YD_T 2836-2015基于IPv6的下一代互联网DNSSEC数据包安全检测要求.pdf

ICS 35.110M 11YD中华人民共和国通信行业标准YD/T2836-2015基于IPv6的下一代互联网DNSSEC数据包安全检测要求Securitytest requirements forDNSSEC datapackageofthe IPv6basednextgeneration Internet2015-04-30发布2015-07-01实施中华人民共和国工业和信息化部发布 YD/T次前引言·1范围·2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语4DNSSEC数据包安全检测相关协议字段简介.4.1DNS消总格式4.2DNS伪资源记录5DNSSEC数据包安全检测技术要求·5.1DNSSEC数据包安全检测环境搭建5.2DNSSEC解析器的安全检测技术要求DNSSEC权威域名服务器安全检测技术要求5.4支持DNSSEC的递归域名服务器安全检测技术要求5.5防火增安全检测技术要求 YD/T 283620155.5.2测试防火墙是香支持长度大于512字节的DNS消息测试编号：7测试项目：防火墙对DNS消息长度的支持程度测试目的：检验防火墙是否支持长度大于512字节的DNS消息测试系统拓扑结构如图4所示，在一个测试DNSSEC递归服务器上创建一条域名为的AAAA资源记录及其对应的RRSIG资源记录，且使上述两个资源记录对应的DNS报文的长度大于512字节测试过程：1）首先，在DNSSEC解析器上创建一个DNS资源记录查询请求，以对的AAAA资源记录及其对应的RRSIG资源记录发起查询请求；）（UDP数据包最大长度”）设置为4000（即大于1220字节）：预期结果：DNSSEC解析器能正确接收到的AAAA资源记录及其对应的RRSIG资源记录测试说明：部分未更新的防火墙可能会直接丢弃长度大于512字节的DNS消息 YD/T2836-2015中华人民共和国通信行业标准基于IPv6的下一代互联网DNSSEC数据包安全检测要求YD/T民邮电出版社出版发行北京市丰台区成寿寺路11号邮电出舰大厦邮政编码：100164北京康利胶印厂印刷版权所有不得留印*开本：880×12301/162015年12月第1版据; 12015年12月北京第1次印期字致：21千字15115 + 711定价：10元本书如有印装质量问题，记请与本社联系电话：(010 YD/T言本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一，该系列标准的结构和预计名称如下:1）基于IPv6的下一代互联网DNSSBC数据包安全技术要求；2）基于IPv6的下一代互联网DNSSEC数据包安全检测要求；3）基于IPv6的下一代互联网域名服务配置安全技术要求；4）基于IPv6的下一代互联网域名服务配置安全检测要求；5）基于IPv6的下一代互联网中文域名注册和实现安全技术要求；6）基于IPv6的下一代互联网中文域名注册和实现安全检测要求。本标准按照GB/T1.1-2009给出的规则起草，请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国科学院计算机网络信息中心（中国互联网络信息中心）、国家计算机网络应急技术处理协调中心。本标准主要起草人：孔宁、邓光青、姊健康、沈烁、邹满湘、陈悦II YD/T2836~2015引言随着基于IPv6的下一代互联网的不断发展，域名系统作为当前互联网的重要基础设施也将成为维护下一代互联网安全稳定的重要一环。随着DNSSEC技术在DNS根区的部署，DNSSEC越来越普及，DNSSEC在增强域名系统安全性的同时也对域名系统的各个环节提出了新的要求。与传统DNS数据包相比，DNSSEC数据包明显增大，而且DNSSEC数据包的传输协议不仅包括UDP也包括TCP，如果DNSSEC数据包传输环节（包括权威服务器、递妇服务器、解析器及防火墙等）的某一环节不能支持DNSSEC的包长规定及传输协议，将造成DNSSEC数据包的传输失败，由此将造成DNSSEC功能失效，进而损害域名系统的安全性，并最终将严重影响下一代互联网的安全稳定运行，固此，制定DNSSEC数据包相关的安全检测技术标准显得尤为重要。目前国内外尚无任何针对基于IPv6的下一代互联网DNSSEC数据包安全的标准。本标准的提出从探作层面上提供了基于IPv6的下一代互联网DNSSEC数据包安全检测的客观标准和执行方法。 YD/T于IPv6的下一代互联网DNSSEC数据包安全检测要求1范围本标准规定了名服务DNSSEC数据包安全的检测要求。本标准适用于对互联网相关的域名服务系统的检测。2规范性引用文件下列文件