2022年中国域名服务安全状况与态势分析报告.docx

目录专业术语表3摘要41、 前言52、 域名服务安全状况52.1 根域名服务22.1.1 简介22.1.2 系统软件32.1.3 协议支持32.1.4 服务性能42.2 顶级域名服务52.2.1 简介52.2.2 系统软件52.2.3 协议支持62.2.4 服务性能62.3 二级及以下权威域名服务82.3.1 简介82.3.2 系统软件82.3.3 协议支持92.3.4 服务性能92.3.5 重点权威域名服务112.4 递归域名服务142.4.1 简介142.4.2 系统软件142.4.3 协议支持152.4.4 服务性能162.4.5 主要递归域名服务163、 域名服务安全总体评估193.1 权威域名服务203.2 递归域名服务214、 我国域名服务体系安全态势分析22专业术语表缩略语英文全称中文全称ASAutonomousSystem自治系统ccTLDCountryCodeTopLevelDomain国家与地区顶级域名CDNContentDeliveryNetwork内容分发网络DNSDomainNameSystem域名系统DNSSECDNSSecurityExtensions域名系统安全扩展DDoSDistributedDenialofService分布式拒绝服务攻击EDNSOExtensionMechanismsforDNSVersion0DNS的扩展名机制gTLDGeneralTopLevelDomain通用顶级域名IANAInternetAssignedNumbersAuthority互联网数字分配机构ICANNInternetCorporationforAssignedNamesandNumbers互联网名称与数字地址分配机构IPInternetProtocol网络之间互联的协议IPv4InternetProtocolversion4互联网协议第四版本IPv6InternetProtocolversion6互联网协议第六版本ISCInternetSoftwareConsortium互联网系统协会NSNameServer域名服务器TCPTransmissionControlProtocol传输控制协议TLDTopLevelDomain顶级域名TTLTimeToLive生存时间UDPUserDatagramProtocol用户数据报协议摘要2022年我国域名服务体系总体安全状况继续保持平稳提升态势，但部分环节的安全问题依然存在。一是在根域名服务方面，年内新增26个根服务器镜像，全球根服务器及服务器镜像总数达到1500个，我国大陆新增根镜像2个，地点分别为广西、重庆，总数量为22个。根域名服务对IPV6、DNSSEC、TCP等网络协议的支持率为100%。二是在顶级域名服务方面，截至年底全球顶级域名数量达到1497个，与去年基本持平，对IPV6、DNSSEC、TCP等网络协议的支持程度相比去年基本持平（其中IPv6支持率达到90.1%,DNSSEC支持率达到92.0%）,对外服务性能继续提升，顶级域名安全配置趋于稳定。三是在二级及以下权威域名服务方面，我国二级及以下权威域名服务在IpV6、DNSSEC>TCP等网络协议支持方面进展仍然缓慢（其中IPv6支持率为12.8%,相比去年的4.0%有显著提升），而国内重点权威域名服务IPv6支持状况有大幅提升，达到了52.0%,也客观反映出近年来我国在IPv6部署工作推进方面成效显著。四是在递归域名服务方面，在DNSSEC、TCP等网络协议支持程度方面严重滞后（其中DNSSEC协议支持率仅有1.5%,仍然处在较低水平）。在对TCP和EDNSO协议的支持程度方面有一定进步，分别达到了52.2%和98.8%。，但国内主要递归域名服务在安全协议支持程度上远高于国内递归域名服务的平均水平，对TCP协议支持率达到98.6%o登词：DNS>安全态势、权威域名、递归域名、DNSSEC1、前言域名服务提供了从互联网域名到互联网IP地址的查询转换服务，是用户访问各种互联网应用所需要的一种基础服务，被视为整个互联网的入口。因此，域名服务安全直接影响到整个互联网的安全，是网络空间安全治理的一个重要方面。针对我国域名服务体系进行系统、全面的安全态势分析，将有助于我们更好的理解这项互联网基础服务的运营安全状况，增强对我国域名服务体系的安全管控能力，同时也可以借此更好的掌握网络空间的基础安全生态环境，发掘网络空间潜在的安全问题，以更好的支撑对网络空间的有序治理。为了能够对我国域名服务体系的运行安全态势进行全而、有效的把握和研判，中国互联网络信息中心（CNNlC）基于自主建设的国家互联网基础资源大数据平台和态势感知平台，通过全球分布式部署的100多个监测节点，节点涵盖亚洲、美国、欧洲主要国家，实现了从安全、性能、故隙、流量和配置等五个方面对我国域名服务体系下的根域、顶级域和二级及以下域名，以及递归域名服务的监测与分析，涵盖NS配置、服务时延趋势、端口随机程度、TCPEDNS0IPv6支持、DNSSEC和BIND版本等涉及域名服务安全的重点指标的自动化监测。此外，CNNIC依托平台相关数据对外发布2022年度域名安全态势报告，对域名服务系统各个环节的系统软件、协议支持、服务性能等涉及域名服务安全状况的关键要素分别进行了客观描述和历史趋势分析，在此基础上针对上述两大类别域名服务系统分别作了总体的安全量化评价，最后给出了2022年度我国域名安全态势的总体分析结论。2、域名服务安全状况本节介绍域名系统根、顶级、二级及以下权威和递归等四个环节在系统软件、协议支持和服务性能等涉及域名服务安全状况的关键方面的配置运行情况。2.1 根域名服务2.1.1 简介根域名服务位于整个权威域名层级结构的最顶端，全球共设立了13个根服务器（10个位于美国，其它3个分别位于瑞典、荷兰和日本），分别由美国威瑞信公司、南加州大学信息科学研究所、美国COgentCommUniCationS公司、美国马里兰大学学院市分校、美国航天航空管理局（NASA）、美国互联网系统联盟（ISC）美国国防部国防信息系统局、美国国防部陆军研究所、瑞典Netnod公司、荷兰RlPENCC、互联网名称与数字地址分配机构（ICANN）和日本WlDEPrOjeCt等12家境外机构负责运营。为保证其高可用性及抗攻击能力，自2002年以来，各根服务器在全球范围内进行了广泛的镜像部署，以此扩展其全球服务能力，提升其安全性。目前，13个根域名服务器均部署了不同数量的镜像服务器。截至2022年12月31日，全球根服务器已共计部署镜像1500个（较去年同期新增26个）。图1所示为根域名服务的服务器镜像数量历年变化情况。图2所示为2022年各根域名服务器的服务器镜像数量情况。图1.根域名服务器镜像数量历年变化情况（20152022）图2.各根域名服务器的服务器镜像数量情况(2022)2.1.2 系统软件监测显示，目前所有的根域名服务器均使用Unix或者Linux作为其操作系统；在域名解析软件方面，大多数根域名服务器使用ISCBIND软件，也有个别服务器使用了NLnetLabsNSD和KnotDNS等其他软件。ISCBIND软件仍然是根域名服务器运营机构的首选，由于某些原因(例如高危漏洞、商业合作问题等)曾经在2018年临时被MeilofVeeningenPosadis替代作为过渡，问题解决后根域名服务器运营机构重新选择了ISCBlND软件，其地位仍然稳固。2.1.3 协议支持由于在整个互联网中的这种特殊地位，加之其本身所固有的协议设计限制，域名服务系统一直是各种网络攻击行为的重要针对目标。随着网络攻击技术的不断发展以及DNS协议及软件漏洞的频繁曝出，攻击者己经大大缩短了域名劫持所需的时间。若要消除域名劫持风险，现行有效的解决方案就是部署DNSSEC验证服务，通过对DNS通信数据的数字签名验证来确信用户所接收到的数据是完整有效的。作为DNSSEC信任链的根源，根域名服务系统是否支持DNSSEC验证服务对于整个域名服务系统的DNSSEC有效部署至关重要。监测显示，目前的根域名服务系统均已部署DNSSEC验证服务，数据加密算法为RSA/SHA-256。此外，IPv6网络的普及离不开域名服务系统对IPv6的支持。目前，13个根域名服务器均已配置IPv6地址，从而实现了对IPv6查询的全面支持。随着DNSSEC和IPv6地址的推广使用，DNS应答数据包将逐步增大。在IPv4网络到IPv6网络的过渡期间，还会存在某些域名服务器同时使用IPv6和IPv4地址的情况，而传统的DNS数据包通过UDP数据包的形式进行传输，其大小被控制在512字节以内，无法满足大数据包的传输需求。因此，域名服务器在传输超过512字节的数据包时应开启EDNSO支持，或采用TCP代替UDP进行传输。监测结果显示，根域名服务系统均已支持TCP和EDNSO传输。图3展示的是根域名服务的协议支持比例从2016-2022历年变化情况，可以看出，根域名服务系统在协议支持程度方面已经基本趋于完善和稳定，DNSSEC.IPV6和TCP支持率均为100%。DNSSECIPv6TCP201720182019202020212022图3.根域名服务协议支持率历年变化情况（）2.1.4 服务性能根域名服务处于整个域名服务体系的最顶端，其服务性能的高低直接影响到整个互联网应用的服务质量。目前，在全球已部署的1500个根镜像中，有22个位于我国大陆，2022年在工信部对设立域名根服务及域名根服务运行机构进行审批后，新增加2个根镜像服务器。其中通过对国内每个省发起互联网查询得到平均时延统计，得到我国互联网用户对根域名服务的平均查询时延历年变化趋势如图4所示。可以看出，在中国大陆地区部署有镜像服务器的A、F、I、J、L和K根，其平均查询时延相比其他根域名服务器明显较短，而且相比去年解析时延也明显缩短。因此，根服务器镜像的引入，可以有效提高国内根域名服务质量，整体改善网民上网体验，增强我国常态下的域名服务保障能力。20172018H2019H2020B20212022Abcdefghijk图4.根域名服务平均查询时延历年变化情况（亳秒）整体而言，根域名服务在协议支持方面已经趋于完备，在全球服务性能方面一直在持续提升，然而我国的根镜像数量依然较少，与国内庞大的互联网用户规模不匹配，根域名的服务能力仍有较大改善提升空间。本报告倡议国内相关机构进一步推动更多数量的根域名服务器镜像在国内的引入部署，以提升整个国内互联网基础资源安全保隙水平。2.2 顶级域名服务2.2.1 简介顶级域名服务位于整个域名服务体系的次顶端，主要包括两大类别：一类是通用顶级域名（gTLD）,包括xom、.net等传统通用顶级域名，以及近几年新扩展的.网络、.xyz、.ViP等新通用顶级域名（NewgTLD）;另一类是国家顶级域名（CCTLD）,例如我国的.cn和.中国，德国的.de,英国的.uk等。不同于通用顶级域名，国家顶级域名用于标识某个特定国家或地区的域名空间，根据信息社会世界首脑会议-信息社会突尼斯议程，一个国家对于本国ccTLD的管理决策不受他国干涉，因此ccTLD被认为是国家主权在网络空间的象征。根据IANA官方数据，截至2022年12月31日，全球域名服务体系中共存在1497个顶级域名（比去年持平），可以看到，经过多年的运营后，新通用顶级域的发展状况趋于稳定，部分新通用顶级域已经开始运营。2.2.2 系统软件监测显示，顶级域名服务系统普遍采用UniX或LimIX操作系统，占比超过86%o在域名解析软件方面，2022年监测数据显示，MeilofVeeningenPosadis、NLnetLabsNSD、ISCBIND和在顶级域名服务器中的使用率最高，分别占到了48.89%、33.01%和14.10%。其中,ISCBIND和NLnetLabSNSD作为过去顶级域名服务器所使用的前两大域名解析软件，其使用率相比去年有所上升，部分顶级域名运营机构更换其他DNS解析软件后又重新调整到ISCBINDo此外，在现有的安装了ISCBIND的24.16%的顶级域仍然开启了版本应答功能（比例与去年接近），仍然具有一定的安全隐患。本报告建议相关顶级域名运营机构及时关闭此项功能。2.2.3 协议支持随着业界对于DNSSEC的大力推动，各顶级域名服务运营机构也开始积极部署DNSSEC验证服务。截至2022年12月31日，已有92.00%的顶级域名部署了DNSSEC验证服务，所支持的加密算法仍以RSA/SHA-256和RSASHA1-NSEC3-SHA1为主，两者占比达到了94.60%o值得注意的是，仍然有3.04%的DNSSEC顶级域名服务器采用传统的NextSECure（NSEC）机制，该机制具有区文件被遍历、枚举从而泄露所管理的域名解析数据的风险，建议顶级域名运营机构应尽快停止采用NSCE机制。顶级域名服务系统的协议支持情况如图5所示。可以看出，2017年以来顶级域名服务系统的DNSSEC、IPv6和TCP支持程度上始终保持很高的支持率。2022顶级域名服务器（NS）对IPv6的支持比率与去年相比略有增加，达到了90.10%（去年为89.00%）,TCP支持比率为100%与去年基本持平，始终保持了较高的水平，这也说明了在对DNSSEC、IPv6和TCP的支持方面顶级域名服务系统始终走在前列图5.顶级域名服务系统协议支持程度历年变化情况（）2.2.4 服务性能监测显示，顶级域名服务系统均实现了冗余配置2,平均每个顶级域所拥有的服务地址数量由去年的8.80个至今年的8.82个，与去年相比基本持平，其中仍然有超过八成的顶级域名服务器拥有7个以上的服务地址，表现出较高的冗余程I注：本报告中的IPv6支持性基于域名服务器（即NS）级别进行判定和统计。2注：本报告通过该域名服务器所拥有的服务地址的多少反映其冗余配置程度。度，具体情况如图6所示。201620182O1920202O2120228260507q90.717191809”4.77873,-'=三-I-一234567>7图6.顶级域名服务器服务地址数量分布历年变化情况（）权威域名服务器开启递归服务具有易遭受DDoS攻击的风险。监测显示，顶级域名服务器的递归服务开启比例为3.0%,与去年基本持平。建议相关运营机构关闭递归服务，加强对新增顶级域名的安全防护配置水平，避免同时提供权威和递归解析服务。较高的冗余配置能够增强域名服务的鲁棒性和抗攻击能力，但也增加了服务器间域名数据不一致的风险。监测显示，2.40%的顶级域名具有授权数据不一致的问题（与去年持平同期该数值为2.51%）,这会导致它们返回给终端用户的DNS信息3不一致。权威域名服务器通过设置TTL值来决定其权威数据在递归服务器缓存中的存活时间。如果域名服务器设置了较大的TTL值，可能会使得相关权威数据在递归服务器缓存中存活时间过长而导致过期；但如果TTL值设置的过小，域名服务器将会因为频繁的缓存数据更新和区传输导致较大的通信开销，同时增加了终端用户的查询时延。顶级域名服务器的TTL值的设置大小分布如图7所示，可以看出，越来越多的顶级域名开始倾向于选择使用较大的TrL值设置，其中接近六成的顶级域名的TTL值被设定在一天以上（即>86400秒）。300s-3600s 20172018 - 20193600S-10800S2020 -2021202260.610800s-86400s>864005图7.顶级域名的TTL值设置分布历年变化情况（）另外，各顶级域名的平均查询时延分布历年变化如图8所示。可以看出，顶3注：不排除监测时发生区传输等影响区数据致性的操作时段。2019 2020 2021 .201)3)5)7)9)<0.1s0.2s-0.3sO.4sO.5s 0.6s0.7s 0.8s0.9s级域名服务的平均查询时延在0.4s以内（比例占到91.7%）,整体情况较好，而查询时延在0.20.3s的占比最高，在0.1s以内的占比在不断降低，经分析应与顶级域名服务器大多数在国外有关。(4)0.3s*0.4s(6)0.5s-0.6s0.7s-0.8s78910(IO)0.9sls图8.顶级域名服务平均查询时延比例分布历年变化情况（）整体而言，顶级域名服务在协议支持情况、对外服务能力方面相比去年基本持本，说明运行维持稳定。2.3二级及以下权威域名服务2.3.1 简介监测数据显示，2022年12月我国的二级及以下权威域名服务器大约有1.1万台套（按独立NS数量计算）。自2017年以来，监测发现的二级及以下权威域名服务器数量在不断下降，其原因一方面是可能有部分系统的安全策略阻断了平台探测，另一方面是随着CNNlC和阿里巴巴等机构的权威域名解析托管平台的发展，众多域名已不再自行提供权威解析服务，而由托管平台统一提供权威解析服务。作为域名服务系统中数量规模最大的一个环节，二级及以下权威域名服务系统是承载各种互联网应用的直接载体，是终端用户域名访问行为的最终目标，其安全状况的好坏直接影响到各种互联网应用能否稳定运行，一旦发生问题后果将非常严重。2.3.2 系统软件监测数据显示，作为二级及以下权威域名服务器所使用的主流操作系统类型，UniX和LinUX所占比例为73.80%较之去年稍提升（去年的比例为73.01%）。ISCBIND和MeilofVeeningenPosadis是二级及以下权威域名服务器主要使用的域名解析软件，分别占到了59.00%和21.01%。ISCBIND占比仍然超过50%,近2年来MeilofVeeningenPosadis占比上升的原因可能是2018年根域名解析服务器大规模替换使用MeilofVeeningenPosadis后，各域名服务机构跟随根域名运营机构进行了替换，但随着2019年根域名服务器重新使用ISCBIND,使用ISCBIND的比例有所增加，近年来权威域名服务系统域名解析软件的比例已经趋于稳定。此外，40.01%的ISCBIND软件仍旧开启版本应答功能（去年该比例为40.22%）,开启此功能有助于攻击者更好地确定系统漏洞进行攻击，存在一定的安全隐患。本报告建议相关域名运营机构及时关闭此项功能。2.3.3 协议支持在根域名服务和顶级域名服务DNSSEC部署程度已经非常的高的情况下，二级及以下权威域名一直是业界期望整体实现DNSSEC功能、消除安全孤岛的工作难点所在。监测显示，目前仅有0.1%的二级及以下权威域名部署了DNSSEC验证服务，数量依然较少，同去年相比基本没有变化。二级及以下权威域名服务器的协议支持比例情况如图9所示。可以看出，二级及以下权威域名服务器已经普遍开始支持TCP查询传输，但是在DNSSEC、IPv6支持程度方面的进展依然缓慢。20172018201920202021202283.9880DNSSECIPv6TCP图9.二级及以下权威域名服务器协议支持比例历年变化情况（）2.3.4 服务性能在服务冗余方面，59.20%的二级及以下权威域名具有冗余配置，平均每个域所拥有的服务器地址数由去年的4.58个增加到今年的4.60个，基本持平，具体情况如图10所示。201720182019202020212022图10.二级及以下权威域名服务器服务地址数量分布历年变化情况（）另外，仍然有大约22.36%的二级及以下权威域名服务器开启了递归服务（去年比例为24.58%）,这种配置缺陷具有易遭受DDoS攻击的风险，建议权威域名运营机构尽快加以改善，避免同时提供权威和递归解析服务。二级及以下权威域名服务器的TTL值的设置大小分布历年变化情况如图11所示，与顶级域名服务器类似，开始有越来越多的二级及以下权威域开始倾向于选择设置较大的TTL值。图11.二级及以下权威域名服务器TTL值设置大小分布历年变化情况（）二级及以下权威域名服务器的平均查询时延分布历年变化情况如图12所示。趋势大致与去年持平，可以看出，同过去2年相比，我国的二级及以下权威域名服务的整体查询时延有了比较明显的改善，超过八成的二级及以下权威域名服务器的平均查询时延在100毫秒以内。然而，二级及以下权威域名服务器的整体查询时延分布较广、差别巨大，这充分反映出各二级及以下权威域名服务器在性能负载、运维管理水平等方面参差不齐，这是二级及以下权威域名服务作为最大规模的域名服务环节所表现出的特有现象。87.220172018fl2O19202020212022>1 1 3 S 7 9 1<0.1s(2)O.ls-O.2sO.2sO.3s(4)0,3s0.4s0.4s0.5s(6)0.Ss*0.6s0.6s0.7s(8)0,7s-0.8s0.8s0.9s(IO)0.9s*ls图12.二级及以下权威域名服务器平均查询时延比例分布历年变化情况（）2.3.5 重点权威域名服务2.3.5.1 简介除了对我国的二级及以下权威域名服务器作全面监测分析以外，本报告还遴选了三百多个来自政府机构、金融机构、网络运营商以及涉及到国计民生行业的重点权威域名，对其服务器的安全配置情况进行了针对性统计分析。2.3.5.2 系统软件监测显示，重点权威域名服务器采用Unix或Linux操作系统的比例为84.80%o采用ISCBIND作为域名解析软件的服务器比例占到了69.20%,其中仍然有33.20%的ISCBIND开启了版本应答，存在版本信息泄露的安全隐患（去年该比例为36.09%）。2.3.5.3 协议支持重点权威域名服务器的协议支持情况如图13、14所示。与国内其他二级及以下域名相比，重点权威域名服务的协议支持情况相对较好，但总体上对于DNSSEC的支持程度依然处于较低水平，而IPv6近两年的支持状况有了较大幅度的提升，达到了52.00%,也客观反映了国内IPv6工作推进的成效。此外，仍然有7.01%的重点权威域名服务器开启了递归服务，比去年状况略好，但仍然存在遭受DDOS攻击的风险（去年该数据为7.22%）。201720182019202020212022图13.重点权威域名服务器协议支持比例历年变化情况（）国内国内重点8&0095.8DNSSECIPv6TCP图14.国内及国内重点权威域名服务协议支持情况对比（）2.3.5.4 服务性能在服务冗余方面，76.88%的重点权威域名服务具有冗余配置，平均每个重点权威域名拥有7.42个服务器地址，数据与去年基本持平，总体冗余程度相对其它权威要高（图15、16）。冗余大于2的服务占比有所减少，原因经分析是很多权威解析服务上云所致。图15.重点权威域名服务地址数量比例分布历年变化情况（）31.5国内,国内重点10,01286158522.8L.1.5.L0.O,，.2.82.72.32.21234567>7图16.国内及国内重点权威域名服务地址数量比例分布对比（）重点权威域名服务的TTL值设置分布情况如图17、图18所示，可以看出,大部分重点权威域名服务的TTL设置较大，域名权威数据稳定。图17.重点权威域名服务TTL值设置分布历年变化情况（）此外，如图19所示，大约93.81%的重点权威域名服务的平均解析时延均小于100毫秒。另外从图20中也可以看出，重点权威域名服务的平均解析时延好于其它权威域名服务。 2017 b2018 b2019 2020 h2021 2022(1<O.ls0.2s-0.3s0.4s0.5s0.6s-0.7s(4(6(80.1s0.20.3s0.40.5s0.60.7s-0.80.00.00.00.00.0图19.国内重点权威域名服务器查询时延比例分布历年变化情况（）16o.s国内 国内聿点0.7 0 0 0.4 0.0 0.50.0<0.1s(2)O.lsO.2sO.2s-O.3s(4)0.3s0.4s0.4s0.5s(6)0.5s-0.6s0.6s-0.7s0.7s-0.8s0.8s-0.9s(IO)0.9s-Is0.3 0.0 0.3 0.0 0.3 0,0 21 0.07891011图20.国内及国内重点权威域名服务器平均查询时延比例分布对比（）整体而言，我国二级及以下权威域名在协议支持方面有所改善，TCP和IPv6的部署有一定进展，但DNSSEC进展依然较为缓慢。另外，二级及以下权威域名服务能力参差不齐，部分二级及以下权威域名服务采取的是自建方式，而另一部分则是交给托管商进行托管。而各托管商在运维管理水平、安全保障能力等方面也存在较大差异，一旦出现网络安全事件，难以开展及时有效的应急处置和追溯问责。特别是规模较大的托管商，一旦发生问题，可能会导致大量域名的访问失效。2.4递归域名服务2.4.1简介递归域名服务是用户访问整个域名空间的入口，所有的域名查询都需要通过递归域名服务来执行。监测显示，我国递归域名服务系统大约有11万余台套。作为和终端用户直接交互的环节，递归域名服务系统的服务状况和安全配置情况对于终端用户所获取到的域名解析数据的完整性、正确性和及时性有着直接的影响，同时在国家网络安全管理和应急安全处置中发挥着重要作用。2.4.2系统软件监测显示，递归域名服务器采用Unix或Linux操作系统的比例为65.90%；ISCBIND、MeilofVeeningenPosadis和MicrosoftWindowsDNS是递归域名服务器所主要使用的三大域名解析软件，使用比率分别占到了33.10%和22.00%和15.20%o其中，使用ISCBIND的递归域名服务器中开启版本应答的比例为1.1.1 %（去年比例为41.21%）,仍然存在版本信息泄露的安全隐患，建议相关运营方及时关闭此项功能。2.4.3 协议支持递归域名服务器的协议支持比例历年变化情况如图21所示。可以看出，近年来我国递归域名服务器在DNSSEC验证服务的支持程度方面进展仍然缓慢，目前仅有L50%o图21.递归域名服务协议支持比例分布历年变化情况（）值得注意的是，递归域名服务对于大数据包的支持情况已经比较完善，支持超过512字节的大数据包的服务器比例为98.40%,具体如图22所示。 2017 a2018 a2019 2020 a 2021 20229<512B512B-1024B1024B-2048B2048B-3072B>3072B图22.递归域名服务最大数据包支持比例分布历年变化情况（）递归域名服务一直面临缓存中毒攻击的威胁，其主要原因就是递归域名服务的端口随机性不高，从而提高了缓存中毒攻击的成功率。递归域名服务的端口随机性程度比例分布情况如图23所示，和去年监测结果比较有较大改善，端口随机性程度非常高的递归域名服务比例已经接近100%。 2017 2018 2019 2020 2021 2022200.0 100.0忧69.20.00.010.70.00.0图23.递归域名服务端口随机性程度比例分布历年变化情况（）2.4.4 服务性能递归域名服务的平均查询时延比例分布历年变化情况如图24所示。可以看出，递归域名服务整体平均查询时延情况较为理想，接近九成的查询时延在100毫秒以内，整体上保证了用户获取域名查询结果的高效及时。2017201812019202020212022<0.1s(2)0.1s-0.2s0.2s-0.3s(4)0.3sa0.4s0.4s-0.5s(6)0.5s0.6s0.6s0.7s(8)0.7s-0.8s0.8s-0.9s(10)0.9sls>ls172.11.40.50.30.20.50.4345678910图24.递归域名服务平均查询时延比例分布历年变化情况（）2.4.5 主要递归域名服务2.4.5.1 简介对于大部分国内用户来说，他们所使用的递归域名服务主要来源于两种：一种是国内基础电信运营企业所提供的递归域名服务，另一种是一些大型互联网服务企业所提供的公共递归域名服务。目前，国内主要基础电信运营企业（即中国电信、中国联通、中国移动（含中国铁通）和各大主要公共递归域名服务（诸如CNNlCI248、114DNS、360、阿里云等公共递归）在全国范围内部署的主要递归域名服务器共计有五百余台套。2.4.5.2 系统软件监测显示，国内主要递归域名服务器采用Unix或Linux操作系统的比例超过90.50%；使用ISCBIND作为域名解析软件的比例占到24.80%,其中BIND版本应答比例为15.10%,优于国内递归域名服务的整体平均水平。2.4.5.3 协议支持协议支持程度方面，国内主要递归域名服务对EDNSO的支持率达到98.9%；对于TCP支持率达到98.60%,远高于国内递归域名服务的平均水平。另外，国内主要递归域名服务的DNSSEC支持率同样偏低，仅有2.00%,如图25、图26所示。图25.国内主要递归域名服务协议支持比例分布历年变化情况（）图26.国内及国内主要递归域名服务协议支持情况对比（）国内主要递归域名服务对于大数据包的支持程度同去年相比己经基本稳定，并同国内整体水平保持基本一致，支持超过512字节的大数据包的服务器比例达到97.60%（图27）O 2017 2018.2019 2020 2021 . 202295 95.图27.国内主要递归域名服务最大数据包支持比例分布历年变化情况（）另外，国内主要递归域名服务的端口随机性程度整体较高，端口随机性程度为优的服务器比例达到了100%,明显高于国内递归域名服务的整体平均水平（图28、29）O2017H201820192020202120220.90.00.00.0图28.国内主要递归域名服务端口随机性程度比例分布历年变化图29.国内及国内主要递归域名服务端口随机性程度比例分布对比（）如图30、图31所示，国内主要递归域名服务的查询时延分布情况同国内整体水平基本保持一致，67.30%的服务器查询时延集中在100毫秒以内，与其他递归的平均值相比整体解析性能良好。0.1s-0.20.3s0.40.5s0.60.7s0.8(10) 0.9sls(1) <0.1s(3) 0.2s0.3s(5) 0.4s0.5s(7) 0.6s0.7s(9) 0.8s0.9s(11) >ls0.3 214 0.1 08 0.2 0.0 0.2 16 0.2 16 0.1 0.0 0.52017 2018 . 2019 2020 2021 202212356789102)图30.国内主要递归域名服务查询时延比例分布历年变化情况（）84.667.319.I国内递归国内主要2(1)<0.1s(2)0.1s-0.2s(3)0.2s-0.3s(4)0.3s-0.4s(5)0.4s-0.5s(6)0.5s-0.6s(7)0.6s-0.7s(8)0.7s-0.8s(9)0.8s0.9s(10)0.9sls（三）>ls17'52.11.61.42.40.51345678910图31.国内及国内主要递归域名服务查询时延比例分布对比（）由于递归域名服务直接面向用户，能够轻易掌握用户的所有上网行为信息，其安全运行对于保障我国互联网日常安全也极为重要。整体而言，我国递归域名服务状况良好，但在协议支持方面存在明显短板，特别是DNSSEC的部署进展极为缓慢。3、域名服务安全总体评估域名服务安全总体评估旨在针对域名服务体系各个环节，选择恰当的监测项并进行归一化处理，然后根据域名系统常见安全威胁进行监测项的权重设置，以量化的方式对域名服务体系整体安全状态进行客观、准确的评估，包括权威域名服务和递归域名服务两个部分。3.1 权威域名服务权威域名服务器主要用于维护和提供域名权威数据，其可能遭受的攻击包括DDoS攻击、数据篡改等，对权威服务器的安全评估主要考虑权威域名服务系统服务架构、服务器配置、安全功能支持以及服务器性能四个方面。安全指标如表1所示。表1.权威域名服务安全指标安全指标值含义0<#<0.4服务安全差，如存在配置漏洞0.4<#<0.7服务安全良，如无配置漏洞0.7<l服务安全优，如具有若干安全防护配置根据监测数据，我国2022年度权威域名服务总体安全状况分布如图32所示。可以看出，我国权威域名服务总体安全状况呈现出整体向好的趋势，即安全状况为差的权威域名服务器比例在逐年降低。今年，我国权威域名服务的平均安全状况分值为0.48,总体安全状况为良，与去年相比略有提升。图32.权威域名服务总体安全状况分布历年变化（）对于我国的重点权威域名服务，其总体安全状况分布如图33、34所示，可以看出，国内重点权威域名服务器及大部分国内重点权威域名服务器配置较为完善，安全状况良好。优良差图33.重点权威域名总体安全状况分布历年变化（）93.496.2优良差图34.国内及国内重点权威域名总体安全状况分布对比（）3.2 递归域名服务递归域名服务器负责进行域名解析查询，并对所获取到的权威数据进行缓存，其可能遭受的攻击包括DDOS攻击、缓存中毒等，对递归域名服务系统的安全评估主要考虑服务器配置、安全功能支持以及服务器性能三个方面，安全指标如表2所不。表2.递归域名服务安全指标安全指标值含义0<#<0.4服务安全差，如存在配置漏洞0.4<#<0.7服务安全良，如无配置漏洞0.7l服务安全优，如具有若干安全防护配置根据监测数据，我国的递归域名服务总体安全状况如图35所示。可以