中国IDC产业年度大典---互联网域名安全挑战及对策--下培训课件.pptVIP

互联网域名平安挑战及对策 邢志杰 中国互联网络信息中心 信息泄露 拒绝服务 数据损坏 DNS面临的平安威胁 信息泄露 数据损坏 拒绝服务 DNSSEC对非流量式攻击具有很好的防范效果 信息泄露 数据损坏 拒绝服务 DNSSEC 信息泄露 数据损坏 拒绝服务 DNSSEC DNSSEC概览 在原有DNS协议的基础上增加了新的记录类型 DNS Security Extensions (DNS安全扩展) 诞生于1995年 由IETF DNSEXT工作组推动 最新修订于 RFC 4033、4034、4035和5155 DNSSEC DNSSEC概览 数据源认证 提供完整性 其他特征 我得到的数据是否来自真实、合法的发送方？ DNSSEC提供的平安特征 我得到的数据在传输过程中是否已被他人篡改？ 授权体系更加严密？ DNSSEC概览 DNSSEC能解决的DNS平安问题 DNSSEC 域名劫持 缓存中毒 中间人攻击 黑客将错误的域名纪录存入缓存中，从而使所有使用该缓存效劳器的用户得到错误的DNS解析结果 攻击者冒充域名效劳器的一种欺骗行为，它主要用于向主机提供错误DNS信息 黑客通过控制域名管理密码和邮箱，将域名的NS记录指向已被黑客控制的DNS效劳器，通过在该效劳器上添加相应域名记录到达劫持用户的目的 效劳器负担 签名和验证消耗系统资源 数据量大大增加 密钥管理和密钥平安 网络负担 超长UDP报文〔需要修改路由器配置〕 传输数据量大大增加 实施DNSSEC 弊 利 域名的来源可验证 反钓鱼 防止缓存中毒 改进SSL 域名记录完整性 防止篡改记录 防止伪造域名 DNSSEC实施的利与弊 全球部署进展 DNSSEC的协议、工具、经历都在不断完善和积累 越来越多的区支持DNSSEC，DNSSEC体系正在不断完善 各个研究、运维组织都在积极推动DNSSEC的开展 DNSSEC在对抗DNS攻击方面发挥着越来越重要的作用 2021.7.15 2021.7.12 2021.6.15 2021 2021 2007 2006 ICANN开场推动DNSSEC的部署 IETF技术人员推动DNSSEC技术开展和部署 正式根签 第二次根密钥生成仪式 第一次根密钥生成仪式 ICANN制定正式的DNSSEC部署时间表 积极鼓励进展DNSSEC部署测试 全球部署进展 根签时间表 DNSSEC在各类顶级域中的部署比例 A B C D 13% 7% 33% A. 顶级域 C. 通用顶级域〔包括.arpa〕 B. 国家及地区顶级域 全球部署进展 arpa biz cat edu gov museum org GTLD 100% D. 测试顶级域 全球部署进展 预计到2021年12月31日，将有19个国家与地区顶级域 部署DNSSEC并开场正式运行 部署升级过程是完全平滑的 美洲 欧洲 亚洲 正式运行 (19) 局部运行 (4) 宣布支持 (1) 试验性部署 (5) DNS面临的威胁 DNSSEC概览 CNNIC所做的工作及进展 互联网域名平安挑战及对策 域名效劳平安现状 内容 北龙中网在域名效劳〔DNS〕领域积累 效劳产业化 设备产业化 推动标准，分享经历 掌握自主核心技术 高可信云解析服务 专用DNS设备 行业标准制定 核心技术研发