域名域名系統(tǒng)

時間：2022-02-14 03:35:01 | 來源：信息時代

時間：2022-02-14 03:35:01 來源：信息時代

域名系統(tǒng)（domainnamesystem）是互聯(lián)網上最為關鍵的基礎設施，其主要作用是將易于記憶的主機名稱映射為枯燥難記的IP地址，從而保障其他網絡應用（如網頁瀏覽、電子郵件等）順利執(zhí)行。作為全球最大也是最為成功的分布式數據庫系統(tǒng)，其效率和普及程度是其他服務無法比擬的。

域名系統(tǒng)簡介

DNS是DomainNameSystem的英文縮寫，又稱域名系統(tǒng)，它是一種組織成層次型結構的計算機和網絡服務的命名系統(tǒng),是連接到互聯(lián)網上的計算機或者服務器地址。在互聯(lián)網上，每一臺接受訪問的計算機或服務器都被稱為主機，每一臺主機都有一個IP地址，它是由分為四部分的一串數字組成，每部分數字之間由小數點隔開，例如100.26.166.68,這些數字是用戶訪問互聯(lián)網網站的地址，也是計算機能夠識別的。域名系統(tǒng)的作用就是把這些數字轉換成一些容易記憶的字母組合，例如www.sohu.com。

域名系統(tǒng)工作原理

客戶端將域名查詢請求發(fā)送到本地DNS服務器，DNS服務器在本地數據庫中查找客戶端要求的映射；如果本DNS服務器不能在本地找到客戶端查詢的信息，則將客戶端請求發(fā)送到根域名DNS服務器。根域名DNS服務器負責解析客戶端請求的根域部分，它將包含下一級域名信息的DNS服務器地址返回給客戶端的DNS服務器；客戶端的DNS服務器利用根域名服務器解析的地址訪問下一級DNS服務器，得到維護再下一級域名的DNS服務器地址；按照上述遞歸方法逐級接近查找目標，最后在維護有目標域名的DNS服務器上找到相應的IP地址信息；客戶端的本地DNS服務器將遞歸查詢結果返回客戶端；客戶端利用從本地DNS服務器查詢得到的IP地址訪問目標主機。

域名系統(tǒng)攻擊手段

當前域名劫持是危害域名安全的主要技術之一，域名劫持就是在劫持的網絡范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則直接返回目的IP地址或者什么也不做使得請求失去響應。其效果就是對特定的網址不能訪問或訪問的是假網址，惡意的攻擊者可以很容易地通過域名欺騙取得用戶的賬號密碼、個人信息、商務機密等等資料。域名系統(tǒng)目前遭受到的最主要的攻擊手段，主要包括拒絕服務攻擊、誤導目的地址和域名緩存中毒。

（1）拒絕服務攻擊

域名系統(tǒng)網絡拓撲圖

域名系統(tǒng)采用層次化的樹狀結構，由樹葉走向樹根就可以形成一個全域名。每個全域名都是惟一的。域名系統(tǒng)的網絡拓撲結構如圖所示：域名系統(tǒng)服務器A2為網絡節(jié)點a、b、c、d工作，如果A2不能正常工作，則其所轄的所有節(jié)點都無法通過域名連接到網絡，A2成為該子網的瓶頸，存在單點故障風險問題。并且A2不能正常工作時，其所管轄的子域都無法解析域名，僅能通過難以記憶的IP地址訪問網絡，對多數網絡用戶而言，無法接入網絡，甚至還會被利用來對其他主機進行反彈式攻擊。

（2）誤導目的地址

當用戶需要取得域名系統(tǒng)服務時，被攻擊者提供了一條虛假域名響應，讓域名解析器誤認為是來自本地域名服務器的正確響應，于是用戶得到的IP地址是一個偽造的地址。接著，用戶在客戶端輸入賬號密碼，攻擊者輕易地得到了該用戶的賬號密碼。這類攻擊的發(fā)生，主要在于目前的路由器沒有能力禁止錯誤的源地址，因此，只要攻擊者能夠路由到你的主機，他就能夠偽造一個看起來像是從一個值得信賴的域名服務器返回的響應報文。在上述例子中，攻擊者只需要采用DOS攻擊域名服務器，使得域名服務器不能回應給客戶的請求，而攻擊者這時候偽造響應報文就很容易得逞。

（3）域名系統(tǒng)緩存中毒

域名系統(tǒng)為了提高查詢的效率,普遍采用了高速緩存技術,這項技術能夠帶來查詢的高效率，但是也給攻擊者提供了一個良好的場所。具體過程：在域名系統(tǒng)的緩存數據還沒有過期之前,如果域名系統(tǒng)的緩存區(qū)中已存在的記錄一旦被客戶查詢,域名系統(tǒng)服務器將把緩存區(qū)中的記錄直接返回給客戶。域名系統(tǒng)緩存區(qū)中毒就是利用了域名系統(tǒng)的緩存機制，在緩存區(qū)中存入錯誤的數據使其被其他查詢客戶所獲得。在緩存數據的生存期內，緩存區(qū)中毒的機器又可能將錯誤的數據傳播出去，導致更多的服務器緩存中毒。如果減少緩存數據的生存期，可以減少緩存中毒的影響范圍，但過于頻繁的緩存數據更新將大大增加服務器的負擔