【YD通讯标准】 基于 IPv6 的下一代互联网域名服务配置安全检测要求

ICS35.110
中华人民共和国通信行业标准
YD/T2838-2015
基于IPv6的下一代互联网域名服务配置安全检测要求
Securitytestrequirementsfordomain name service configurationoftheIPv6basednextgenerationInternet2015-04-30发布免费标准下载网bzxz
2015-07-01实施
中华人民共和国工业和信息化部发布前言·
1范围
2规范性引用文件.
3术语、定义和缩略语·
3.1术语和定义·
3.2缩略语
4IPv6网络域名服务配置安全检测技术相关协议字段简介4.1DNS协议消息格式：
5IPv6网络域名服务配置安全检测技术要求5.1IPv6网络域名服务配置安全检测环境搭建5.2IPv6网络域名服务权威服务器配置检测技术要求5.3IPv6网络域名服务递归服务器配置检测技术要求·5.4IPv6网络域名服务解析器配置检测技术要求…5.5IPv6网络域名服务区文件配置检测技术要求·5.6IPv6网络域名服务DNS消息传输配置检测技术要求·YD/T2838-2015
YD/T2838-2015
本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一，该系列标准的结构和预计名称如下：
1）基于IPv6的下一代互联网DNSSEC数据包安全技术要求2）基于IPv6的下一代互联网DNSSEC数据包安全检测要求3）基于IPv6的下一代互联网域名服务配置安全技术要求4）基于IPv6的下一代互联网域名服务配置安全检测要求5）基于IPv6的下一代互联网中文域名注册和实现安全技术要求6）基于IPv6的下一代互联网中文域名注册和实现安全检测要求本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心、中国科学院计算机网络信息中心、国家计算机网络应急技术处理协调中心。
本标准主要起草人：邓光青、姚健康、孔宁、沈烁、邹潇湘、李海灵。H
iiiKAoNiKAca
YD/T2838-2015
随着基于IPv6的下一代互联网的不断发展，域名系统作为核心的互联网基础设施越来越成为维护互联网安全稳定的重要环节。但DNS权威服务器的某些错误配置会严重影响IPv6相关资源记录的查询，并进而导致IPv4域名解析服务不可用，甚至引发严重的域名解析延迟以及拒绝服务攻击。随着IPv6部署范围的不断扩大，域名服务中IPv6相关资源记录的配置安全问题显得更为重要。目前国内外尚无任何针对下一代互联网域名服务IPv6配置的安全标准。本标准旨在从操作层面上提供下一代互联网域名服务IPv6安全配置的客观标准和执行方法
TiiKAoNiKAca
YD/T2838-2015
基于IPv6的下一代互联网域名服务配置安全检测要求1范围
本标准规定了域名服务IPv6配置安全检测要求。本标准适用于对互联网相关的域名服务系统的检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2135-2010域名系统运行总体技术要求YD/T2838-2015基于IPv6的下一代互联网域名服务配置安全技术要求IETFRFC1035域名的实现与规范
3术语、定义和缩略语
3.1术语和定义
YD/T2135-2010和YD/T2837-2015《基于IPv6的下一代互联网域名服务配置安全技术要求》界定的术语和定义适用于本文件。
3.2缩略语
下列缩略语适用于本文件。
Domain Name System
Internet Protocol
Top Level Domain
Second Level Domain
域名服务系统
因特网协议
顶级域
二级域
4IPv6网络域名服务配置安全检测技术相关协议字段简介4.1DNS协议消息格式
4.1.1DNS协议消息字段整体说明IETFRFC1035规定了DNS的具体报文格式，DNS协议消息由12字节的首部和4个长度可变的字段组成，其格式如图1所示。
4.1.2消息首部
报文首部包括标识、标志、问题数、资源记录数、授权资源记录数以及额外资源记录数6个字段构成。每个字段的具体要求如下：1）标识
长度为16位，由客户程序设置并由服务器返回。标识字段用来关联DNS请求与应答报文。1
HiiKAoNiKAca
YD/T2838-2015
012345678910111213141516171819202122232425262728293031标识(ID)
问题数（QDCOUNT)
授权资源记录数（NSCOUNT）
标志(Flag)
回答资源记录数（ANCOUNT）
额外资源记录数（ARCOUNT）
问题(Question)
回答（Answer)
（资源记录数可变）
授权(Authority）
（资源记录数可变）
额外信息（Additional）
（资源记录数可变）
图1DNS消息格式
2）标志
长度为16位，格式如图2所示。
opcode
(zero)
图2DNS消息标志字段说明
QR：标记DNS报文为请求或响应类型，0表示查询报文，1表示响应报文。12字节
Opcode：即操作码，通常值为0（标准查询），其他值为1（反向查询）和2（服务器状态请求）。AA：权威应答标志，在应答报文中有效，指示应答报文为指定区的权威应答。TC：表示报文是否为可截断的。RD：期望递归标志，在请求报文中设置，并且被拷贝至应答报文。RA：可用递归标志，在响应报文中设置，指示名字服务器是否提供递归查询功能。Rcode：响应码，通常为0（没有差错）和3（名字差错）。3）问题数
为16位长无符号数字，指示在问题（Question）段中包含的问题数目。4）回答资源记录数
为16位长无符号数字，指示在回答（Answer）段中所包含的资源记录数目。5）权威资源记录数
为16位长无符号数字，指示在授权（Authority）段中所包含的资源记录数目。6）额外资源记录数
为16位长无符号数字，指示额外信息（Additional）段中所包含的额外资源记录数目。4.1.3消息正文
iiiKAoiKAca
YD/T2838-2015
正文部分通常可包含四个段，即问题（Question）、回答（Answer）、授权（Authority）和额外信息（Additional）。每段的具体要求如下：1）问题
问题部分信息格式如图3所示。
01234567891011121314151671819202122232425262728293031查询名（QNAME）
查询类型（QTYPE）
查询类（QCLASS)
图3问题部分报文构成
查询名为要查找的域名：查询类型为被查询资源记录的具体类型，如A资源记录；查询类为被查资源记录所属的类，如互联网（Intermet）为IN。2）资源记录
DNS消息的最后3个字段（即回答、授权和额外信息），均由若干条资源记录构成，资源记录的格式如图4所示。
01234567891011121314151671819202122232425262728293031域名(NAME)
类型(TYPE)
生存时间(TTL)
资源数据长度（RDLENGTH）
资源数据(RDATA)
图4资源记录格式
一域名：记录中资源记录对应的名字。一类型：资源记录所属的类型，如A、NS以及AAAA等。一类：资源记录所属的类，通常为1，指Internet数据。一生存时间：客户程序保留该资源记录的秒数。类(CLASS)
一资源数据长度字段：指明资源数据（RDATA）所包含的字节数。一资源数据：描述该资源记录的一段可变长度的字符，其长度与资源记录所属的类型和类有关。5IPv6网络域名服务配置安全检测技术要求5.1IPv6网络域名服务配置安全检测环境搭建测试环境包含了DNS系统的三大基本组成部分：权威服务器、递归服务器以及解析器，其拓扑结构如图5所示。
iiikAoikAca
YD/T2838-2015
解析器
权威服务器
递归服务器
图5测试环境示意图
其中递归服务器一方面接受来自DNS解析器器发来的DNS资源记录请求，另一方面根据到来的DNS资源记录请求向相应的权威服务器请求对应的资源记录并缓存相应的资源记录。5.2IPv6网络域名服务权威服务器配置检测技术要求测试编号：1
测试项目：权威服务器对AAAA资源记录查询请求的响应测试目的：检验权威服务器是否会忽略AAAA查询测试配置：
权威服务器正常运行，但不加载AAAA资源记录测试过程：
测试环境如图5所示，具体测试步骤如下：1）递归服务器向权威服务器发起AAAA查询请求，同时启动一个计时器，以记录从递归服务器发出AAAA查询请求到接收到相应AAAA资源记录之间的间隔：2）递归服务器对接收到的AAAA资源记录查询响应进行分析，以判断该响应格式是否正确预期结果：
1）DNS递归服务器在DNS正常超时时间之前接收到来自权威服务器的响应，即响应未超时。2）权威服务器返回的AAAA资源记录查询响应的响应代码（RCODE）为O，且答案部分（answersection）设置为空
5.3IPv6网络域名服务递归服务器配重检测技术要求测试编号：2
测试项目：递归服务器在发送AAAA资源记录查询请求时的权威服务器选择策略测试目的：检验递归服务器能否避开没有获得AAAA资源记录授权的权威服务器测试配置：
将一个服务器设置为其所在区的权威服务器，但其没有获得返回AAAA资源记录查询响应的授权测试过程：
测试环境如图5所示，具体测试步骤如下：递归服务器向该权威服务器持续发起AAAA资源记录查询请求预期结果：
从第二次查询请求开始，递归服务器便不再将AAAA资源记录查询请求发送给该权威服务器4
TiikAoNiAca
5.4IPv6网络域名服务解析器配置检测技术要求测试编号：3
测试项目：解析器对A/AAAA资源记录的查询顺序测试目的：检验解析器对A/AAAA资源记录的查询顺序是否正确测试配置：
解析器正常运行
测试过程：
测试环境如图5所示，具体测试步骤如下：YD/T2838-2015
1）调用操作系统的getaddrinfoO函数来获取一个给定域名（例如cnnic.cn）的IPv4以及IPv6地址；2）在解析器所在的主机上安装并运行抓包软件，以抓取解析器发出的所有DNS请求消息预期结果：
分析抓包软件所抓取的DNS请求消息，AAAA资源记录查询请求不晚于A资源记录查询请求发送5.5IPv6网络域名服务区文件配置检测技术要求5.5.1AAAA记录的IPv6地址检测技术要求测试编号：4
测试项目：AAAA资源记录的IPv6地址范围测试目的：检验AAAA资源记录对应的IPv6地址是否合理测试配置：
DNS区文件已存在
测试过程：
使用脚本程序扫描DNS区文件中AAAA资源记录，记录AAAA资源记录对应的IPv6地址预期结果：
公共DNS资源记录中不包含本地链路IPv6地址（fe80:/10）以及本地网站地址（fec0:/10)；非公共DNS资源记录中不包含本地链路IPv6地址（fe80：/10）5.5.2区文件中加载AAAA资源记录配置检测要求测试编号：5
测试项目：权威服务器IPv6接口的可用性测试目的：检测权威服务器的IPv6接口是否可用测试配置：
递归服务器已正常连入IPv6基础设施测试过程：
递归服务器使用PING命令来访问权威服务器的IPv6地址预期结果：
递归服务器能正常接收到PING命令的回复报文5
iiikAoikAca
YD/T2838-2015
5.6IPV6网络域名服务DNS消息传输配置检测技术要求5.6.1基于IPv4协议查询AAAA资源记录配置检测技术要求测试编号：6
测试项目：DNS消息的传输与DNS报文的独立性测试目的：检测能否基于IPv4协议查询AAAA资源记录测试配置：
递归服务器与权威服务器之间的IPv4连接畅通测试过程：
测试环境如图5所示，具体测试步骤如下：递归服务器通过IPv4协议向权威服务器发起AAAA资源记录查询请求预期结果：
递归服务器能正常接收到AAAA资源记录查询响应5.6.2基于IPv6协议查询A资源记录配置检测技术要求测试编号：7
测试项目：DNS消息的传输与DNS报文的独立性测试目的：检测能否基于IPv6协议查询A资源记录测试配置：
递归服务器与权威服务器之间的IPv6连接畅通测试过程：
测试环境如图5所示，具体测试步骤如下：递归服务器通过IPv6协议向权威服务器发起A资源记录查询请求预期结果：
递归服务器能正常接收到A资源记录查询响应
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。