邢志杰：互联网域名安全挑战及对策

中国互联网络信息中心邢志杰先生

演讲实录：

邢士杰：关于互联网域名安 全挑战及对策我讲两点，针对域名服务的攻击从来没有停止过，而且在近几年来越来越厉害，比如前年的519事件就是针对域名服务，20多个省上网受到影 响，6个省基本瘫痪，实际上域名现在对于黑客来说好像是打蛇打七寸的七寸一样。今天我和大家交流的主要是四个方面，一个是快速回顾一下域名安全的现状，第 二个总结一下我们在域名安全方面面临的威胁、挑战，然后是介绍一下在CNNIC新技术。

一、面对安全问题，我们认为根和顶级域这两个环节，因为它有些专业的机构来维护，而且基本上做这个服务就是域名技术圈里做的专家，它的服务都是 有网站的。在DOS攻击，这一块比较大的事故就是刚才我说的519和暴风门的事件。为什么域名安全攻击成本很低？实际上这四个所谓的黑客并不是什么高手， 投资28万元专门攻击倒了我们一个DOS服务器，最终引起连锁反映，造成20几个省的瘫痪。为什么会这样呢？因为域名是全球最成功的互联网大的分布式系 统，它是各个环节都会牵连的，而且是牵一发而动全身。这种共计事件没有共计运营商的DNS服务器，它是攻击（英文），它的域名服务出现问题没有保障，但是 由于暴风影音客户量很大，形成了多米诺骨牌的效应，最后造成瘫痪。

二级和二级以下的域名服务是由各网站自建的或者免费的注册服务商提供，这可以说是重灾区，因为这个环节的服务能力是参差不齐的，而且大家重视度 也不是很高，也有很多事故。在这个环节里面有一个子环节是注册服务环节，就是注册信息、域名记录在这里面修改，今年初搜索引擎被劫持就是在这个环节。

我们简单回顾了一下各个环节的事故，现在我们总结一下，因为上个月我们刚好发布了我国域名安全现状的统计报告。国内二级及二级以下域名为重灾 区，检测到的国内两个环节的服务器达到755422台套，但相对安全的服务器比例不足半数。我们对其中1000多个重点域名进行抽样，这些重点域名包括政 府、金融和一些大的网站等等结构，它57%的域名都有风险。现在很多公司都做CPN和内容分发，或者服务器进行部署，联通机房、电信机房都会有自己的服务。因为现在的主流软件在老版本上有一些致命的漏洞 ，但是现在还有很多在使用这些老版本的软件。

针对DNS攻击国内的技术圈、行业圈和企业都在想办法解决这个问题。DNSSEC是DNS的安全扩展协议，诞生于1995年，它最重要的安全特 征有三类，通过签名 技术对我们的数据源进行签名，也了这个签名以后授权体系更加完整。能够解决的安全问题域名劫持、缓存中毒都能够很好的解决。但是DNSSEC实施以后对服 务器有很大影响，因为签名以后数据量有一个很大的增长，对服务器的负担很大，对网络的负担有重，而且一旦我信任了它以后再发生问题可能造成的问题就更大 了。

DNSSEC现在全球部署的进展我们认为有四个方面，一个是在技术方面，协议、工具经验的积累，第二是各个研究部门都在积极投入这一块。第 三，DNSSEC对DNS的攻击能够发挥重要的作用。第四，DNSSEC有越来越多领域不断支持，DNSSEC会越来越完善。在地区和国家领域这一块，今 年年底有19个国家和地区正式开展域名，实际上大家在部署过程成中用户没有感觉，所有过程是平滑过渡的。

简单介绍一下DNSSEC的情况，主要是从四个方面做的这些域名服务，我们的合作伙伴是北龙中网公司。第一方面是核心技术的研发，第二个是通过 推动国际国内的行业标准和我们的专业设备，技术方面主要是在安全技术、管理技术和域名解析工作方面做些工作。因为刚才我们说到，现在面临攻击DNS越来越 多，现在对域名服务器的解析能力提了很高的要求，尤其是在DNSSEC部署之后对解析能力有很大量的增长。此外 ，我们联手推行了国家标准，我们刚才说的很多问题和事故，发现域名体系是一个严重的体系，如果大家没有一套标准做这个事情是很难做到整个系统是安全的。所 以我们现在推了9个标准，其中两个已经实施了，涉及到域名安全防护 、检测各个环节的运营要求，后续也会有一些相应的认证体系。此外，通过我们多年的研究，我们自己有一套整体的解决方案，涉及到整个域名体系，包括权威运行服务器、DNS的房攻击，和DNSSEC的部署、分析等方案。因为域名安全这块不是一家可以做的，比如我们二级二级以下是管理不到的，所以我们准备近期成立一个技术联盟，叫域名技术运营 联盟，通过这个联盟把大家聚集起来，一起来解决这个问题，出现问题我们一块通报，有些新的技术也可以分享。如果大家有兴趣可以参加这个联盟。

谢谢大家！