互联网域名服务发展与挑战--cnnic

互联网 联
•参与国际化项目BIND10 •F根服务器在中国国内的合作建设 •ISC DLV服务器的引进 •建立域名技术联合实验室
互联网
联
DNS领域国际研究合作
CNNIC & 北龙中网 推出DNS整体解决方案
递归域名解析服务器 权威域名解析服务器 DNS防攻击 DNSSEC自动化部署 DNS流量分析监控
互联网基础资源（服务）
• 域名/DNS
• IP地址等
互联网物理设施
• 基础网络、传输设备、互联设备、接入系统等
年 网 应用用 增
网上支付 网络购物 网上银行 社交网站 旅行预订 网络文学 搜索引擎 论坛/BBS 网络游戏 即时通信 网络炒股 网络视频 电子邮件
36.2%
31.4%
29.9%
19.6%
挑战三：支撑国家互联网治理和管控的挑战
Company Logo
近期域名安全事件
域名作为基础服务的地位被充分关注以及利用， 攻击行为急剧增多。
年
，5.19事件，6省大面积断网，二十几个省网络缓慢。
2009年6月，国内著名域名注册商新网公司DNS遭受攻击，20万域名无法 解析
2009年7月，BIND 9的所有版本被发现存在缺陷。攻击者只需向BIND 9服 务器发送一个特殊的动态更新消息，就会导致服务器停止工作。
2009年8月，波多黎各主要的域名注册机构遭受长达几个小时的攻击，造成 Google, Microsoft, Yahoo, Coca-Cola等多家大公司的网站被重定向到某 恶意网站。
2009年9月，著名托管型DNS提供商EditDNS，遭受了DDoS攻击。
2009年10月，由于在日常维护中不正确的软件升级，瑞典国家顶级域名.se 出现故障，导致整个瑞典互联网几乎完全瘫痪。
作为DNSBiblioteka Baidu全解决的核心方案，DNSSEC处在部署的关键阶段
密钥管理
DNSSEC 解决方案
系统无 缝升级
签名并发布 密钥
域名服务面临的3个挑战
挑战一：新的应用需求和规模对域名服务提出的挑战 挑战二：安全事故频发对域名服务安全能力带来的挑战
挑战三：支撑国家互联网治理和管控的挑战
Company Logo
北龙中网即将推出高可信智能云解析服务
企业级DNS托管服务 企业级DNS备份服务 中小企业托管服务 免费服务
北京市海淀区中关村南四街四号中科院软件园
www.cnnic.cn
邮编: 100190
2009年12月，twitter上次域名被转向，百度和这次攻击有着惊人的相似之 处
2009年12月，亚马逊所使用的UltraDNS遭DDoS攻击 瘫痪约一小时
年 ，百度域名DNS授权记录遭到篡改，域名被劫持。
针对域名服务的攻击类型
攻击目标：
• 根； • 顶级域服务器 • 二级及二级以下域名服务器； • 递归服务器； • 注册服务器
顶级域过渡
Email地址过渡
cnnic.cn
互联网中心.中国
母语上网， 消除数字鸿沟
.cn
.中国
lee@cnnic.cn
李@互联网中心.中国
IDN使互联网越来 越国际化
中文域名电子邮件地址 使互联网越来越贴近我 们熟悉的母语
域名服务面临的3个挑战
挑战一：新的应用需求和规模对域名服务提出的挑战
挑战二：安全事故频发对域名服务安全能力带来的挑战
• 完成DNSSEC部署国家顶级域（ccTLD) ：.se、.bg、 br、.ch、.cz、.li、.na、.pr.、 th、.tm、.us、.lk、.pt、.cl、.pm、.uk
• 完成DESSEC部署的通用顶级域 （gTLD):.org、.gov、.museum
• .cn 已经完成测试，正在部署中。
• Registration and Administration Recommendations for Chinese Domain Names (RFC4713) • SMTP Extension for Internationalized Email Address (RFC 5336)
联
网
19.4%
15.7%
13.9%
13.1%
11.9%
11.7% 11.0%
来
10.4%
网 发展
统
8.9%
满足应用需求，域名服务在发展
互联
更多的域名资源
更强的处理能力
。中国 。公司 。网络
。解析能力 。安全性 。新业务支持能力
无线互联网、物联网、三网融合、下一代互联网
国际化域名IDN
域名的
，
网的
域名过渡
全球约2亿域名，我国域名1121万，其中65%为CN域名。 CN顶级域名注册量位于全球国家域名前三，日访问量超20亿次，我国重要信息系统全部基于 CN顶级域名建设。
全 球 域 名 发 展 状 况
国 家 域 名 发 展 状 况
互联网的飞速发展对域名服务提供新的要求
互联网业务应用
• 电子商务、电子政务、网络游戏、视频通讯等
• 《域名系统安全防护检测要求》 • 《域名系统安全防护技术要求》 • 《域名系统运行总体技术要求》（报批） • 《域名系统权威服务器运行技术要求》（报批） • 《域名系统递归服务器运行技术要求》（报批） • 《域名服务安全框架技术要求》（ 报批） • 《IPv6网络域名服务技术要求》（报批） • 《域名系统授权体系技术要求》（报批） • 《公共域名解析系统安全标准》（报批）
攻击方式
• DNS欺骗 • 缓存污染（DNS下毒） • DNS信息劫持
• 拒绝服务攻击（Dos） • 缓冲区漏洞溢出攻击 • 分布式拒绝服务攻击攻击（DDos）（5.19） • 注册商授权记录篡改（baidu）
作为DNS安全解决的核心方案，DNSSEC处在部署的关键阶段
ICANN DNSSEC 根部署计划
互联网治理模式的挑战
与
• 传统经验，在信息流经的关键节点部署系统进行过滤和封堵： • 网络边界部署，对IP、端口、协议、敏感内容进行控制 • 对局域网和小型网络尤其有效
新形势下，去中心化、新技术、新应用，带来新问题
• 信息流量庞大，网民数量4.2亿，上网计算机X千万，国际出口从XG到XG，要求出口控制 设备性能递增。
互联网域名服务发展与挑战
李晓东 2010.8 北京
域名服务面临的3个挑战
挑战一：新的应用需求和规模对域名服务提出的挑战
挑战二：安全事故频发对域名服务安全能力带来的挑战 挑战三：支撑国家互联网治理和管控的挑战
Company Logo
域名服务是互联网基础服务
伴随着全球互联网的高速发展，域名系统规模发展迅速，域名注册量 、应用率多年来持续快速增长。
以基础资源为抓手开启互联网治理新模式
IP、域名等互联网基础资源是接入实体在网络中 的身份映射。
等级制的互联网基础资源的便于集中管理，是 “可追溯” 治理的抓手和突破口。
以基础资源为核心、结合内容监控、行为采集、
信用评，开展互联网运行分析和监控治理，
、高 的
模。
信息
服务
基础
网 域名 域
推动标准，分享经验，带动行业安全水平整体提升
互联网整治行动取得显著成效
取得成效
中央外宣办网络局负责人接受人民日报等多家媒体记者联合采访时指出，截至2010年2月10日， 中国互联网络信息中心等域名注册服务机构共清查域名总量1350多万个，暂停1.2万个涉黄域名的解析； 专项行动中已关闭淫秽色情和低俗网站1.6万多个，删除淫秽色情和低俗信息130多万条。
国际标准
• Joint Engineering Team (JET) Guidelines for Internationalized Domain Names (IDN) Registration and Administration for Chinese, Japanese, and Korean (RFC3743)
• 信息流向变更，从集中发布到点对点交互，内部交换超过国际访问，“关键节点”难以定 位，控制系统从国际节点扩散到骨干节点并进一步下放，规模递增。
• 新应用新服务，移动终端、智能机顶盒等需纳入监管范畴，微博、视频、游戏等需纳入识 别工作，功能递增。
• 安全技术发展，IPSEC、SSL等技术在提升信息安全的同时，对封堵系统的工作机制和计 算开销形成挑战，鱼与熊掌不兼得。
• 2009年11月1日， ICANN启动根签名工作，但签名仅供内部 使用。
• 2010年2月，第一台根服务器使用测试密钥签名完毕，。 • 2010年5月中旬之前，所有的根服务器都将使用测试密钥进
行签名。 • 2010年7月15日，ICANN发布根区信任锚，根正式对外提供
DNSSEC服务。
顶级域名部署情况