YD/T 2837-2015
基本信息
标准号:
YD/T 2837-2015
中文名称:基于 IPv6 的下一代互联网域名服务配置安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2704866
相关标签:
基于
下一代
互联网
域名服务
配置
安全
技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2837-2015.Security technical requirements for domain name service configuration of the IPv6 based next generation internet.
1范围
YD/T 2837规定了域名服务IPv6配置安全技术要求。
YD/T 2837适用于互联网相关的域名服务系统。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2135-2010域名系统运行总体技术要求
IETF RFC 1884 IPv6 寻址体系结构
3术语、定义和缩略语
3.1术语和定义
YD/T 2135-2010界定的以及下列术语和定义适用于本文件。
3.1.1
正向解析记录: AAAA
用来存储一个IPv6地址,在域名服务解析记录中该类型的值是28 (十进制),传输格式是一个128位的IPv6地址(网络顺序)。
IETF RFC 1884中定义了AAAA记录的文本表示格式,下 面是一条AAAA资源记录文本示例:
host1.example.cn 36400 IN AAAA 2001 :238:882:0:248:54ff.fe53:d3ee
3.1.2
与AAAA记录对应的反向解析记录
用来存储一个IPv6地址对应的域名,其IPv6地址使用“.”分割的半字节十六进制数字表示,低位地址在前,高位地址在后,域后缀是“IP6.ARPA"。
3.2 缩略语
下列缩略语适用于本文件。
DNS Domain Name System 域名服务系统
IF Internet Protocol 因特网协议
标准内容
ICS35.110
中华人民共和国通信行业标准
YD/T2837-2015
基于IPv6的下一代互联网域名服务配置安全技术要求
Security technical requirements for domain name serviceconfiguration of the IPv6 basednext generation internet2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2规范性引用文件
3术语、定义和缩略语·
3.1术语和定义·
3.2缩略语·
4IPv6网络域名服务协议现状及存在的问题·4.1IPv6网络域名系统体系结构
4.2IPv6网络域名系统资源记录·4.3IPv6网络域名系统网络模型
4.4IPv6网络域名系统存在的问题-5IPv6网络域名服务配置安全技术要求·次
5.1IPv6网络域名服务权威服务器配置安全技术要求5.2IPv6网络域名服务递归服务器配置安全技术要求·5.3IPv6网络域名服务解析器配置安全技术要求5.4IPv6网络域名服务区文件配置安全技术要求·5.5IPv6网络域名服务DNS消息传输配置安全技术要求YD/T2837-2015
YD/T2837-2015
本标准是“基于IPv6的下一代互联网域名安全管理技术”系列标准之一。该系列标准的结构和预计名称如下:
1)基于IPv6的下一代互联网DNSSEC数据包安全技术要求2)基于IPv6的下一代互联网DNSSEC数据包安全检测要求3)基于IPv6的下一代互联网域名服务配置安全技术要求4)基于IPv6的下一代互联网域名服务配置安全检测要求5)基于IPv6的下一代互联网中文域名注册和实现安全技术要求6)基于IPv6的下一代互联网中文域名注册和实现安全检测要求本标准按照GB/T1.1-2009给出的规则起草。请注意:本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国科学院计算机网络信息中心(中国互联网络信息中心)、国家计算机网络应急技术处理协调中心。
本标准主要起草人:邓光青、姚健康、孔宁、沈烁、舒敏、陈悦。I
YD/T2837-2015
随着基于IPv6的下一代互联网的不断发展,域名系统作为核心的互联网基础设施越来越成为维护互联网安全稳定的重要环节。但DNS权威服务器的某些错误配置会严重影响IPv6相关资源记录的查询,并进而导致IPv4域名解析服务不可用,甚至引发严重的域名解析延迟以及拒绝服务攻击。随着IPv6部署范围的不断扩大,域名服务中IPv6相关资源记录的配置安全问题显得更为突出。目前国内外尚无任何针对下一代互联网域名服务IPv6配置的安全标准。本标准旨在从操作层面上提供下一代互联网域名服务IPv6安全配置的客观标准和执行方法。1范围
YD/T2837-2015
基于IPv6的下一代互联网域名服务配置安全技术要求本标准规定了域名服务IPv6配置安全技术要求。本标准适用于互联网相关的域名服务系统。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2135-2010域名系统运行总体技术要求IETFRFC1884
IPv6寻址体系结构
3术语、定义和缩略语
3.1术语和定义
YD/T2135-2010界定的以及下列术语和定义适用于本文件。3.1.1
正向解析记录:AAAA
用来存储一个IPv6地址,在域名服务解析记录中该类型的值是28(十进制),传输格式是一个128位的IPv6地址(网络顺序)。
IETFRFC1884中定义了AAAA记录的文本表示格式,下面是一条AAAA资源记录文本示例:hostl.example.cn36400INAAAA2001:238:882:0:248:54ff:fe53:d3ee3.1.2
与AAAA记录对应的反向解析记录用来存储一个IPv6地址对应的域名,其IPv6地址使用“”分割的半字节十六进制数字表示,低位地址在前,高位地址在后,域后缀是“IP6.ARPA”3.2缩略语
下列缩略语适用于本文件。
Domain NameSystem
Internet Protocol下载标准就来标准下载网
Top Level Domain
SecondLevel Domain
域名服务系统
因特网协议
顶级域
二级域
4IPv6网络域名服务协议现状及存在的问题4.1IPv6网络域名系统体系结构
YD/T2837-2015
IPv6网络中的DNS与IPv4的在体系结构上是一致的,都采用树型结构的域名空间,如图1所示。图1的最上方是DNS树型结构中唯一的一个根(Root),用点号“”表示。根的下一级称为顶级域(TLD),也称一级域。顶级域的下级是二级域(SLD),二级域的下级是三级域,依次类推。每个域都是其上级域的子域(SubDomain),DNS树上的每一个节点都有一个标识(Label)。根节点的标识是“空”(长度为0),其他节点的标识长度在1到63字节之间。一个节点的域名是由从这个节点到根节点的路径上所有标识从左到右顺序排列组成的,标识之问用“”分隔。例如cnnic.net.cn。“”根
图1DNS域名空间的树型结构
区(Zone)
DNS的整个域名空间被划分成多个区(Zone)(如图1中椭圆标记所示),数据采用分布式存储。把每一个域名(zone)的设定储存在一个区域文件(zonefile)中,此区域文件会由多条记录所组成,每条记录就称为资源记录(ResourceRecord)。关于IPv6网络域名系统的详细情况可见YD/T2139-2010的4.1。4.2IPv6网络域名系统资源记录
IPv6网络正向解析记录AAAA及其对应的反向资源记录,可分别见YD/T2139-2010的4.2及4.4。需要指出的是,目前A6资源记录及其对应的反向资源记录已被IETF废止,因此本标准仅对AAAA资源记录及其反向资源记录作规定。
4.3IPv6网络域名系统网络模型
本标准所讨论的IPv6网络域名服务系统由三部分构成:权威服务器(AuthoritativeServer)、递归服务器(RecursiveServer)以及解析器(Resolver)。解析器向递归服务器发送一个递归查询请求,接着递归服务器以递归方式处理整个域名解析过程,最后递归服务器将递归查询结果发送给解析器。权威服务器通常以非递归的方式来响应查询请求。4.4IPv6网络域名系统存在的问题DNS权威服务器的错误配置会导致其在处理AAAA等资源记录查询时产生违规行为,并因此影响DNS系统的正常安全运行。这些违规行为将带来的不良后果包括:阻塞正常的IPv4资源记录查询:大幅增大域名解析时延:导致拒绝服务攻击。随着IPv6部署范围的不断扩大,迫切需要对IPv6相关资源记录的安全配置进行规范,以消除域名配置安全隐患,确保下一代互联网域名系统安全可靠地运行。2
5IPv6网络域名服务配置安全技术要求5.1IPv6网络域名服务权威服务器配置安全技术要求5.1.1权威服务器响应AAAA资源记录查询时存在的配置安全问题YD/T2837-2015
在IPv6网络域名服务中,权威服务器对DNS资源记录查询请求的正确响应直接决定着递归服务器的正确运行、DNS解析时延以及域名系统所消耗的网络带宽。IPv6的部署使得DNS系统中特别增加了AAAA这种资源记录,如果权威服务器不能正确地响应这类资源记录请求,将严重影响DNS系统的解析效率,甚至会引发递归服务器向权威服务器发起DDOS攻击。目前,权威服务器在响应AAAA资源记录查询请求时主要存在以下儿种错误:忽略AAAA资源记录请求,返回错误的响应代码,返回错误的响应等。为确保IPv6网络域名服务安全、稳定运行,应对权威服务器对AAAA记录的响应作出规定5.1.2权威服务器响应AAAA资源记录查询的配置安全技术要求当权威服务器接收到AAAA资源记录查询请求时,如果该权威服务器保存了相应的AAAA资源记录,应立即返回相应的的AAAA资源记录。如果该权威服务器没有存储相应的AAAA资源记录,该权威服务器也不能忽略该AAAA查询请求,以避免解析器或调用解析器的应用程序产生严重的超时现象。这种情况下,权威服务器应立即对该AAAA资源记录查询请求进行响应,并在返回的响应中将响应代码(RCODE)设置为O,即表示查询无错误,同时将答案部分设置为空,以指示解析器:该权威服务器运行正常,但没有存储相应的AAAA资源记录。5.2IPv6网络域名服务递归服务器配置安全技术要求5.2.1递归服务器选择权威服务器时存在的配置安全问题DNS系统中存在着这么一种情形,一个权威服务器被其父区授权为一个区的权威服务器,该权威服务器能回复包括A资源记录在内的其他资源记录,但不能回复其所在区的AAAA资源记录查询。有些递归服务器在发现出这类权威服务器之后,依旧将AAAA资源记录查询请求发给该权威服务器,造成无效查询请求。
5.2.2递归服务器选择权威服务器的配置安全技术要求当递归服务器向一个权威服务器发起AAAA资源记录查询请求时,如果权威服务器返回了一个AA位(AuthoritativeAnswer)未被置位的响应,则说明所访问的权威服务器没有获得由上级域所颁发的回复AAAA资源记录的授权。递归服务器接收到这类DNS响应后,应转而向同一DNS区的其他权威服务器发起AAAA资源记录查询
5.3IPv6网络域名服务解析器配置安全技术要求5.3.1解析器查询A/AAAA资源记录时存在的配置安全问题随着IPv6技术的推广普及,越来越多的主机会同时支持IPv4和IPv6协议。解析器在为上层应用提供域名的IP地址解析时,需同时提供IPv4和IPv6地址,由上层应用决定选择哪类地址。这种情况下,解析器既需发出A资源记录查询请求,也需发出AAAA资源记录查询请求。如果查询A和AAAA资源记录的顺序不合理,会造成很长的查询时延。5.3.2解析器查询A/AAAA资源记录的配置安全技术要求当解析器所在主机能同时支持IPv4与IPv6协议栈时,解析器在向上层应用提供域名的地址解析服务时,应既能向上层应用提供IPv6地址,也能提供IPv4地址。解析器在发送A及AAAA资源记录查询请求3
YD/T2837-2015
时,应首先发送AAAA资源记录请求,然后再发送A资源记录请求;或者同时发送AAAA以及A资源记录请求。但不能先发送A资源记录请求,后发送AAAA资源记录查询请求。5.4IPv6网络域名服务区文件配置安全技术要求5.4.1区文件中IPv6地址配置时存在的配置安全问题区文件中如果出现非全局性的IPv6地址,会使相应的资源记录失效,从而增大解析时延,加重DNS服务器的解析压力,给系统安全带来隐惠。5.4.2区文件中IPv6地址配置安全技术要求本地链路IPv6地址(fe80:/10)不能出现在任何IPv6网络DNS资源记录中:而本地网站地址(fecO:/10)不能出现在IPv6网络公共DNS资源记录中。不推荐在IPv6网络AAAA资源记录中使用临时地址。5.4.3区文件中加载AAAA资源记录时存在的配置安全问题如果DNS区文件加载了某AAAA资源记录,但该AAAA资源记录对应的IPv6地址不可用,就会造成应用程序因向不可用的IPv6地址发送报文而导致严重的应用超时现象。5.4.4区文件中加载AAAA资源记录配置安全技术要求在将AAAA资源记录添加到区文件中之前,应保证权威服务器完全支持IPv6协议,即应保证做到以下两点:
1)AAAA资源记录对应的IPv6地址已经被分配并被部署到相应权威服务器的网络接口上:2)该网络接口已经与一个IPv6基础设施相连。5.5IPv6网络域名服务DNS消息传输配置安全技术要求5.5.1DNS消息传输时存在的配置安全问题DNS消息的正确传输是确保IPv6网络域名服务安全运行的前提。随着IPv6技术的推广和普及,越来越多的DNS区加载AAAA资源记录,但在传输A以及AAAA资源记录的过程中存在着以下问题:AAAA资源记录只在IPv6协议上进行传输而A资源记录只在IPv4协议上进行传输,这会降低DNS系统资源记录传输的成功率。
5.5.2DNS消息的传输配置安全技术要求用来传输DNS请求以及应答消息的IP协议应该与对应的资源记录类型相独立,即针对AAAA资源记录的查询和响应应能基于IPv4协议进行传输:针对A资源记录类型的查询和响应应能基于IPv6协议进行传输。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。