中国IDC产业年度大典典 互联网域名安全挑战及的对策 下.ppt

互联网域名安全挑战及对策 邢志杰 中国互联网络信息中心 CNC NI DNS面临的安全威胁 DNSSEC对非流量式攻击具有很好的防范效果 拒绝服务 信息泄露 数据损坏 拒绝服务 信息泄露 DNSSEC概览 DNS Security Extensions(DNs安全扩展) 诞生于1995年 DNSSEC 由 IETF DNSEXT工作组推动 必威体育精装版修订于RFC4033、4034、4035和5155 在原有DNS协议的基础上增加了新的记录类型 NI DNSSEC概 DNSSEC提供的安全特征 数据源认证一 我得到的数据是否来自真实、合法的发送方 提供完整性 我得到的数据在传输过程中是否已被他人篡改? 其他特 授权体系更加紧密? aNN DNSSEC概览 DNSSEC能解决的DNS安全问题 黑客将错误的 域名纪录存入 黑客通过控制 缓存中,从而 叵名管理密码 使所有使用该 爰存服务器的 域名劫持缓存中毒 用户得到错误 向已被黑客控 的DNS解析结 制的DNS服务 器,通过在该 DNSSEC 相应域名记 攻击者冒充域 务器的 达到劫持用户 的目的 中间人攻击 种欺骗行为 要用于向 主机提供错误 DNS信息 s实施 DNSSEC DNSSEC实施的利与弊 利 弊 域名的来源可验证 服务器负担 ·反钓鱼 签名和验证消耗系统 ·防止緩存中毒 改进SSL 密钥安全 ·域名记录完整性 网络负担 防止篡改记录 超长UDP报文(需要 修改路由器配) 防止伪造域名 N全球部署进展 各个研究、运维组织都 越来越多的区支持 在积极推动 DNSSEC的 DNSSEC, DNSSEC体 系正在不断完善 DNSSEC在对抗DNs 具、经验都在不断完善 攻击方面发挥着越来越 和积累 重要的作用 N全球部署进展 正式根签 ·第二次根密钥生成仪式 2010.6.15 ·第一次根密钥生成仪式 2009 ICANN制定正式的 DNSSEC部署时间表 2008 积极鼓励进行 DNSSEC部署测试 2007 ICANN开始推动 DNSSEC的部署 2006 ·IETF技术人员推动 DNSSEC技术发展和部署 s全球部署进展 DNSSEC在各类顶级域中的部署比例 GTLD A.顶级拭 B.国家及地区顶级域 33% C.通用顶级域(包括arpa) D测试质级域) A B C D N全球部署进展 欧洲 ←亚洲 正式运行(19) 部分运行(4) 宣布支持(1) 试验性部署(5) 预计到2010年12月31日,将有19个国家与地区顶级域 部署 DNSSEC并开始正式运行 部署升级过程是完全平滑的