北龙中网携域名注册管理机构CNNIC发布国内首份《中国域名服务及安全现状报告》,《报告》显示,我国目前域名服务器总量近百万,其中超过50%的域名服务器相对不安全,而我国57%的重要信息系统存在域名解析风险。以下为《中国域名服务及安全现状报告》全文:
报告摘要:
- 截至2010年8月10日,监测到世界范围内域名服务器总量为16,306,432个,其中权威域名服务器2,903,550个,递归域名服务器 13,402,882个。活跃域名服务器数量为1,375,219个,其中权威域名服务器619,797个,递归域名服务器755,422个。
- 截至2010年8月10日,监测到国内的域名服务器总量为978,713个,其中权威域名服务器107,540 个,递归域名服务器871,173 个。国内活跃域名服务器数量为67,235个,其中权威域名服务器19,281个,递归域名服务器47,954个。
- 国内的域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。其中排名前10的地区域名服务器总量占全国域名服务器总量的90%以上。
- 对国内的所有权威服务器进行扫描,统计发现,62%以上使用Unix/Linux系统,95%以上使用ISC BIND软件。国内的权威域名服务器中53%开启了递归查询功能,远大于全球范围内31%的比率,存在一定的安全隐患。
- 对国内的所有递归域名服务系统进行全面扫描,统计发现,55%以上使用了Unix/Linux系统,94%以上使用ISC BIND软件。
- 统计发现,国内超过4%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻击,远高于全球范围0.98%的平均水平。
- 对国内重要信息系统所涉域名抽样统计发现, 57%的域名解析服务处于有风险的状态,其中11.8%的域名因配置管理不当,处于较高风险状态。
第一章 域名服务体系说明
域名(Domain Name)是由一串用点分隔的字符组成的互联网名称,是用于识别和定位互联网上计算机的层次结构式字符标识,类似于互联网上的门牌号码。
域名系统(DNS)是逐级授权的分布式数据查询系统,主要用于完成域名到IP地址的翻译转换功能。绝大多数互联网应用都基于域名系统开展,绝大多数互联网通信都必须先通过域名系统完成域名到IP地址的寻址转换。
图1 域名系统的位置角色
域名服务体系包括提供域名服务的所有域名系统,它包括两大部分、四个环节:即递归域名服务系统,以及由根域名服务系统、顶级域名服务系统、和其他各级域名服务系统组成的权威域名解析服务体系。
图2 域名服务体系的构成示意
域名服务体系中,根域名服务系统由ICANN授权的是十三家全球专业域名管理机构提供运营支持,顶级域名服务系统由ICANN签约的商业机构、或各国政府授权的科研管理机构负责运行维护,因此这两个环节的稳定运行有所保障。
而 大量的二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方;递归域名服务器一般由各网络 接入机构提供。这两个环节是数量众多、而安全状况相对薄弱的两个环节,根据监测和统计,两个环节的活跃的服务器619,797台套和755,422台套, 相对安全的服务器比例不足半数。其主要原因在于这两个环节的服务器众多、管理分散、规模有限,维护人员的技术水平也参差不齐,缺乏综合专业的安全服务能 力。
第二章 域名服务体系监测结果
一、根域名服务系统
根服务器的分布情况对互联网的访问性能有很大的影响。截至目前,全球域名系统13个根服务器在全球的镜像服务器数量共206个。根服务器及其镜像在欧洲有72个、美国51个、亚洲45个,中国大陆有F根、I根和J根的镜像服务器。
表 1 根域名服务器及其镜像的基本状况
*表示在国内有镜像服务
二、顶级域服务系统
(一)总体情况
根 据国际互联网域名体系的构成,顶级域名分为三类:通用顶级域名(gTLD,General Top Level Domain)、国家与地区顶级域名(ccTLD,Country Code Top Level Domain)和基础设施类顶级域(目前仅有.arpa)。其中通用顶级域gTLD共有20个,可细分为组织主办类(Sponsored)13个,通用类 (Generic)4个,及限制通用类(Generic-restricted)3个。国家与地区顶级域共计260个(包含“.中国”等新增的顶级域), 另外还有实验性顶级域11个,共计292个顶级域。
(二)软件版本类型
一般顶级域的运营者都比较注重系统的安全性,统计发现,操作系统69%以上都采用开源Linux,相对稳定性较高。也可以发现Windows的使用率约占20%。
图 3 顶级域服务系统操作系统类型分布
对顶级域服务系统使用的域名服务器进行探测扫描,统计发现95%以上使用开源软件ISC BIND。
表 2 顶级域服务系统所用域名解析软件分类
三、二级及以下权威域名服务系统
(一)地域分布
统计发现,拥有权威服务器较多的省份为中国台湾、香港、北京等互联网较为发达的省市地区。以下图中十个地区的权威服务器数量占全国权威服务器总量的91%以上。
图 4 权威域名服务系统地域分布
(二)所属运营商
在对国内其他各级域名服务系统进行监测的同时,对这些权威服务器在各大运营商的分布状况进行统计,发现中国主流运营商拥有的权威服务器数量占中国各级域名服务系统的50%以上。
图 5 权威域名服务系统运营商分布
(三)软件版本类型
对国内各级域名服务系统中的所有权威服务器进行扫描,统计发现,62%以上的域名服务器使用开源的Linux系统,Microsoft Windows操作系统所占比例在36%左右。
图 6 权威域名服务系统操作系统类型分布
对国内各级域名服务系统中的所有权威域名服务器进行探测,其中95%以上的域名服务器使用开源的ISC BIND软件,国外权威域名服务系统中ISC BIND使用率约为93%。
表3 国内权威域名服务系统域名解析软件分类
(四)协议支持程度
中国各级域名服务系统的协议支持情况与世界各级域名服务系统的协议支持情况相比,支持TCP查询的比例略低于世界水平,中国各级域名服务系统支持EDNS0的比例略高于世界平均值。
中国各级域名服务系统中的权威域名服务器中,53%开启了递归查询功能,远大于世界各级域名服务器31%的递归功能开启比率,存在一定的安全隐患,这说明中国的各级域名服务系统配置方式存在问题。
图 7 权威域名服务系统协议支持程度
四、递归域名服务系统
(一)地域分布
中国境内的递归域名服务器大多分布在广东、北京、中国台湾、上海等互联网发达的地区。下图中十个地区的递归服务器总量占全国递归服务器总量的88%以上。
图 8 递归域名服务系统地域分布
(二)所属运营商
对中国境内的递归域名服务器进行运营商级的细化,62%以上的递归域名服务器分布在中国主流的运营商内,其中中国电信拥有的递归服务器数量最多,占全国递归域名服务器总量的21%以上。
图 9 递归域名服务系统运营商分布
(三)软件版本类型
对中国递归域名服务系统进行全面扫描,统计发现,超过55%的递归域名服务器运行在Linux等开源系统上,28%左右的递归域名服务运行在Microsoft Windows操作系统上。
图 10 递归域名服务系统操作系统类型分布
在对中国递归域名服务系统进行统计分析时,发现94%以上都采用的开源软件ISC BIND,国外递归域名服务系统中ISC BIND使用率约为86%。
表4 国内递归域名服务系统域名解析软件分类
(四)协议支持程度
中国递归域名服务系统的协议支持情况与世界递归域名服务系统的协议支持情况相比,中国递归服务器的协议支持程度与世界平均水平保持一致。
图 11 递归域名服务系统协议支持程度
(五)递归域名服务器端口随机性
递 归域名服务器对外发起查询使用的客户端端口的随机性对域名解析的安全程度具有很大影响,端口随机算法如果不够安全,会使域名服务器容易遭受缓存中毒攻击, 著名的卡明斯基漏洞就是利用递归服务器的客户端端口弱随机性发起的攻击。统计发现,中国超过4%的递归域名服务器端口随机性较差,容易遭受DNS劫持攻 击,远高于世界范围的0.98%。
图 12 递归域名服务系统端口随机程度分布
第三章 国内重点权威域名安全抽样
重要信息系统涉及域名数量众多,根据重点域名的访问量及其服务范围,抽样调查了各行业的域名,主要来自政府机构、金融机构、教育机构、网络运营商以及涉及到国计民生的各个行业。统计发现57%的重点域名解析服务处于有风险的状态,只有11%的域名解析服务安全等级为良好。
图 13 重点域名安全状况分布
通过对各行业的域名安全状况进行分析,教育机构的域名服务系统安全性最差,80%以上的域名解析服务处于有风险状态。
图 14 各行业重点域名安全等级分布
经过对重点域名列表进行扫描监测,统计发现,74%的域名配置了两台以上的域名服务器,但是这些配置两台以上域名服务器的域名中又有超过23%的域名服务器位于同一个网段内。
域名服务器作为权威服务器,应该将递归功能关闭,否则会存在安全隐患,通过统计分析发现,重点域名列表中有40%的域名服务器将递归功能开启,增加了被攻击的风险。
图 15 重点域名服务器递归功能开放统计
权 威服务器所用软件类型及版本将从很大程度上影响到域名服务器的安全性,通过对中国重点域名所使用的软件版本类型信息进行监测和统计,发现75%的域名服务 器使用开源软件ISC BIND,且在使用ISC BIND的域名服务器中14.93%以上的BIND版本过低,存在严重的安全隐患。
表 5 中国重点域名所用软件类别
第四章 DNSSec及全球实施状况
DNS 域名服务系统作为互联网服务的重要基础设施,其设计之初就存在严重的协议安全漏洞,近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大的损失。 为此IETF成立了工作组专门研究DNSSec安全扩展协议(DNS Security Extensions),并推出了一系列的RFC标准,从概念、协议设计、报文格式、加密算法及密钥管理等方面完善了原有DNS体系的不足之处,从而形成 一整套的DNSSec解决方案。
分析DNSSec的技术原理可发现,该解决方案遵循了如下目标和设计原则:
- 为DNS解析服务提供数据源身份认证和对数据完整性验证;
- 由于DNS是一个公共的网络服务基础设施,不能强制进行访问控制或者数据加密;
- DNSSec协议需要与原有DNS协议兼容;
- 支持增量部署;
部 署了DNSSEC的权威域名服务器在应答查询请求时,首先使用哈希算法计算应答报文的摘要,再将此摘要用自己的私钥加密生成签名后存储到报文中;查询方收 到应答报文,利用权威服务器的公钥解密签名获得摘要,再将此摘要与从报文数据计算出的摘要进行对比来完成数据的完整性验证。如果数据完整性验证成功,则也 同时完成了对数据源(权威域名服务器)的身份认证,否则认识身份认证失败。为了解决以安全的方式分发公钥所面临的挑战,使用了“信任链”的方法,所有 DNS认证过程的信任锚点均为根域名服务器。
图 16 DNSSec签名认证过程
自 2010年7月15日根正式提供DNSSec服务之后,实施DNSSec的顶级域数量逐渐增多,截至2010年8月13日,已有37个顶级域部署了 DNSSec,约占顶级域总量的13%。这些实施了DNSSec的顶级域中,有7个通用顶级域名,19国家与地区顶级域名,11个实验性顶级域名。
表 6 TLD实施DNSSec统计
在对区进行分布式监测时,还同时检验了实施DNSSec所用的密钥算法,经过统计发现95.43%的密钥使用的RSA/SHA-1算法,3.95%使用的RSA-NSEC3-SHA1算法。
表 7 DNSSec所用密钥算法统计
目 前根域名服务体系已经实施DNSSec,顶级域以及其他各级域名服务系统也纷纷将DNSSec的部署实施纳入章程。为了确保中国互联网的安全,国内各域名 服务提供主体要重视DNSSec的部署和实施工作,同时密切关注国外域名服务主体实施DNSSec遇到的困难和问题,并结合中国国情探索有利于中国互联网 健康发展的安全之路。
通过分析DNSSec的技术实现原理以及国外DNSSec实施案例,发现国内部署实施DNSSec将面临如下困难和问题:
第一,缺乏最佳的实践指导,各域名服务提供主体对DNSSec的实施方式尚未有统一认识。由于DNSSec尚未广泛部署,对即将面对的问题缺乏最佳的解决经验。
第二,部署实施DNSSec需要一系列技术性要求较高的专用设备,如密钥管理设备、签名设备等,市场上缺乏成熟的产品。
第二,实施DNSSec对域名解析系统有更高的要求,需要扩充域名解析系统的计算资源和存储能力以保证解析效率。
第三,由于部署DNSSec、实施EDNS0会使得DNS数据包增大,超过传统的512字节,增大网络流量,扩展的DNS数据包有可能超过路径最大传输单元(PMTU),发生丢包现象。
第四,部署实施DNSSec需要技术人员对DNS体系、加密算法等十分精通,国外实施DNSSec时因配置失误导致域名解析故障屡有发生。国内具备这些能力的专业技术人员严重缺乏。
第五,实施DNSSec可能增大DDoS攻击的成功率,因为DNS响应数据包增大,使得黑客更容易利用DNS系统形成放大攻击或反射攻击。
第五章 域名服务风险分析和安全建议
域名服务包含了权威域名服务和递归域名服务,服务的正确、安全和可靠运行对于整个互联网的发展和建设来说至关重要。分析发现,国内域名服务在配置管理和运行维护方面均存在不同程度的安全隐患,域名服务系统面临的风险以及安全防范建议如下:
风险一:信息更改或过期:各级域名解析系统通常与域名注册、WHOIS等系统协调工作,任一环节的漏洞都可能被黑客利用,篡改域名解析数据。权威域名解析服务的主服务器或辅服务器如因配置不当,也容易被攻击,造成权威解析服务故障。
防范建议:确保域名解析服务的独立性,运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供。
风险二:DNS系统应用程序崩溃:域名解析服务系统所用软件极其重要,如因配置不当或升级延迟,软件存在的漏洞容易被黑客利用。近年来开源软件BIND被广泛使用,一旦该软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。
防范建议:采用安全的操作系统平台和域名解析软件,并关注软件商发布的最新安全漏洞,定期升级软件系统。
风 险三:域名劫持(Domain Name Hijacking):通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该 DNS服务器上添加相应域名纪录,从而使网民访问该域名时,进入了黑客所指向的内容。值得注意的是:域名被劫持后,不仅网站内容会被改变,甚至会导致域名 所有权也旁落他人。如果是国内的CN域名被劫持,还可以通过和注册服务商或注册管理机构联系,较快地拿回控制权。如果是国际域名被劫持,而且又是通过国际 注册商注册,那么其复杂的解决流程,再加上非本地化的服务,会使得夺回域名变得异常复杂。
防范建议1:选择安全性高、服务便捷的域名注册服务机构和域名注册管理机构;
防范建议2:隐藏域名解析软件及操作系统等版本信息;
防范建议3:限制域名区文件的传送权限;
风险四:中间人攻击(Man in the Middle Attack):中间人攻击,是攻击者冒充域名服务器的一种欺骗行为,它主要用于向主机提供错误DNS信息。中间人攻击大多数本质都是被动,其检测和防御十分困难。
防范建议1:使用入侵检测系统,尽可能的检测出中间人攻击行为;
防范建议2:需对域名服务器边界网络设备的流量、数据包进行监控,监控方式可基于监听、SNMP、NetFlow等网管技术和协议;
防范建议3:对域名服务协议是否正常进行监控,即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求,分析服务器返回的结果,以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下,在不同网络内部部署多个探测点分布式监控;
防范建议4:部署实施DNSSec;
风险五:NSEC游走:早期的DNSSec使用NSEC方案,会造成区文件被遍历、枚举,从而泄露所管理的域名解析数据,既是商业数据的泄露,也容易成为黑客攻击的靶子。
防范建议1:采用NSEC3方案解决该问题;
风 险六:分布式拒绝服务攻击(DDoS Attack):DDoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大 量查询报文,这些报文看似完全符合规则,但往往需要DNS服务器花费大量时间进行查询,从而使DNS瘫痪。2009年5月19日全国大面积断网事件起因即 为DDoS攻击。
防范建议1:提供域名服务的服务器数量应不低于2台,建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;
防范建议2:限制递归服务的服务范围;
防范建议3:利用流量分析等工具检测出DDoS攻击行为,以便及时采取应急措施;
防范建议4:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
风险七:缓存窥探(Cache Snooping):DNS缓存窥探是一个确定某一个资源记录是否存在于一个特定的DNS缓存中的过程。通过这个过程攻击者可以得到一些信息,例如解析器处理了哪些域名查询。攻击者通常利用缓存窥探寻找可攻击对象。
防范建议:限制递归服务的服务范围,仅允许特定网段的用户使用递归服务。
风 险八:缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing):通过向DNS服务器注入非法网络域名地址实现缓存中毒攻击,对该类安全威胁的检测十分困难。利用该漏洞轻则可以让用户无法打开网页, 重则是网络钓鱼和金融诈骗,给受害者造成巨大损失。由于软件实现技术水平参差不齐,端口、报文ID随机算法落后的域名服务器容易遭受缓存中毒攻击。
防范建议1:对重要域名的解析结果进行重点监测,一旦发现解析数据有变化能够及时给出告警提示;
防范建议2:部署实施DNSSec;
风 险九:DNS放大、反射攻击:目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中,DNS服务器往往不受攻击目 标,而是充当了无辜的被利用者的角色。这种攻击向互联网上的一系列无辜的第三方DNS服务器发送小的和欺骗性的询问信息。这些DNS服务器随后将向表面上 是提出查询的那台服务器发回大量的回复,导致通讯流量的放大并且最终导致攻击目标瘫痪。提供递归域名解析服务的主体需要控制服务范围,尽可能的避免提供开放递归服务,并借助于流量分析监测等手段发现潜在的DDos攻。
防范建议1:利用流量分析等工具检测出攻击行为;
防范建议2:在域名服务系统周围部署抗攻击设备,应对这类型的攻击;
此 外,为了加强域名服务的安全可靠性,域名服务部署时,需要考虑单节点故障问题。所涉及的路由器、交换机等均需要有冗余备份能力,建立完善的数据备份机制和 日志管理系统。应保留最新的3个月的全部解析日志。并且建议对重要的域名信息系统采取7×24的维护机制保障。应急响应到场时间不能迟于30分钟。
附录1 术语定义
- DNS:全称为Domain Name System,即域名服务系统,是互联网的重要基础设施,完成了域名到IP地址的映射功能。
- IP:网络地址,标示互联网上的每一台主机。
- TCP:Transmission Control Protocol,传输控制协议,是一种面向连接的、可靠的、基于字节流的运输层通信协议。
- UDP:User Datagram Protocol,用户数据包协议,是一种无连接的传输层通信协议。
- DNSSec:DNS安全扩展协议,在传统DNS基础上提供数据源认证和完整性检查。
- EDNS0:DNS扩展协议第一个版本,实施DNSSec所必需的重要协议。
- ccTLD:Country Code Top Level Domain,国家及地区顶级域名。
- gTLD:Generic top-level domain,通用顶级域名。
- 根域名服务器:是互联网域名解析系统中最高级别的域名服务器。
- 权威域名服务器:提供权威名字解析服务的域名服务器。
- 递归域名服务器:具有处理递归查询功能的域名服务器。
- ISP:Internet Service Provider,互联网服务提供商。
附录2 全球技术动态及安全事件
技术动态
- 2009年6月2日,PIR(Public Internet Registry)对.ORG区文件进行了签名,宣告ORG正式支持DNSSec功能。
- 2009年6月10日,Matthew Dempsky(来自.ORG注册机构)发布了每个TLD的DNS信任依赖图(区与名字服务器之间),有助于研究DNS体系的安全状况。
- 2009年6月12日,CNNIC与ISC签署战略合作协议,双方将共同进行DNS基础服务软件以及相关技术的研发工作。
- 2009年7月2日,ENUM NL尝试使用DNSSEC对1.3.e164.arpa区进行签名,在正式提交信任锚点前进行测试。
- 2009年7月7日,DNS-OARC撰文称,近来随着DNSSEC部署的增加,不断暴露出部分DNS解析器不能接收较大应答消息的问题。
- 2009年8月,CNNIC技术人员正式加入BIND 10软件的核心开发团队,这将对研发中国自主产权的域名解析软件奠定坚实的基础。
- 2009年8月10日,ISC宣称Afilias和Neustar将为DLV区提供二级DNS服务,以此来支持DLV的注册。
- 2009年9月4日,为推进对根签名的进程,VeriSign公布了关于root DNSKEY response size的实验结果。
- 2009年9月17日,ICANN发布了L根数据膨胀的影响分析报告——“Root Zone Augmentation and Impact Analysis”。
- 2009年9月30日,ICANN提议:IDN项目于2009年11月16日启动。该提议已被提交到2009年10月下旬在首尔召开的ICANN会议的董事会上进行讨论。
- 2009年10月1日,ICANN发布根区膨胀模型的研究报告——“Root Scaling Study:Description of the DNS Root Scaling Model”(由TNO荷兰应用科学研究组织完成)。
- 2009年10月8日,在葡萄牙首都里斯本召开的RIPE 59会议上,来自ICANN的DNS工作组主席Joe Abley和VeriSign副总裁Matt Larson宣布了根签名的时间表。
- 2009年10月30日,在首尔ICANN会议上,ICANN董事会同意引入IDN ccTLD,这意味着很快将能够在网络上使用非拉丁字母的互联网地址。
- 2009年11月5日-6日,中国互联网络信息中心(CNNIC)在京承办“域名系统运行分析研究中心”(DNS-OARC)秋季工作会议。会议就DNS安全,IPv4向IPv6过渡,国际化域名(IDN)推进等问题进行了讨论。
- 2009年12月,Google提供了Public DNS解析服务。
- 2010年2月8日,CNNIC与ISC建立互联网技术联合实验室CILAB,双方依托联合实验室进行产品开发、服务平台运行、技术研究、以及国内业务拓展等方面的合作。
- 2010年4月30日,新华社报道了上海世博会官网expo2010.cn全球访问信息。作为互联网上显著的“中国”标识,expo2010.cn、expo.cn等一系列.CN域名的广泛应用,使国家域名成为上海世博会的网络“新地标”。
- 2010年7月10日, 互联网名称与编号分配机构(ICANN)授权互联网地址指派机构(IANA)将“.中国”域名正式写入全球互联网根域名系统(DNS)。至此,“.中国” 域名全球解析部署已实施完毕。全球网民在浏览器地址栏中直接输入已注册的“.中国”域名即可访问相应网站。
- 2010年7月15日,根签名服务器正式对外提供服务,标识着DNSSec在根服务器的部署已经完成。
域名安全事件
- 2009年5月19日,域名免费托管组织DNSPod遭受DDoS攻击,加上暴风影音软件存在的问题,导致了中国六省长时间断网事件。
- 2009年7月29日,BIND 9的所有版本被发现存在缺陷。攻击者只需向BIND 9服务器发送一个特殊的动态更新消息,就会导致服务器停止工作。专家称该缺陷比Kaminsky揭露的缓存毒药缺陷更加严重。
- 2009年9月8日,由于一个过期、错误的DLV key,.pr遭遇servfail。
- 2009年10月12日,瑞典当地时间21点45分,由于在日常维护中不正确的软件升级,顶级域名.se出现故障,导致整个瑞典互联网几乎完全瘫痪,所有的.se网站都无法访问。
- 2009年8月26日,波多黎各主要的域名注册机构遭受长达几个小时的攻击,造成Google, Microsoft, Yahoo, Coca-Cola等多家大公司的网站被重定向到某恶意网站。
- 2009年9月24日,EditDNS,著名托管型DNS提供商(popular hosted DNS provider),遭受了DDoS攻击。
- 2009年10月21日,Yammer(与Twitter类似,为商业人士提供的短消息服务)由于DNS配置错误而经历了长时间的瘫痪。
- 2009年10月22日,互联网基础服务提供商新网公司的DNS系统遭受十多分钟的持续攻击。
- 2010年1月12日,知名搜索引擎公司百度DNS被劫持,造成其网站数小时内无法被访问。
- 2010年1月20日,时代互联域名解析服务遭受攻击。
- 2010年2月8日,印度最大的软件开发商塔塔(Tata)咨询服务公司网站遭黑客攻击,经证实攻击手段为DNS劫持。
- 2010年2月22日,通信领域著名网站DSLReports域名服务器发生故障。
- 2010年3月9日,澳大利亚游戏网站Ubisoft遭受DDoS攻击。
- 2010年3月24日,维基百科Wikimedia的DNS在做服务切换时发生配置错误,致使欧洲用户数小时无法访问维基百科网站。
- 2010年3月26日,国外著名VoIP提供商Line2的域名系统遭受DDoS攻击。
- 2010年5月15日,DENIC负责运营的德国国家顶级域DE因配置错误,导致成千上万的de域名无法访问。
- 2010年6月2日,Netscape网景公司的DNS服务遭受攻击并致瘫痪。
- 2010年6月3日,国外网站Quakelive因域名配置错误,造成网站长时间无法访问。
- 2010年8月3日,VeryCD部分地区无法访问,据官方微薄证实是DNS服务器遭受攻击所致。
- 2010年8月7日,国际知名DNS服务提供者DNS Made Easy遭受DDoS攻击,造成1.5小时的服务宕机。分析发现DDoS的攻击流量高达50Gbps,而针对DNS的攻击流量历史最高为49Gbps。