222021.360.622.222.86.86.89.79.86.86.8300s-3600s3600s-10800s10800s-86400s>86400s82018202.3二级及以下权威域名服务2.3.1简介2.3.2系统软件监测数据显示，作为二级及以下权威域名服务器所使用的主流操作系统类9ISCBIND和MeilofVeeningenPosadis是二级及以下此外，40.01%的ISCBIND软件仍旧开启版本应答功能（去年该比例为40.22%开启此功能有助于攻击者更好地确定系统漏洞进行攻2.3.3协议支持2.3.4服务性能20182019202031.55.21.71.51.00.62.82.35.21.71.51.00.61234567>742.326.315.06.58.67.815.087.2201820192020(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)6.72.91.30.60.20.20.10.10.10.76.712345678910112.3.5重点权威域名服务监测显示，重点权威域名服务器采用Unix或Linux操作系统的比例为以下域名相比，重点权威域名服务的协议支持情况相对较好，但总体上对于37.22018201937.22018201912.810.06.15.82.82.22.72.82.21234567>731.5国内国内重点12.810.05.22.86.15.22.82.32.22.82.71.71.51.00.62.32.22.82.71.71234567>72018201920202018<300s300s-3600s3600s-93.8201820192020(1)<0.1s(2)0.1s~0.2s3.62.10.50.00.00.00.00.00.00.0国内重点93.8国内重点93.880.3(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s9.61.60.53.64.02.1 0.70.00.40.00.50.00.30.00.30.00.30.02.10.01.60.53.64.02.1 2.4递归域名服务2.4.1简介2.4.2系统软件器所主要使用的三大域名解析软件，使用比率分别占到了33.10%和22.00%和15.20%。其中，使用ISCBIND的递归域名服务器中开启版本应答的比例为2.4.3协议支持DNSSEC20181.10.80.50.45.62019202086.498.40.30.26.40.3<512B512B-1024B1024B-2048B2048B-3072B>3072B100.0100.0201869.22019202020.110.70.00.00.020.110.70.00.0优良差2.4.4服务性能84.620182019202084.6(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)5.71.72.11.40.50.30.20.50.42.612345678910112.4.5主要递归域名服务内主要递归域名服务的DNSSEC支持率同样偏低，仅有2.00%，如图25、图262018202020192020202220212022202385.59595.82.92.592.42.92.592.4<512B512B-1024B1024B-2048B2048B-3072B>3072B为优的服务器比例达到了100%，明显高于国内递归域名服务的整体平均水平20182019202020212022202399.1100.0100.00.90.00.00.00.00.0优良差98.4100.0国内国内主要1.00.00.692.367.319.220182019202067.319.2(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s1.14.6II-5.50.4·1.60.32.40.10.80.20.00.21.60.21.60.10.00.50.01.1123456789101167.319.284.667.319.2国内递归国内主要(1)<0.1s(2)0.1s~0.2s(3)0.2s~0.3s(4)0.3s~0.4s(5)0.4s~0.5s(6)0.5s~0.6s(7)0.6s~0.7s(8)0.7s~0.8s(9)0.8s~0.9s(10)0.9s~1s(11)>1s5.75.51.72.11.61.42.40.50.80.30.00.21.60.51.60.40.0123456789103、域名服务安全总体评估3.1权威域名服务安全指标值含义0≤#<0.4服务安全差，如存在配置漏洞0.4≤#<0.7服务安全良，如无配置漏洞0.7≤#≤1服务安全优，如具有若干安全防护配置66.7201820192021202211.22.60.60.32.689.696.289.6