域名域名系统

时间：2022-02-14 03:35:01 | 来源：信息时代

时间：2022-02-14 03:35:01 来源：信息时代

域名系统（domainnamesystem）是互联网上最为关键的基础设施，其主要作用是将易于记忆的主机名称映射为枯燥难记的IP地址，从而保障其他网络应用（如网页浏览、电子邮件等）顺利执行。作为全球最大也是最为成功的分布式数据库系统，其效率和普及程度是其他服务无法比拟的。

域名系统简介

DNS是DomainNameSystem的英文缩写，又称域名系统，它是一种组织成层次型结构的计算机和网络服务的命名系统,是连接到互联网上的计算机或者服务器地址。在互联网上，每一台接受访问的计算机或服务器都被称为主机，每一台主机都有一个IP地址，它是由分为四部分的一串数字组成，每部分数字之间由小数点隔开，例如100.26.166.68,这些数字是用户访问互联网网站的地址，也是计算机能够识别的。域名系统的作用就是把这些数字转换成一些容易记忆的字母组合，例如www.sohu.com。

域名系统工作原理

客户端将域名查询请求发送到本地DNS服务器，DNS服务器在本地数据库中查找客户端要求的映射；如果本DNS服务器不能在本地找到客户端查询的信息，则将客户端请求发送到根域名DNS服务器。根域名DNS服务器负责解析客户端请求的根域部分，它将包含下一级域名信息的DNS服务器地址返回给客户端的DNS服务器；客户端的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器，得到维护再下一级域名的DNS服务器地址；按照上述递归方法逐级接近查找目标，最后在维护有目标域名的DNS服务器上找到相应的IP地址信息；客户端的本地DNS服务器将递归查询结果返回客户端；客户端利用从本地DNS服务器查询得到的IP地址访问目标主机。

域名系统攻击手段

当前域名劫持是危害域名安全的主要技术之一，域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回目的IP地址或者什么也不做使得请求失去响应。其效果就是对特定的网址不能访问或访问的是假网址，恶意的攻击者可以很容易地通过域名欺骗取得用户的账号密码、个人信息、商务机密等等资料。域名系统目前遭受到的最主要的攻击手段，主要包括拒绝服务攻击、误导目的地址和域名缓存中毒。

（1）拒绝服务攻击

域名系统网络拓扑图

域名系统采用层次化的树状结构，由树叶走向树根就可以形成一个全域名。每个全域名都是惟一的。域名系统的网络拓扑结构如图所示：域名系统服务器A2为网络节点a、b、c、d工作，如果A2不能正常工作，则其所辖的所有节点都无法通过域名连接到网络，A2成为该子网的瓶颈，存在单点故障风险问题。并且A2不能正常工作时，其所管辖的子域都无法解析域名，仅能通过难以记忆的IP地址访问网络，对多数网络用户而言，无法接入网络，甚至还会被利用来对其他主机进行反弹式攻击。

（2）误导目的地址

当用户需要取得域名系统服务时，被攻击者提供了一条虚假域名响应，让域名解析器误认为是来自本地域名服务器的正确响应，于是用户得到的IP地址是一个伪造的地址。接着，用户在客户端输入账号密码，攻击者轻易地得到了该用户的账号密码。这类攻击的发生，主要在于目前的路由器没有能力禁止错误的源地址，因此，只要攻击者能够路由到你的主机，他就能够伪造一个看起来像是从一个值得信赖的域名服务器返回的响应报文。在上述例子中，攻击者只需要采用DOS攻击域名服务器，使得域名服务器不能回应给客户的请求，而攻击者这时候伪造响应报文就很容易得逞。

（3）域名系统缓存中毒

域名系统为了提高查询的效率,普遍采用了高速缓存技术,这项技术能够带来查询的高效率，但是也给攻击者提供了一个良好的场所。具体过程：在域名系统的缓存数据还没有过期之前,如果域名系统的缓存区中已存在的记录一旦被客户查询,域名系统服务器将把缓存区中的记录直接返回给客户。域名系统缓存区中毒就是利用了域名系统的缓存机制，在缓存区中存入错误的数据使其被其他查询客户所获得。在缓存数据的生存期内，缓存区中毒的机器又可能将错误的数据传播出去，导致更多的服务器缓存中毒。如果减少缓存数据的生存期，可以减少缓存中毒的影响范围，但过于频繁的缓存数据更新将大大增加服务器的负担