【YD通讯标准】 基于 IPv6 的下一代互联网 DNSSEC 数据包安全检测要求

ICS35.110
中华人民共和国通信行业标准
YD/T2836-2015
基于IPv6的下一代互联网DNSSEC数据包安全检测要求
Security test requirements forDNSSEC data package oftheIPv6basednextgenerationInternet2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布引
范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语·
4·DNSSEC数据包安全检测相关协议字段简介·4.1DNS消息格式
4.2DNS伪资源记录
5DNSSEC数据包安全检测技术要求·5.1DNSSEC数据包安全检测环境搭建·5.2DNSSEC解析器的安全检测技术要求·次
5.3DNSSEC权威域名服务器安全检测技术要求·5.4支持DNSSEC的递归域名服务器安全检测技术要求5.5防火墙安全检测技术要求·
YD/T2836-2015
YD/T2836-2015
本标准是“基于IPv6的下一代互联网域名安全管理”系列标准之一，该系列标准的结构和预计名称如下：
1）基于IPv6的下一代互联网DNSSEC数据包安全技术要求：2）基于IPv6的下一代互联网DNSSEC数据包安全检测要求；3）基于IPv6的下一代互联网域名服务配置安全技术要求；4）基于IPv6的下一代互联网域名服务配置安全检测要求；5）基于IPv6的下一代互联网中文域名注册和实现安全技术要求：6）基于IPv6的下一代互联网中文域名注册和实现安全检测要求。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：中国科学院计算机网络信息中心（中国互联网络信息中心）、国家计算机网络应急技术处理协调中心。
本标准主要起草人：孔宁、邓光青、姚健康、沈烁、邹潇湘、陈悦。iiiKAoNiKAca
YD/T2836-2015
随着基于IPv6的下一代互联网的不断发展，域名系统作为当前互联网的重要基础设施也将成为维护下一代互联网安全稳定的重要一环。随着DNSSEC技术在DNS根区的部署，DNSSEC越来越普及，DNSSEC在增强域名系统安全性的同时也对域名系统的各个环节提出了新的要求。与传统DNS数据包相比，DNSSEC数据包明显增大，而且DNSSEC数据包的传输协议不仅包括UDP也包括TCP，如果DNSSEC数据包传输环节（包括权威服务器、递归服务器、解析器及防火墙等）的某一环节不能支持DNSSEC的包长规定及传输协议，将造成DNSSEC数据包的传输失败，由此将造成DNSSEC功能失效，进而损害域名系统的安全性，并最终将严重影响下一代互联网的安全稳定运行。因此，制定DNSSEC数据包相关的安全检测技术标准显得尤为重要。
目前国内外尚无任何针对基于IPv6的下一代互联网DNSSEC数据包安全的标准。本标准的提出从操作层面上提供了基于IPv6的下一代互联网DNSSEC数据包安全检测的客观标准和执行方法。TiiKAoNiKAca
YD/T2836-2015
基于IPV6的下一代互联网DNSSEC数据包安全检测要求1范围
本标准规定了域名服务DNSSEC数据包安全的检测要求。本标准适用于对互联网相关的域名服务系统的检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2135-2010域名系统运行总体技术要求YD/T2838-2015基于IPv6的下一代互联网域名服务配置安全检测要求IETFRFC4033DNSSEC的介绍和需求IETFRFC4034资源记录支持DNSSEC的协议扩展IETFRFC4035支持DNSSEC的协议修改3术语、定义和缩略语
3.1术语和定义
YD/T2135-2010界定以及下列术语和定义适用于本文件。3.1.1
DNS安全扩展DNSSecurityExtension（DNSSEC）一套为传统DNS系统增加源认证及数据完整性安全功能的扩展机制，具体由IETFRFC4033RFC4034以及RFC4035规定，该机制增加了四种新的资源记录并对传统DNS系统的某些方面（例如UDP数据包的长度）进行了修改，传统DNS系统需进行协议开级才能支持DNS安全扩展。3.1.2
支持DNSSEC的权威域名服务器Security-AwareNameServer个具有权威域名服务器功能的实体，并能够支持域名服务系统安全扩展（DNSSEC）。一个支持DNSSEC的权威域名服务器可以接受DNS查询报文，发送DNS应答报文，支持DNSSEC资源记录类型以及DNS扩展机制等。
支持DNSSEC的递归域名服务器Security-AwareRecursiveNameServer具有递归功能的支持DNSSEC的递归域名服务器，既可以充当权威域名服务器，又可以充当解析器。3.1.4
支持DNSSEC的解析器Security-AwareResolver一个具有DNS解析器功能的实体，并能够支持本标准定义的域名服务系统安全扩展（DNSSEC）。一个支持DNSSEC的解析器可以接收DNS查询报文，发送DNS应答报文，支持DNSSEC资源记录类型以及DNS扩展机制等。
TiiKAoiKAca
YD/T2836-2015
最大传输单元MaximumTransmissionUnit（MTU）一种通信协议的某一层上面所能通过的最大数据包大小（以字节为单位）。最大传输单元这个参数通常与通信接口有关（网络接口卡、串口等）。3.2缩略语
下列缩略语适用于本文件。
DNSSEC
Domain Name System
DNS Security Extension
ExtensionMechanismsforDNS
Next Secure
Transport Control Protocol
User Datagram Protocol
4DNSSEC数据包安全检测相关协议字段简介4.1DNS消息格式
域名服务系统
域名服务系统安全扩展
DNS扩展机制
下一个安全记录
传输控制协议
用户数据报协议
DNS消息格式见YD/T2838-2015《基于IPv6的下一代互联网域名服务配置安全检测要求》。4.2DNS伪资源记录
4.2.1概述
由于IPv6以及DNSSEC技术的部署，DNS消息的大小将超过512字节，因此有必要对DNS的基础协议进行一定的扩展，以使得DNS协议能支持这类大数据包的传输，为此引入一种新的伪资源记录，即OPTPseudo-RR，这种伪资源记录的格式见4.2.2和4.2.3小节。4.2.2基本元素
OPT伪资源记录被添加到DNS消息的额外信息（Additional）段中进行传输，其类型号为41。OPT伪资源记录只是用来传输控制信息，不包含DNS资源记录。OPT伪资源记录复用了原来资源记录的字段，复用情况如下：字段名（FieldName）
域名(NAME)
类型(TYPE)
类(CLASS)
生存时间(TTL)
长度(RDLEN)
数据(RDATA)
字段类型（FieldType）
16位无符号整数
16位无符号整数
32位无符号整数
16位无符号整数
字节流
字段描述（Description）
应为0(根域）
OPT资源类型种类名称，应为41。请求者的UDP数据包最大长度
扩展的RCODE和flags
RDATA部分的长度
【属性，值】对
其中，32位的生存时间(TTL)字段被进一步地划分成4部分：8位的EXTENDED-RCODE字段，8位的VERSION字段，1位的DO(DNSSECOK)字段以及15位的Z字段（该字段目前未被使用，为全零）。4.2.3可变部分格式
OPT伪资源记录的数据(RDATA)部分长度可变，可包含一个或多个选项（option），每个选项的格式如图1所示。
选项码：一种由DNSEXT工作组分配的码字。2
iiikAoNiKAca
选项长度：选项数据部分的字节数。选项数据：字节流。
012345678910111213141516171819202122232425262728293031选项码（OPTION-CODE）
选项长度（OPTION-LENGTH）
选项数据（OPTION-DATA）
图1OPT伪资源记录选项（Option）格式5DNSSEC数据包安全检测技术要求5.1DNSSEC数据包安全检测环境搭建YD/T2836-2015
依测试项目的不同，可将DNSSEC数据包安全检测环境分为以下三种，详细情况如图2~图4所示。1）普通DNSSEC数据包安全检测环境：2）带路由器的DNSSEC数据包安全检测环境：3）带防火墙的DNSSEC数据包安全检测环境。DNSSEC权威服务器bZxz.net
DNSSEC解析器
DNSSEC递归服务器
图2普通DNSSEC数据包安全检测环境在图2中，DNSSEC递归服务器分别与DNSSEC解析器和DNSSEC权威服务器直接相连，DNSSEC递归服务器接收来自DNSSEC解析器的DNS请求并据此向DNSSEC权威服务器发起相应的查询，并将查询结果返回给DNSSEC解析器。
DNSSEC权威服务器
DNSSEC解析器
路由器
DNSSEC递归服务器
图3带路由器的DNSSEC数据包安全检测环境在图3中，DNSSEC递归服务器与DNSSEC解析器之间部署了一个路由器，DNSSEC解析器与DNSSEC递归服务器之间报文的传送均通过该路由器，以便于检测路由器对于DNSSEC数据包传输的支持情况。DNSSEC权威服务器
DNSSEC解析器
防火墙
DNSSEC递归服务器
图4带防火墙的DNSSEC数据包安全检测环境在图4中，DNSSEC递归服务器与DNSSEC解析器之间部署了一个防火墙，以便于检测防火墙对于DNSSEC数据包传输的支持情况。3
iiikAoikAca
YD/T2836-2015
5.2DNSSEC解析器的安全检测技术要求5.2.1测试DNSSEC解析器能否支持长度大于1220字节的DNS消息测试编号：1
测试项目：DNSSEC解析器所能支持的DNS消息长度测试目的：检测DNSSEC解析器能否支持长度大于1220字节的DNS消息测试配置：
测试系统拓扑结构如图2所示，在DNSSEC权威服务器上创建域名example.cn的TXT资源记录及其对应的RRSIG资源记录，且使上述两个资源记录对应的DNS报文的长度大于1220字节测试过程：
1）在DNSSEC解析器上创建一个DNS资源记录查询请求，以请求域名example.cn的TXT资源记录；2）该请求报文包含一个OPT伪资源记录，伪资源记录的类（CLASS)字段（实际含义为：“请求者的UDP数据包最大长度”）设置为4000（即大于1220字节）：3）在该请求报文的伪资源记录中，标志位“DO（DNSSECOK）”需置为1：4）在该请求报文中，标志位“CD（CheckingDisabled）”需置为1预期结果：
DNSSEC解析器能正确接收到域名example.cn的TXT、RRSIG资源记录并顺利通过了安全校验测试说明：
DNSSEC递归服务器应将域名example.cn的TXT资源记录及其对应的RRSIG资源记录整合到一个DNS消息中并回传给DNSSEC解析器5.2.2测试DNSSEC解析器能否支持DNS报文分片测试编号：2
测试项目：DNSSEC解析器能否支持DNS报文分片测试目的：检验DNSSEC解析器能否支持DNS报文分片测试配置：
测试系统拓扑结构如图3所示，在DNSSEC权威服务器上创建域名example.cn的TXT资源记录及其对应的RRSIG资源记录，且使上述两个资源记录对应的DNS报文的长度大于1300字节。路由器的MTU值设置为1000
测试过程：
1）DNSSEC解析器发起针对域名example.cn的TXT资源记录的查询请求：2）该请求报文包含一个OPT伪资源记录中，伪资源记录的类（CLASS)字段（实际含义为：“请求者的UDP数据包最大长度”）设置为4000（即大于1220字节）3）在该请求报文的伪资源记录中，标志位“DO（DNSSECOK）”需置为1：4）在该请求报文中，标志位CD（CheckingDisabled）”需置为1预期结果：
DNSSEC解析器能正确接收到example.cn的TXT资源记录及其对应的RRSIG资源记录，并通过安全验证
测试说明：
由于DNS消息的长度大于路由器的MTU值，DNS消息必然会在路由器上进行分片iiikAoNikAca
5.2.3测试DNSSEC解析器能否支持否定缓存响应测试编号：3
测试项目：DNSSEC解析器的否定响应缓存功能测试目的：测试DNSSEC解析器能否支持否定响应缓存功能测试配置：
YD/T2836-2015
在一个测试DNSSEC递归服务器上创建一条域名为example.cn的AAAA资源记录，并使用旧的区签名密钥（ZSK）生成其对应的RRSIG资源记录。然后，对区签名密钥进行轮转，得到一个新的ZSK并将旧的ZSK密钥进行作废处理
测试过程：
1）在DNSSEC解析器上创建一个查询example.cn的AAAA资源记录的DNS资源记录查询请求；2）该请求报文包含一个OPT伪资源记录，OPT伪资源记录中的标志位“DO（DNSSECOK）”需置为1：3）标志位“CD（CheckingDisabled）”需置为1：4）DNSSEC解析器对接收到的example.cn的AAAA资源记录进行数字签名校验，如果校验不能通过，就反复发起相同的查询
预期结果：
查询次数达到一定的阅值后，DNSSEC解析器就不再向DNSSEC递归服务器发送查询报文，而将DNSSEC校验失败的否定响应保存起来测试说明：
由于区签名密钥进行了轮转，使用新的ZSK密钥去验证由旧ZSK密钥签名得到的RRSIG资源记录必然会失败
5.3DNSSEC权威域名服务器安全检测技术要求5.3.1测试DNSSEC权威服务器能否支持长度大于1220字节的DNS消息测试编号：4
测试项目：DNSSEC权威服务器对DNS消息长度的支持程度测试目的：检验DNSSEC权威服务器能否支持长度大于1220字节的DNS消息测试配置
在DNSSEC权威服务器上创建域名分别为example.cn的TXT资源记录及其对应的RRSIG资源记录，且使上述两个资源记录对应的DNS报文的长度大于1220字节测试过程：
1）在DNSSEC解析器上创建一个DNS资源记录查询请求，以对域wWw.example.cn的TXT资源记录及其对应的RRSIG资源记录发起请求；2）该请求报文包含一个OPT伪资源记录中，伪资源记录的类(CLASS)字段（实际含义为：“请求者的UDP数据包最大长度”）设置为4000（即大于1220字节）；3）在该请求报文的伪资源记录中，标志位“DO（DNSSECOK）”需置为14）在权威服务器上安装抓包软件，以抓取所有该权威服务器所发出的DNS消息预期结果：
抓包软件能抓取到权威服务器所发出的针对example.cn的TXT资源记录及其对应的RRSIG资源记录的响应消息，且该响应消息的长度正确无误测试说明：
本测试例通过检测权威服务器所发出的DNS响应消息的长度来判断该权威服务器能否支持1220字节长度的DNS响应消息
iiikAoNiAca
YD/T2836-2015
5.3.2测试DNSSEC权威服务器的MTU值测试编号：5
测试项目：DNSSEC权威域名服务器MTU值测试目的：测试DNSSEC权威域名服务器的MTU值是否为IPv6最小值1280测试配置：
DNSSEC权威域名服务器正常运行测试过程：
在命令行窗口中输入命令“ifconfig”预期结果：
显示的MTU值应为1280
测试说明：
如果显示的MTU值不为1280，则可通过以下命令来修改MTU值，“ifconfig网卡名mtu1280”。例如如果网卡名为etho，则对应的具体命令为：ifconfigethomtu12805.4支持DNSSEC的递归域名服务器安全检测技术要求支持DNSSEC的递归域名服务器同时扮演着支持DNSSEC的解析器和支持DNSSEC的权威域名服务器两种角色。支持DNSSEC的递归域名服务器的解析器侧需满足上述5.2所列要求；支持DNSSEC的递归域名服务器的域名服务器侧需满足上述5.3所列要求。5.5防火墙安全检测技术要求
5.5.1测试防火墙是否支持TCP协议传输测试编号：6
测试项目：防火墙对传输协议的支持程度测试目的：检测防火墙能否支持TCP协议传输测试配置：
测试系统拓扑结构如图4所示，DNSSEC递归服务器以及防火墙正常运行。在DNSSEC权威服务器上创建域名为example.cn的AAAA资源记录及其对应的RRSIG资源记录测试过程：
DNSSEC解析器使用TCP协议发起DNS查询请求，以查询example.cn的AAAA资源记录及其对应的RRSIG资源记录
预期结果：
DNSSEC解析器能正常接收到example.cn的AAAA资源记录及其对应的RRSIG资源记录测试说明：
部分未更新的防火墙可能会禁止通过TCP协议来传输DNS消息6
5.5.2测试防火墙是否支持长度大于512字节的DNS消息测试编号：7
测试项目：防火墙对DNS消息长度的支持程度测试目的：检验防火墙是否支持长度大于512字节的DNS消息测试配置：
YD/T2836-2015
测试系统拓扑结构如图4所示，在一个测试DNSSEC递归服务器上创建一条域名为example.cn的AAAA资源记录及其对应的RRSIG资源记录，且使上述两个资源记录对应的DNS报文的长度大于512字节测试过程：
1）首先，在DNSSEC解析器上创建一个DNS资源记录查询请求，以对example.cn的AAAA资源记录及其对应的RRSIG资源记录发起查询请求：2）该请求报文包含一个OPT伪资源记录中，伪资源记录的类(CLASS)字段（实际含义为：“请求者的UDP数据包最大长度”）设置为4000（即大于1220字节）：3）在该请求报文的伪资源记录中，标志位“DO（DNSSECOK）”需置为1预期结果：
DNSSEC解析器能正确接收到example.cn的AAAA资源记录及其对应的RRSIG资源记录测试说明：
部分未更新的防火墙可能会直接丢弃长度大于512字节的DNS消息
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。