張鑫

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領(lǐng)域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態(tài)有著一定的積極意義。

關(guān)鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯(lián)網(wǎng)空前發(fā)達。互聯(lián)網(wǎng)的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產(chǎn)的效率有著毋庸置疑的作用，與此同時，互聯(lián)網(wǎng)作為一個關(guān)鍵的知識來源，對于人們學習能力的提升和學習領(lǐng)域的擴展同樣有著不容忽視的作用?；诨ヂ?lián)網(wǎng)如此重要的作用，其安全性就更需要引起重視，而在互聯(lián)網(wǎng)安全領(lǐng)域中，DNS安全成為了必然的關(guān)注重點。

1 DNS概念以及工作原理

域名服務系統(tǒng)（DNS，Domain Name System），其主要職責在于幫助實現(xiàn)從域名到IP地址的映射以及查詢服務提供。在互聯(lián)網(wǎng)中，計算機之間的區(qū)分和識別依據(jù)IP地址展開，但是為了方便訪問和記憶，人類不能依據(jù)IP地址對網(wǎng)頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經(jīng)過互聯(lián)網(wǎng)展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發(fā)起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數(shù)據(jù)在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數(shù)據(jù)庫，實現(xiàn)用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網(wǎng)絡(luò)的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結(jié)果反饋給用戶。但是對于本地鏡像數(shù)據(jù)而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數(shù)據(jù)，并非全部DNS解析數(shù)據(jù)，因此當無法滿足用戶的查詢請求的時候，即需要轉(zhuǎn)向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉(zhuǎn)向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉(zhuǎn)向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執(zhí)行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現(xiàn)了整個網(wǎng)絡(luò)的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據(jù)域名來實現(xiàn)對于諸多網(wǎng)絡(luò)頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創(chuàng)。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網(wǎng)事件；2010年1月12日，百度DNS遭到劫持，導致網(wǎng)站數(shù)小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發(fā)生配置錯誤，致使歐洲用戶數(shù)小時無法訪問維基百科網(wǎng)站。這些安全問題，都直接給網(wǎng)絡(luò)用戶以及網(wǎng)站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經(jīng)濟發(fā)展。基于DNS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統(tǒng)的構(gòu)建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術(shù)。對于DNS的攻擊通常都采用正常的數(shù)據(jù)包，發(fā)出大量解析請求，借以實現(xiàn)對于DNS服務資源的占用從而達到迫使DNS解析系統(tǒng)癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數(shù)據(jù)流監(jiān)控，難以實現(xiàn)對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數(shù)據(jù)并且實現(xiàn)同步，但DNS的核心解析工作仍然由主服務器加以執(zhí)行。從外界看，二者同為根DNS服務器，并不加以區(qū)分。在這樣的體系之下，防火墻以及嗅探系統(tǒng)的工作在于監(jiān)控DNS服務器的數(shù)據(jù)流量，并且根據(jù)相應的流量特征做出統(tǒng)計。通常認為日常的解析請求會呈現(xiàn)出一定的穩(wěn)定特征，如果解析請求過于起伏或者出現(xiàn)暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構(gòu)。由于DNS本身在設(shè)計之初并未考慮到安全問題，因此在數(shù)據(jù)完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術(shù)對DNS中的信息創(chuàng)建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發(fā)展，對于DNS查詢/應答、DNS動態(tài)更新、DNS域區(qū)傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術(shù)環(huán)境中相對比較完善的DNS方案。

3 結(jié)論

DNS本身的可靠性和安全性，直接關(guān)系到整個互聯(lián)網(wǎng)的穩(wěn)定性和安全特征，對于用戶的互聯(lián)網(wǎng)體驗也同樣至關(guān)重要，在某些特殊情況下，甚至會威脅到國家的安全和經(jīng)濟的發(fā)展?；诖朔N考慮，必須以嚴肅認真的態(tài)度對待DNS安全狀態(tài)，積極關(guān)注行業(yè)技術(shù)發(fā)展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設(shè)計，2008（1）.endprint

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領(lǐng)域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態(tài)有著一定的積極意義。

關(guān)鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯(lián)網(wǎng)空前發(fā)達?；ヂ?lián)網(wǎng)的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產(chǎn)的效率有著毋庸置疑的作用，與此同時，互聯(lián)網(wǎng)作為一個關(guān)鍵的知識來源，對于人們學習能力的提升和學習領(lǐng)域的擴展同樣有著不容忽視的作用。基于互聯(lián)網(wǎng)如此重要的作用，其安全性就更需要引起重視，而在互聯(lián)網(wǎng)安全領(lǐng)域中，DNS安全成為了必然的關(guān)注重點。

1 DNS概念以及工作原理

域名服務系統(tǒng)（DNS，Domain Name System），其主要職責在于幫助實現(xiàn)從域名到IP地址的映射以及查詢服務提供。在互聯(lián)網(wǎng)中，計算機之間的區(qū)分和識別依據(jù)IP地址展開，但是為了方便訪問和記憶，人類不能依據(jù)IP地址對網(wǎng)頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經(jīng)過互聯(lián)網(wǎng)展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發(fā)起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數(shù)據(jù)在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數(shù)據(jù)庫，實現(xiàn)用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網(wǎng)絡(luò)的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結(jié)果反饋給用戶。但是對于本地鏡像數(shù)據(jù)而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數(shù)據(jù)，并非全部DNS解析數(shù)據(jù)，因此當無法滿足用戶的查詢請求的時候，即需要轉(zhuǎn)向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉(zhuǎn)向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉(zhuǎn)向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執(zhí)行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現(xiàn)了整個網(wǎng)絡(luò)的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據(jù)域名來實現(xiàn)對于諸多網(wǎng)絡(luò)頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創(chuàng)。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網(wǎng)事件；2010年1月12日，百度DNS遭到劫持，導致網(wǎng)站數(shù)小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發(fā)生配置錯誤，致使歐洲用戶數(shù)小時無法訪問維基百科網(wǎng)站。這些安全問題，都直接給網(wǎng)絡(luò)用戶以及網(wǎng)站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經(jīng)濟發(fā)展。基于DNS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統(tǒng)的構(gòu)建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術(shù)。對于DNS的攻擊通常都采用正常的數(shù)據(jù)包，發(fā)出大量解析請求，借以實現(xiàn)對于DNS服務資源的占用從而達到迫使DNS解析系統(tǒng)癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數(shù)據(jù)流監(jiān)控，難以實現(xiàn)對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數(shù)據(jù)并且實現(xiàn)同步，但DNS的核心解析工作仍然由主服務器加以執(zhí)行。從外界看，二者同為根DNS服務器，并不加以區(qū)分。在這樣的體系之下，防火墻以及嗅探系統(tǒng)的工作在于監(jiān)控DNS服務器的數(shù)據(jù)流量，并且根據(jù)相應的流量特征做出統(tǒng)計。通常認為日常的解析請求會呈現(xiàn)出一定的穩(wěn)定特征，如果解析請求過于起伏或者出現(xiàn)暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構(gòu)。由于DNS本身在設(shè)計之初并未考慮到安全問題，因此在數(shù)據(jù)完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術(shù)對DNS中的信息創(chuàng)建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發(fā)展，對于DNS查詢/應答、DNS動態(tài)更新、DNS域區(qū)傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術(shù)環(huán)境中相對比較完善的DNS方案。

3 結(jié)論

DNS本身的可靠性和安全性，直接關(guān)系到整個互聯(lián)網(wǎng)的穩(wěn)定性和安全特征，對于用戶的互聯(lián)網(wǎng)體驗也同樣至關(guān)重要，在某些特殊情況下，甚至會威脅到國家的安全和經(jīng)濟的發(fā)展。基于此種考慮，必須以嚴肅認真的態(tài)度對待DNS安全狀態(tài)，積極關(guān)注行業(yè)技術(shù)發(fā)展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設(shè)計，2008（1）.endprint

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領(lǐng)域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態(tài)有著一定的積極意義。

關(guān)鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯(lián)網(wǎng)空前發(fā)達?；ヂ?lián)網(wǎng)的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產(chǎn)的效率有著毋庸置疑的作用，與此同時，互聯(lián)網(wǎng)作為一個關(guān)鍵的知識來源，對于人們學習能力的提升和學習領(lǐng)域的擴展同樣有著不容忽視的作用?；诨ヂ?lián)網(wǎng)如此重要的作用，其安全性就更需要引起重視，而在互聯(lián)網(wǎng)安全領(lǐng)域中，DNS安全成為了必然的關(guān)注重點。

1 DNS概念以及工作原理

域名服務系統(tǒng)（DNS，Domain Name System），其主要職責在于幫助實現(xiàn)從域名到IP地址的映射以及查詢服務提供。在互聯(lián)網(wǎng)中，計算機之間的區(qū)分和識別依據(jù)IP地址展開，但是為了方便訪問和記憶，人類不能依據(jù)IP地址對網(wǎng)頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經(jīng)過互聯(lián)網(wǎng)展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發(fā)起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數(shù)據(jù)在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數(shù)據(jù)庫，實現(xiàn)用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網(wǎng)絡(luò)的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結(jié)果反饋給用戶。但是對于本地鏡像數(shù)據(jù)而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數(shù)據(jù)，并非全部DNS解析數(shù)據(jù)，因此當無法滿足用戶的查詢請求的時候，即需要轉(zhuǎn)向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉(zhuǎn)向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉(zhuǎn)向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執(zhí)行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現(xiàn)了整個網(wǎng)絡(luò)的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據(jù)域名來實現(xiàn)對于諸多網(wǎng)絡(luò)頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創(chuàng)。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網(wǎng)事件；2010年1月12日，百度DNS遭到劫持，導致網(wǎng)站數(shù)小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發(fā)生配置錯誤，致使歐洲用戶數(shù)小時無法訪問維基百科網(wǎng)站。這些安全問題，都直接給網(wǎng)絡(luò)用戶以及網(wǎng)站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經(jīng)濟發(fā)展?；贒NS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統(tǒng)的構(gòu)建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術(shù)。對于DNS的攻擊通常都采用正常的數(shù)據(jù)包，發(fā)出大量解析請求，借以實現(xiàn)對于DNS服務資源的占用從而達到迫使DNS解析系統(tǒng)癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數(shù)據(jù)流監(jiān)控，難以實現(xiàn)對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數(shù)據(jù)并且實現(xiàn)同步，但DNS的核心解析工作仍然由主服務器加以執(zhí)行。從外界看，二者同為根DNS服務器，并不加以區(qū)分。在這樣的體系之下，防火墻以及嗅探系統(tǒng)的工作在于監(jiān)控DNS服務器的數(shù)據(jù)流量，并且根據(jù)相應的流量特征做出統(tǒng)計。通常認為日常的解析請求會呈現(xiàn)出一定的穩(wěn)定特征，如果解析請求過于起伏或者出現(xiàn)暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構(gòu)。由于DNS本身在設(shè)計之初并未考慮到安全問題，因此在數(shù)據(jù)完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術(shù)對DNS中的信息創(chuàng)建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發(fā)展，對于DNS查詢/應答、DNS動態(tài)更新、DNS域區(qū)傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術(shù)環(huán)境中相對比較完善的DNS方案。

3 結(jié)論

DNS本身的可靠性和安全性，直接關(guān)系到整個互聯(lián)網(wǎng)的穩(wěn)定性和安全特征，對于用戶的互聯(lián)網(wǎng)體驗也同樣至關(guān)重要，在某些特殊情況下，甚至會威脅到國家的安全和經(jīng)濟的發(fā)展?；诖朔N考慮，必須以嚴肅認真的態(tài)度對待DNS安全狀態(tài)，積極關(guān)注行業(yè)技術(shù)發(fā)展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設(shè)計，2008（1）.endprint