【YD通讯标准】 支持 IPv6 的域名系统(DNS)安全技术要求

ICS33.060
中华人民共和国通信行业标准
YD/T2834-2015
支持IPv6的域名系统(DNS)安全技术要求DNS securitytechnical requirements forIPv62015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前
2规范性引用文件·
3术语、定义和缩略语：
3.1术语和定义.
3.2缩略语·
4支持IPv6的域名系统面临的主要安全威胁.5支持IPv6的域名系统安全技术要求*5.1安全功能要求
5.2安全部署要求
5.3安全管理要求…
附录A（规范性附录）支持IPv6的域名系统技术要求YD/T2834-2015
YD/T2834-2015
本标准由中国标准化协会提出并归口。前言
本标准起草单位：中国联合网络通信集团有限公司、中国电信集团公司、工业和信息化部电信研究院、中国互联网络信息中心。
本标准主要起草人：夏俊杰、王晓、贾亦辰。HiiKAoiKAca
1范围
支持IPV6的域名系统（DNS）安全技术要求YD/T2834-2015
本标准规定了支持IPv6的域名系统运行的安全技术要求，包括安全功能要求、安全部署要求和安全管理要求。
本标准适用于IPv6网络环境下的域名系统和IPv4与IPv6共存网络环境下的域名系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2091-2010
IETFRFC3596
IETFRFC4033
IETFRFC6147
3术语、定义和缩略语
3.1术语和定义
公共域名解析系统安全要求
DNS扩展以支持IP版本6（DNSExtensionstoSupportIPVersion6）DNS安全介绍和要求（DNSSecurityIntroductionandRequirements）DNS64机制：网络地址转换从IPv6客户端向IPv4服务器的DNS扩展（DNSExtensions for Network Address Translation from IPv6Clients to IPv4 Servers)下列术语和定义适用于本文件。3.1.1
域名DomainName
域名系统名字空间中，从当前节点到根节点的路径上所有节点标记的点分顺序连接，如中国通信标准化协会的域名为ccsa.org.cn.3.1.2
域Domain
域名系统名字空间中的一个子集，也就是树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字，如org.cn
资源记录ResourceRecord
在域名系统中用于存储与域名相关的属性信息，简称RR。每个域名对应的记录可能为空或者多条。域名的资源记录由名字（Name)、类型（Type)、种类（Class）、生存时间（TTL)、记录数据长度（Rdlength)记录数据（Rdata）等字段组成。3.1.4
名字服务器NameServer
又称为域名服务器。用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求。名字服1
HiiKAoiKAca
YD/T2834-2015
务器包括权威服务器（AuthoriativeServer）和递归服务器（RecursiveServer）两种。3.1.5
权威服务器AuthoritativeServer对于某个或者多个区具有权威的服务器，权威服务器保存着其所拥有权威的区的原始域名资源记录信息。
递归服务器RecursiveServer
也被称为本地域名服务器和缓存服务器。它负责接受用户端发送的请求，然后通过向各级权威服务器发出查询请求获得用户需要的查询结果，最后返回给用户端的解析器。递归服务器可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率，因而也被称为缓存服务器。
IPv6/IPv4网络地址翻译NAT64
一种有状态的网络地址与协议转换技术，它一般只支持通过IPv6网络侧用户发起连接访问IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系，实现IPv4网络主动发起连接访问IPv6网络。3.1.8
IPv6/IPv4域名解析服务器DNS64支持在过渡阶段使用的DNS服务器，它配合NAT64工作，将DNS查询信息中的A记录（IPv4地址）合成到AAAA记录（IPv6地址）中，返回合成的AAAA记录用户给IPv6侧用户。3.2缩略语
下列缩略语适用于本文件。
DNSSEC
DS-Lite
Pref64
ARecord
AAAARecord
Distributed Denial of ServicesDomain Name System
DNS SecurityExtension
IPv6/IPv4DomainNameSystem
Dual Stack Lite
IPv6/IPv4 Network Address TranslationName Server
64bitsPrefix
ReturnCode
4支持IPv6的域名系统面临的主要安全威胁指定域名对应的IPv4地址
指定域名对应的IPv6地址
分布式拒绝攻击
域名系统
域名系统安全扩展
IPv6/IPv4域名系统
轻量级双栈
IPv6/IPv4网络地址翻译
域名服务器
64比特前缀
响应码
支持IPv6的域名系统可遭受来自内部及外部的各种安全威胁，包括查询过程、内容管理、域名服务软件、域名服务器、网络带宽、网络结构等。由于当前环境下，域名系统管理分散，DNS数据包在消息的完整性和可靠性方面缺乏验证，在软件和硬件系统上可能存在漏洞，因此DNS系统仍面临较多的安全2
iiKAoi KAca
YD/T2834-2015
风险。在IPv4环境下一些安全威胁仍然是支持IPv6的DNS域名系统的主要安全威胁，包括：a）DDoS攻击
攻击者利用大量被控制的主机伪造大量的查询请求，请求的数量超过了DNS解析系统的请求处理能力，导致系统崩溃，从而达到拒绝服务的目的。b）DNS递归攻击
攻击者伪造大量针对不存在域名的查询请求，导致递归服务器由于大量的递归查询而耗尽系统资源，从而达到拒绝服务的目的。Www.bzxZ.net
c）DNS反射放大攻击
攻击者利用控制的权威服务器制造一个字节很长的资源记录，伪造请求使得大量递归服务器去获得资源记录，攻击者伪造来自目标主机的DNS查询请求，递归服务器使用这个长字节的资源记录进行响应，将该响应报文发送给目标服务器，导致目标服务器带宽耗尽。d）DNSSEC签名重放
DNSSEC签名不存在撤销机制，当一个域名记录在生存期内发生变更时，无法撤销之前使用的响应报文签名。因此攻击者可以使用此签名，冒充权威服务器进行响应，导致拒绝服务或更为严重的结果。e）DNS域名劫持
攻击者通过黑客手段控制了域名管理密码和域名管理邮箱，然后将该域名的NS记录指向到攻击者控制的DNS服务器，然后通过在该DNS服务器上添加相应域名记录，使用户访问该域名时进入了黑客所指向的地址。
f）DNS缓存投毒
攻击者通过监听DNS查询中的TransactionID，冒充合法的解析系统伪造响应报文，实现对递归服务器的缓存投毒，影响之后所有请求该域名的用户的解析结果。除此之外，支持IPv6的域名系统需要满足一些新的功能来服务用户，如DNS64功能，可能给域名系统带来新的安全威胁，面临的威胁包括：g）权威服务器与递归服务器DNS64功能兼容问题权威服务器通过RCODE字段对查询请求进行响应，由于RCODE中并未定义专为DNS64功能所使用的继续发起IPV4查询的RCODE，因此存在权威服务器返回的RCODE学段与递归服务器支持的RCODE含义不同的情况，这可能会导致递归服务器误认为权威服务器没有相应记录或者权威服务器工作不正常，造成拒绝服务发生。h）Pref64无法保护的问题
由于实现DNS64功能的递归服务器对权威服务器的响应内容进行了域名合成，递归服务器不具有签名能力，因此这个合成的域名不能受到DNSSEC的保护。解析服务器为其增加的前Pref64不能被保护，面临被算改的风险，当攻击者可以在网络中捕获DNS报文并进行算改时，可以替换Pref64的内容，导致针对特定IP地址的主机进行流量攻击或将正常的流量牵引至攻击者处。5支持IPv6的域名系统安全技术要求5.1安全功能要求
在IPv6环境下，为了应对与IPv4网络中相同的安全威胁，DNS系统应该能够支持以下的安全功能3
HiiKAoNiKAca
YD/T2834-2015
要求：
a）支持连接控制、IP源限制、速率控制等方式，能够检测与拦截DDoS等流量攻击行为：b）支持异常流量检测，能够检测与拦截递归攻击、反射放大攻击等攻击行为：c）支持DNSSEC等安全技术，保护查询响应的完整性与可靠性，检测缓存投毒等攻击行为；d）支持对DNS架构的演进和优化，对软硬件进行安全升级，能够抵抗域名劫持等攻击行为，进一步解决DNS系统的漏洞和安全威胁；e）IPv6域名系统应符合IETF的DNS相关RFC标准，如IETFRFC4033、IETFRFC6147、IETFRFC3596等，符合必备的接口和安全协议。除此之外，在IPv4向IPv6过渡阶段，递归服务器和权威服务器应统一RCODE字段处理，递归服务器能够在权威服务器响应不同的RCODE码时，仍对该域名发起A请求，以获取权威服务器该域名A记录结果，避免造成拒绝服务。为满足DNS64客户使用DNSSEC，应该在使用DNSSEC的用户与DNS解析服务器之间建立可信的连接，由DNS解析服务器来验证DNS响应的合法性，DNS64的用户能够判断增加的Pref64的正确性和合法性。
5.2安全部署要求
支持Pv6的域名系统的部署需从架构上保证DNS查询的成功率和效率，同时整个系统必须提供容灾备份的能力，从部署方式上减少安全隐患，并能够与安全防护系统配合使用。每个自治域内的DNS服务器之间都有负载均衡、健康检查和热备完余的功能，保证系统的可用性。5.3安全管理要求
5.3.1设备管理要求
支持IPv6的域名系统的设备管理要求，应继续遵循YD/T2091-2010的相关要求及以下几点（包括但不限于下述内容)：
a）统筹管理安全防护设备，加强安全防护设备的管理；b）对域名服务器的软件和硬件进行定期的安全状态巡查，借助专业工具在实际环境中检验系统的运作情况，检测和分析系统的运行健康状况、策略的适用情况、安全方案应用的实际效果等，对其中发现的向题及时进行修复：
c）及时更换使用时间较长或性能已达不到要求的DNS设备；d）支持对域名系统进行安全风险评估，包括资产分析、脆弱性分析和威胁分析。5.3.2人员管理要求
域名系统的管理维护人员必须熟悉支持IPv6的域名系统的相关知识，并具备良好的技术能力，同时有相应的管理办法和责任制，规定相关人员的工作和责任。定期开展DNS相关信息和正确使用的培训，提高维护人员的安全意识和操作管理能力。5.3.3运行管理要求
5.3.3.1访问限制要求
为了保证域名系统的安全，需要对域名服务器的访问进行限制：a）对递归解析源P地址进行限制，仅充许信任的IP地址访问：4
iikAoNiKAca
b）授权服务器关闭递归查询功能：YD/T2834-2015
C）具备入侵检测功能，提供黑白名单设置，对未分配使用的地址进行黑名单封闭处理：d）域名服务器只开放必须的业务及管理端口：e）域名服务器、网络设备均采用SSH安全登录方式，并对源IP地址进行限制：其他的访问控制要求见YD/T2091-2010。5.3.3.2操作和审计要求
支持IPv6的域名系统要加强域名系统的操作和审计管理：a）对域名系统的操作日志和维护日志进行备份：b）域名系统应具备安全审计和对安全事件溯源的能力：c）域名系统应具备检测和清除DNS服务器恶意代码的能力；d）域名系统应具备审计和管理移动介质的使用记录的能力。5.3.4容灾备份要求
域名系统必须具备容灾备份功能，以保证异常情况下的正常切换。当域名系统遭受攻击，或出现异常情况时，能够提供应急响应服务，使域名系统恢复正常业务。此外，针对域名系统可能发生的DDoS攻击、权威解析算改、缓存投毒等安全事件，相关负责单位应具备应急预案并组织应急演练，完善安全事件的联动处理流程。
5.3.5物理环境管理要求
支持IPv6的域名系统要加强域名系统的物理环境管理：a）加强机房物理环境安全保障，做好机房的防尘措施，设置专人值守：b）完善机房管理制度，有相应的安全出入保证（如门禁、出入登记等），对相关人员相关机器的使用权限进行管理；
c）机房中有足够的支持性措施支持域名解析系统，对机房进行监控，并定期巡检，保证室温正常并无漏水，减少由于物理环境问题带来的安全风险：d）必须有适当的措施避免由于物理环境的破坏或自然灾害导致的域名系统故障。iiiKAoiKAca
YD/T2834-2015
附录A
（规范性附录）
支持IPv6的域名系统技术要求
A.1双栈环境下域名解析系统技术要求域名服务器应既具备A记录的解析功能，也具备AAAA记录的解析功能，即能够处理来自LIPv4网络和IPv6网络中任何客户端的A记录和AAAA记录查询请求，能够和其他的域名服务器安全的传输数据，支持DNS安全协议。双栈DNS的实现必须符合IETF相关RFC标准，符合必备的接口和安全协议。A.2NAT64环境下域名解析系统技术要求NAT64环境下的域名服务器必须具备DNS64的功能，即能够将A记录合成为AAAA记录。若本地域名系统中不存在AAAA记录，DNS64必须能够向IPv4网络的DNS服务器发起域名查询请求。DNS64在将A记录合成为AAAA记录时，必须要指定特定的64位前缴，该前缴在DNS64服务器和NAT64设备中的设置必须保持一致。如果在DNS64中配置了多个Prefix64：/n，则在生成IPv6地址时必须使用这些前缀中的一个：若没有前缀可用，则默认使用周知前缀64:f9b：/96生成IPv6地址。DNS64的实现必须符合ETF相关RFC标准，符合必备的接口和安全协议。A.3DS-Lite环境下域名解析系统技术要求DS-Lite环境下域名服务器应通过IPv6环境与DNS代理进行通信，同时具备A记录和AAAA记录的解析功能，通过IPv6报文对两种记录的查询结果进行DNS请求响应。域名服务器还应为B4提供对AFTR域名的解析，支持动态更新，并能够和其他的域名服务器安全的传输数据，支持DNS安全协议。DS-Lite域名服务器的实现必须符合IETF相关RFC标准，符合必备的接口和安全协议。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。