腾讯科技2016腾讯科技 > 互联网报道 > 互联网新闻 > 正文

中国域名报告:我国域名服务器超半数不安全

2010年08月26日14:37腾讯科技我要评论(0)
字号:T|T

第二章 域名服务体系监测结果

一、根域名服务系统

根服务器的分布情况对互联网的访问性能有很大的影响。截至目前,全球域名系统13个根服务器在全球的镜像服务器数量共206个。根服务器及其镜像在欧洲有72个、美国51个、亚洲45个,中国大陆有F根、I根和J根的镜像服务器。

表 1 根域名服务器及其镜像的基本状况

中国域名报告:我国域名服务器超半数不安全

*表示在国内有镜像服务

二、顶级域服务系统

(一)总体情况

根据国际互联网域名体系的构成,顶级域名分为三类:通用顶级域名(gTLD,General Top Level Domain)、国家与地区顶级域名(ccTLD,Country Code Top Level Domain)和基础设施类顶级域(目前仅有.arpa)。其中通用顶级域gTLD共有20个,可细分为组织主办类(Sponsored)13个,通用类(Generic)4个,及限制通用类(Generic-restricted)3个。国家与地区顶级域共计260个(包含“.中国”等新增的顶级域),另外还有实验性顶级域11个,共计292个顶级域。

(二)软件版本类型

一般顶级域的运营者都比较注重系统的安全性,统计发现,操作系统69%以上都采用开源Linux,相对稳定性较高。也可以发现Windows的使用率约占20%。

中国域名报告:我国域名服务器超半数不安全

图 3 顶级域服务系统操作系统类型分布

对顶级域服务系统使用的域名服务器进行探测扫描,统计发现95%以上使用开源软件ISC BIND。

表 2 顶级域服务系统所用域名解析软件分类

中国域名报告:我国域名服务器超半数不安全

三、二级及以下权威域名服务系统

(一)地域分布

统计发现,拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的91%以上。

中国域名报告:我国域名服务器超半数不安全

图 4 权威域名服务系统地域分布

(二)所属运营商

在对国内其他各级域名服务系统进行监测的同时,对这些权威服务器在各大运营商的分布状况进行统计,发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50%以上。

中国域名报告:我国域名服务器超半数不安全

图 5 权威域名服务系统运营商分布

(三)软件版本类型

对国内各级域名服务系统中的所有权威服务器进行扫描,统计发现,62%以上的域名服务器使用开源的Linux系统,Microsoft Windows操作系统所占比例在36%左右。

中国域名报告:我国域名服务器超半数不安全

图 6 权威域名服务系统操作系统类型分布

对国内各级域名服务系统中的所有权威域名服务器进行探测,其中95%以上的域名服务器使用开源的ISC BIND软件,国外权威域名服务系统中ISC BIND使用率约为93%。

表3 国内权威域名服务系统域名解析软件分类

中国域名报告:我国域名服务器超半数不安全

(四)协议支持程度

中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比,支持TCP查询的比例略低于世界水平,中国各级域名服务系统支持EDNS0的比例略高于世界平均值。

中国各级域名服务系统中的权威域名服务器中,53%开启了递归查询功能,远大于世界各级域名服务器31%的递归功能开启比率,存在一定的安全隐患,这说明中国的各级域名服务系统配置方式存在问题。

中国域名报告:我国域名服务器超半数不安全

图 7 权威域名服务系统协议支持程度

四、递归域名服务系统

(一)地域分布

中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。下图中十个地区的递归服务器总量占全国递归服务器总量的88%以上。

中国域名报告:我国域名服务器超半数不安全

图 8 递归域名服务系统地域分布

(二)所属运营商

对中国境内的递归域名服务器进行运营商级的细化,62%以上的递归域名服务器分布在中国主流的运营商内,其中中国电信拥有的递归服务器数量最多,占全国递归域名服务器总量的21%以上。

中国域名报告:我国域名服务器超半数不安全

图 9 递归域名服务系统运营商分布

(三)软件版本类型

对中国递归域名服务系统进行全面扫描,统计发现,超过55%的递归域名服务器运行在Linux等开源系统上,28%左右的递归域名服务运行在Microsoft Windows操作系统上。

中国域名报告:我国域名服务器超半数不安全

图 10 递归域名服务系统操作系统类型分布

在对中国递归域名服务系统进行统计分析时,发现94%以上都采用的开源软件ISC BIND,国外递归域名服务系统中ISC BIND使用率约为86%。

表4 国内递归域名服务系统域名解析软件分类

中国域名报告:我国域名服务器超半数不安全

(四)协议支持程度

中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比,中国递归服务器的协议支持程度与世界平均水平保持一致。

中国域名报告:我国域名服务器超半数不安全

图 11 递归域名服务系统协议支持程度

(五)递归域名服务器端口随机性

递归域名服务器对外发起查询使用的客户端端口的随机性对域名解析的安全程度具有很大影响,端口随机算法如果不够安全,会使域名服务器容易遭受缓存中毒攻击,著名的卡明斯基漏洞就是利用递归服务器的客户端端口弱随机性发起的攻击。统计发现,中国超过4%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻击,远高于世界范围的0.98%。

中国域名报告:我国域名服务器超半数不安全

图 12 递归域名服务系统端口随机程度分布

[责任编辑:jasonli]
登录 (请登录发言,并遵守相关规定) 分享至: 腾讯微博
如果你对科技频道有任何意见或建议,请到交流平台反馈。到微博反馈

企业服务

热点推荐

推广信息