網(wǎng)絡(luò)DNS欺騙攻擊的檢測及其防護(hù)

　　DNS是大部分網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)，但是由于協(xié)議本身的設(shè)計缺陷，沒有提供適當(dāng)?shù)男畔⒈Ｗo(hù)和認(rèn)證機(jī)制，使得DNS很容易受到攻擊。一直以來，很多學(xué)者都在探討DNS安全性的問題，對于DNS協(xié)議所固有的安全缺陷，給出了一些解決方案。IETF的域名系統(tǒng)安全工作組提出了域名系統(tǒng)安全擴(kuò)展協(xié)議DNSSEC，該協(xié)議增加了認(rèn)證機(jī)制，增強(qiáng)了協(xié)議本身的安全性。但是目前潑脅議在系統(tǒng)效率、密鑰管理等方面還存在一定的問題，而且離大規(guī)模的普及和應(yīng)用還有一定的距離。因此除了對DNS協(xié)議本身的安全研究之外，也有很多文章探討了在現(xiàn)有的基礎(chǔ)上的一些安全方案，主要是升級服務(wù)器軟件，對DNS系統(tǒng)嚴(yán)格配置，禁止相關(guān)的功能等被動消極的防范手段，從整體上來說都是從增加DNS系統(tǒng)的可用性、可靠性、安全性方面著手的，此外還有一些可以躲避DNS欺騙攻擊的可行性防范措施，比如：加權(quán)法、貝葉斯分類法