【YD通讯标准】 域名服务安全状态检测要求

ICS35.100.70
中华人民共和国通信行业标准
YD/T3008-2016
域名服务安全状态检测要求
SecuritystatustestingrequirementsofDNSservice
2016-01-15发布
2016-04-01实施
中华人民共和国工业和信息化部发布前言·
1范围-
2规范性引用文件·
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语*
4.1权威域名服务
4.2递归域名服务：
5域名服务安全检测要求
服务配置检测·
服务状态检测
YD/T3008-2016
YD/T3008-2016
本标准是“域名系统运行技术规范体系”系列标准之一，该系列标准的结构和名称预计如下：1）YD/T2135-2010《域名系统运行总体技术要求》2）YD/T2138-2010《域名系统权威服务器运行技术要求》3）YD/T2137-2010《域名系统递归服务器运行技术要求》4）YD/T2140-2010《域名服务系统安全框架技术要求》5）YD/T2136-2010《域名系统授权体系技术要求》6）YD/T2052-2009《域名系统安全防护技术要求》7）YD/T2053-2009《域名系统安全防护检测要求》8）《域名服务安全状态检测要求》本标准由中国通信标准化协会提出并归口。本标准起草单位：中国互联网络信息中心。本标准主要起草人：李晓东、胡安磊、尉迟学彪、延志伟、潘蓝兰、洪博。H
TiiKAoNiKAca
1范围
域名服务安全状态检测要求
本标准规定了公众电信网和互联网相关域名服务的安全状态检测要求。YD/T3008-2016
本标准适用于公众电信网和互联网提供域名权威解析服务器、域名递归解析服务器所提供的服务。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T2135-2010域名系统运行总体技术要求3术语、定义和缩略语
3.1术语和定义
YD/T2135-2010界定的术语和定义适用于本文件。3.2缩略语
下列缩略语适用于本文件。
DNSSEC
4概述
访问控制列表
域名系统
域名系统安全扩展
拒绝服务
网际协议
名字服务器
起始授权记录
传输控制协议
顶级域
事务签名
生存时间
Access Control List
DomainName System
DNS Security
Denial of Service
Internet Protocol
Name Server
Start of Authority
TransmissionControlProtocol
Top Level Domain
Transaction Signature
Timeto Live
本标准中的域名系统特指域名解析系统，包括域名权威解析系统和域名递归解析系统。域名系统服务的安全状态的检测对象包括公众电信网和互联网直接提供域名权威解析服务器、域名递归解析服务器所提供的服务。4.1权威域名服务
HiiKAoiKAca
YD/T3008-2016
权威域名服务主要是通过权威域名服务器对来自递归域名服务器的DNS查询进行权威应答。权威域名服务器，是指对于某个或者多个区具有权威的域名服务器，其保存着所拥有权威的区的原始域名资源记录信息。
4.2递归域名服务
递归域名服务主要包括：通过递归域名服务器接受用户端（解析器）发送的请求，然后通过向各级权威域名服务器发出查询请求获得用户需要的查询结果，最后将结果返回给用户端的解析器。递归域名服务器将权威域名服务器返回的各种记录进行缓存，从而减少重复查询次数。为提高查询效率，有部分递归域名服务器将缓存与解析查询功能分离部署。5域名服务安全检测要求
5.1服务配置检测
5.1.1解析软件版本
测试编号：5.1.1-dns-software-version测试项目：解析软件版本
测试对象：权威域名服务器、递归域名服务器测试步骤：
借助域名服务探测工具，向域名服务器发起查询，获取域名服务器解析软件及版本信息结果判定：
1）解析软件版本是该软件供应商官方支持的版本：通过。2）解析软件版本是是已过期的、或存在安全漏洞的版本：可能被黑客利用漏洞而引发恶意攻击或系统故障，不通过
5.1.2SOA一致性
测试编号：5.1.2-soa
测试项目：SOA一致性
测试对象：权威域名服务器
测试步骤：
向权威域名服务器发起SOA查询，比较所有服务器的SOA序列号结果判定：
1）所有服务器的SOA序列号相同：通过。2）所有服务器的SOA序列号不完全相同：超出2倍域名SOA记录规定的刷新时间，辅服务器仍未与主服务器进行成功的数据同步，不通过HiiKAoNiKAca
5.1.3NS一致性
测试编号：5.1.3-ns
测试项目：NS一致性
测试对象：权威域名服务器
测试步骤：
向服务器发起NS查询，比较目标域权威记录与其任一父域授权记录的一致性结果判定：
1）所有服务器的NS记录、NS记录对应的IP相同：通过。YD/T3008-2016
2）所有服务器的NS记录、NS记录对应的IP不完全相同：超出规定时间，权威服务器、上级权威配置仍未成功同步，不通过。由于不同层次的权威服务器授权生效时间差异较大，具体时间阅值由监测方根据实际情况进行设置
5.1.4权威开启递归
测试编号：5.1.4-authority-support-recursive测试项目：权威开启递归
测试对象：权威域名服务器
测试步骤：
向权威域名服务器请求其他域的A记录，查看是否返回相应记录信息结果判定：
1）成功返回其他域的记录信息：说明该权威域名服务器递归开启，易遭受DoS攻击，不通过。2）未能返回其他域的记录信息：通过5.1.5服务独立性
测试编号：5.1.5-single-service测试项目：服务独立性
测试对象：权威域名服务器、递归域名服务器测试步骤：
借助端口扫描工具对目标服务器进行端口扫描，查看服务器是否开启除53以外的其他服务端口，例如21、80、443、3128、8080等
结果判定：
1）开启除53以外的其他服务端口：该服务器服务独立性较差，可能由于其他服务的漏洞影响域名服务的稳定性，不通过。
2）未开启除53以外的其他服务端口：通过。HiiKAoiKAca
YD/T3008-2016
5.1.6TCP支持
测试编号：5.1.6-tcp-support
测试项目：TCP支持
测试对象：权威域名服务器、递归域名服务器测试步骤：向域名服务器发起DNSTCP查询，查看是否支持TCP连接请求结果判定：
1）支持TCP：可以有效支持大数据包请求，通过。2）不支持TCP：不通过
5.1.7区传输保护
测试编号：5.1.7-zone-transfer测试项目：区传输保护
测试对象：权威域名服务器
测试步骤：
向域名主权威服务器发起区传输请求，观测主服务器是否要求TSIG验证、或基于来源IP的ACL结果判定：
1）主服务器拒绝未经TSIG验证、或者并非来自辅服务器IP的请求：通过。2）主服务器接受请求：存在信息泄漏风险，不通过5.1.8DNSSEC支持
测试编号：5.1.8-dnssec-support测试项目：DNSSEC支持
测试对象：权威域名服务器、递归域名服务器测试步骤：
向域名服务器发起DNSSEC查询，查看是否能够返回DNSSEC记录结果判定：
1）支持DNSSEC查询：可以有效支持域名记录安全验证，通过。2）不支持DNSSEC查询：不通过
HiiKAoNiKAca
5.1.9NSEC3支持
测试编号：5.1.9-nsec3-support测试项目：NSEC3支持
测试对象：权威域名服务器
测试步骤：
向域名服务器发起DNSSEC查询，检查DNSSEC应答中是否包含NSEC3资源记录位结果判定：
1）包含NSEC3记录位：可以减少区域数据遍历泄露的风险，通过。2）不包含NSEC3记录位：不通过5.1.10NS穴余性
测试编号：5.1.10-multi-ns
测试项目：NS穴余性
测试对象：权威域名服务器
测试步骤：
向服务器发起NS查询，检查NS记录对应的IP结果判定：
1）包含多条NS记录、不同NS对应不同IP：元余性较好，通过。2）所有NS记录只对应单个IP：不通过5.1.11
端口随机性
测试编号：5.1.11-recursive-port-random测试项目：端口随机性
测试对象：递归域名服务器
测试步骤：
YD/T3008-2016
向递归服务器发起针对同一个权威域下的多个域名的连续查询，检查查询包源端口的标准差结果判定：
1）标准差取值超过预先设定的阅值：端口随机性程度较高，通过。2）标准差取值低于预先设定的阅值：端口随机性程度较差，该递归域名服务器容易遭受缓存中毒风险，不通过
HiikAoNiKAca
YD/T3008-2016
5.1.12内部递归对外开放
测试编号：5.1.11-inter-recursive-out测试项目：内部递归对外开放
测试对象：递归域名服务器
测试步骤：
从外网向规划只服务内部的递归服务器发起域名查询结果判定：
1）如果能够正常获取查询结果：内部递归对外开放，该递归域名服务器可以被用于反射攻击，存在被滥用的风险，不通过。
2）如果不能正常获取查询结果：内部递归已进行查询限制，通过5.1.13服务器穴余性
测试编号：5.1.10-multi-server测试项目：服务器允余性
测试对象：权威域名服务器、递归域名服务器测试步骤：
通过多次发包检查域名服务器返回信息、在不同地区traceroute探测域名服务器路径等方式，检查对应的域名服务器IP是否采用后台集群(cluster)、或bgpanycast等部署模式结果判定：
1）采用了后台集群或bgpanycast：服务器穴余性较好。2）未采用后台集群和bgpanycast：提示该服务器可能存在单点故障风险5.2服务状态检测
5.2.1查询成功率
测试编号：5.2.1-query-success-rate测试项目：查询成功率
测试对象：权威域名服务器、递归域名服务器测试步骤：
定期向服务器发起DNS查询，检查规定时间段内（例如5分钟）成功应答的比例结果判定：
1）成功应答的比例不低于预先设定的阈值：服务器能够保持正常服务水平，通过。2）成功应答的比例低于预先设定的值：不通过HiiKAoNiKAca
5.2.2响应时间
测试编号：5.2.2-response-time测试项目：响应时间
测试对象：权威域名服务器、递归域名服务器测试步骤：
定期向服务器发起DNS查询，检查规定时间段内（例如5分钟）响应时间的均值结果判定：
1）平均响应时间不低于预先设定的阅值：服务器能够保持正常响应速度，通过。YD/T3008-2016
2）平均响应时间低于预先设定的阅值：服务器可能遭遇DoS攻击或者出现故障，不通过5.2.3DNS查询流量变化
测试编号：5.2.3-dns-query-flood测试项目：DNS查询流量变化
测试对象：权威域名服务器、递归域名服务器测试步骤：
定期统计规定时间段内（例如1分钟）DNS查询流量，与历史记录进行对比结果判定：
1）若当前时段DNS查询流量相对于历史同期稳定状态的变化程度低于预先设定的阅值：DNS查询流量相对稳定，通过。
2）DNS查询流量的突增比例超过值：提示可能存在DoS攻击的风险。3）DNS查询流量的突降比例超过阈值：提示业务流量可能存在异常5.2.4接入带宽消耗
测试编号：5.2.4-bandwidth
测试项目：接入带宽消耗
测试对象：权威域名服务器、递归域名服务器测试步骤：
定期统计规定时间段内（例如5分钟）域名服务器所在网络环境的可用带宽结果判定：下载标准就来标准下载网
1）若当前时段可用带宽的比例高于预先设定的阅值：通过。2）可用带宽比例低于阅值：提示可用带宽存在风险，可能削弱域名服务器应对DoS攻击的能力YD/T3008-2016
5.2.5DNS查询请求类型分布变化测试编号：5.2.5-dns-query-type-flood测试项目：DNS查询请求类型分布变化测试对象：权威域名服务器、递归域名服务器测试步骤：
定期统计规定时间段内（例如5分钟）DNS查询请求类型（例如A、NS、MX等）比例分布，与历史记录进行对比
结果判定：
1）DNS查询请求总数超过一定阅值的前提下，若当前时段某种类型的DNS查询请求比例相对于历史同期稳定状态的变化程度低于预先设定的比例阈值：该类型DNS查询分布相对稳定，通过。2）某种类型的DNS查询请求上升比例超过阅值：提示可能存在业务突增、或DoS攻击的风险。3）某种类型的DNS查询请求下降比例超过阅值：提示业务流量可能存在异常5.2.6DNS查询请求源地址地理分布变化测试编号：5.2.6-dns-query-src-loc测试项目：DNS查询请求源地址地理分布变化测试对象：权威域名服务器、递归域名服务器测试步骤：
定期统计规定时间段内（例如1分钟）DNS查询请求的源IP地址地理分布（例如国家、省份、运营商）比例分布，与历史记录进行对比结果判定：
1）DNS查询请求总数超过一定阅值的前提下，若当前时段某个地区运营商的DNS查询请求比例相对于历史同期稳定状态的变化程度低于预先设定的比例阅值：该类型DNS查询分布相对稳定，通过。2）某个地区运营商的DNS查询请求上升比例超过阅值：提示可能存在业务突增、或DoS攻击的风险。3）某个地区运营商的DNS查询请求下降比例超过阈值：提示业务流量可能存在异常5.2.7重复请求
测试编号：5.2.7-dns-repeat-request测试项目：重复请求
测试对象：权威域名服务器、递归域名服务器测试步骤：
定期统计规定时间段内（例如5分钟）“同一源地址发起相同DNS查询请求的次数（即同一源地址短时间出现重复请求的次数）”总和占所有请求次数的比例结果判定：
1）重复请求比例低于预先设定的阅值：域名服务相对稳定，通过。2）重复请求比例超出阀值：提示查询流量异常，原因可能是服务器和客户端之间存在防火墙或路由配置错误故障，也可能是服务器正在遭受DoS攻击而导致无法对请求进行回应8
5.2.8无效查询
测试编号：5.2.8-dns-query-error测试项目：无效查询
测试对象：权威域名服务器、递归域名服务器测试步骤：
YD/T3008-2016
定期统计规定时间段内（例如5分钟）无效DNS请求（例如如A-A请求、私有地址空间请求、无效TLD查询、无效域名查询等等）占所有请求次数的比例结果判定：
1）无效请求比例低于预先设定的阀值：域名服务相对稳定，通过。2）无效请求比例超出阈值：提示查询流量异常，大量的无效查询可引发网络拥塞，原因可能是服务器正在遭受恶意DoS攻击
5.2.9缓存中毒
测试编号：5.2.9-cache-poison测试项目：缓存中毒
测试对象：递归域名服务器
测试步骤：
1定期向递归域名服务器查询域名的资源记录，与已知该域名的正确资源记录比较结果判定：
1）如果与正确资源记录一致：缓存服务器正常服务，通过。2）如果是返回域名权威之前提供的旧资源记录，且超过TTL缓存时间仍不刷新：提示递归域名服务器的缓存时间异常。
3）如果是返回域名权威提供的其他非预期资源记录（例如对电信递归服务器返回联通IP）：提示域名权威对递归服务器的识别可能存在异常，导致返回资源记录出错。4）如果返回其他非域名权威提供的异常记录：提示可能存在缓存中毒，用户无法正常获取所需的资源记录
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。