各位专家、各位同仁,大家下午好。我来自中国互联网络互联中心CNNIC。CNNIC是97年成立的,是中国代表国家年检CNNIC系统的机构。今天很荣幸有这个机会把CNNIC系统方面的认识介绍给大家,和大家一起来交流,提升CNNIC系统安全的方式。进一步提高中国在信息网络安全方面的水平。
今天主要的内容包括四个方面:第一个方面是域名系统及重要性。第二方面是经介绍一下域名系统面临的安全问题。第三个方面是关于域名系统安全工作的分析,最后是一点总结和几点建议。
域名系统大家比较熟悉,它是一个全球的分布系统,有一个竖型结构的空间。包括.cn、.com的系统。提供一个分布式的点击查询服务,转变为IP地址。从技术角度来看,目前互联网的应用越来越广泛,电子商务和电子政务深入到日常生活的每个方面,但是基本的选址方式是DNS的解析。如果DNS解析出现了问题,使得互联网不太顺畅。第二个是资源角度看,以域名为基础的应用。域名也是在丰富互联网的应用。它是互联网上的标尺,有惟一性,不可重复性。随着现代互联网的发展,域名有了一个重要作用,代表了公共的利益,是公共资源。对于国家来说,国家的域名相当于国家的主权。从这个两个角度来说,域名系统不但对计算机,还是网络都是非常重要的。1.针对恶意域名系统的攻击。针对各个单位对域名攻击的重视,一般的病毒对DDOS攻击并不是很严重。最重要的是DDOS攻击有可能造成域名解析瘫痪。2.域名劫持,这个概念比较宽泛。修改注册信息达到访问的目的,也包括劫持解析结果,使报告过程有一个错误的结果。这两种都会产生不良的影响。3.国家性质的域名系统安全事件,比如利比亚的系统安全事件,.ly域名瘫痪。还有.af的域名,是阿富汗的域名。由于阿富汗的政府总是更替,域名总是更换,导致这个国家的域名系统不能很好的运行。
域名系统安全工作分析,在具体的域名系统安全工作分析之前,我们要看一下域名服务体系的组成。涉及到三个系统:域名的注册系统、解析系统、查显系统。五个角色:域名的持有者、注册服务机构、管理机构、本地的DNS、访问者。这五个角色有7个核心的数据流。
下面从三个系统的角度和7个数据流的角度来分析。从解析的过程中,有用户的客户端、本地的缓存DNS服务器还有各级的权威DNS服务器。通过这三个方面来解决工作。
从一般的客户端层来说,我们这里指的客户端是指浏览器或邮件接收端的程序。隐患包括它所在的操作系统存在漏洞,或者它所在的平台受到病毒或被控制,会导致DNS的结果被控制,不能进行正确的域名解析。这里需要做的是对所有的用户来说,要加强自己的安全管理,防止网络病毒。应对手段是强化桌面安全。网络层,隐患是DNS报文劫持,应对手段是设置ACL/DNSSEC技术等方式来防止没有经过授权的服务器仿冒本地的DNS服务器。
| 0 |
 |
