DNS工作特征以及安全防范

張鑫

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態有著一定的積極意義。

關鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯網空前發達。互聯網的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產的效率有著毋庸置疑的作用，與此同時，互聯網作為一個關鍵的知識來源，對于人們學習能力的提升和學習領域的擴展同樣有著不容忽視的作用。基于互聯網如此重要的作用，其安全性就更需要引起重視，而在互聯網安全領域中，DNS安全成為了必然的關注重點。

1 DNS概念以及工作原理

域名服務系統（DNS，Domain Name System），其主要職責在于幫助實現從域名到IP地址的映射以及查詢服務提供。在互聯網中，計算機之間的區分和識別依據IP地址展開，但是為了方便訪問和記憶，人類不能依據IP地址對網頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經過互聯網展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數據在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數據庫，實現用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網絡的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結果反饋給用戶。但是對于本地鏡像數據而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數據，并非全部DNS解析數據，因此當無法滿足用戶的查詢請求的時候，即需要轉向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現了整個網絡的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據域名來實現對于諸多網絡頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網事件；2010年1月12日，百度DNS遭到劫持，導致網站數小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發生配置錯誤，致使歐洲用戶數小時無法訪問維基百科網站。這些安全問題，都直接給網絡用戶以及網站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經濟發展。基于DNS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統的構建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術。對于DNS的攻擊通常都采用正常的數據包，發出大量解析請求，借以實現對于DNS服務資源的占用從而達到迫使DNS解析系統癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數據流監控，難以實現對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數據并且實現同步，但DNS的核心解析工作仍然由主服務器加以執行。從外界看，二者同為根DNS服務器，并不加以區分。在這樣的體系之下，防火墻以及嗅探系統的工作在于監控DNS服務器的數據流量，并且根據相應的流量特征做出統計。通常認為日常的解析請求會呈現出一定的穩定特征，如果解析請求過于起伏或者出現暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構。由于DNS本身在設計之初并未考慮到安全問題，因此在數據完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術對DNS中的信息創建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發展，對于DNS查詢/應答、DNS動態更新、DNS域區傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術環境中相對比較完善的DNS方案。

3 結論

DNS本身的可靠性和安全性，直接關系到整個互聯網的穩定性和安全特征，對于用戶的互聯網體驗也同樣至關重要，在某些特殊情況下，甚至會威脅到國家的安全和經濟的發展。基于此種考慮，必須以嚴肅認真的態度對待DNS安全狀態，積極關注行業技術發展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設計，2008（1）.endprint

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態有著一定的積極意義。

關鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯網空前發達。互聯網的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產的效率有著毋庸置疑的作用，與此同時，互聯網作為一個關鍵的知識來源，對于人們學習能力的提升和學習領域的擴展同樣有著不容忽視的作用。基于互聯網如此重要的作用，其安全性就更需要引起重視，而在互聯網安全領域中，DNS安全成為了必然的關注重點。

1 DNS概念以及工作原理

域名服務系統（DNS，Domain Name System），其主要職責在于幫助實現從域名到IP地址的映射以及查詢服務提供。在互聯網中，計算機之間的區分和識別依據IP地址展開，但是為了方便訪問和記憶，人類不能依據IP地址對網頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經過互聯網展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數據在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數據庫，實現用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網絡的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結果反饋給用戶。但是對于本地鏡像數據而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數據，并非全部DNS解析數據，因此當無法滿足用戶的查詢請求的時候，即需要轉向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現了整個網絡的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據域名來實現對于諸多網絡頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網事件；2010年1月12日，百度DNS遭到劫持，導致網站數小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發生配置錯誤，致使歐洲用戶數小時無法訪問維基百科網站。這些安全問題，都直接給網絡用戶以及網站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經濟發展?；贒NS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統的構建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術。對于DNS的攻擊通常都采用正常的數據包，發出大量解析請求，借以實現對于DNS服務資源的占用從而達到迫使DNS解析系統癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數據流監控，難以實現對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數據并且實現同步，但DNS的核心解析工作仍然由主服務器加以執行。從外界看，二者同為根DNS服務器，并不加以區分。在這樣的體系之下，防火墻以及嗅探系統的工作在于監控DNS服務器的數據流量，并且根據相應的流量特征做出統計。通常認為日常的解析請求會呈現出一定的穩定特征，如果解析請求過于起伏或者出現暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構。由于DNS本身在設計之初并未考慮到安全問題，因此在數據完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術對DNS中的信息創建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發展，對于DNS查詢/應答、DNS動態更新、DNS域區傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術環境中相對比較完善的DNS方案。

3 結論

DNS本身的可靠性和安全性，直接關系到整個互聯網的穩定性和安全特征，對于用戶的互聯網體驗也同樣至關重要，在某些特殊情況下，甚至會威脅到國家的安全和經濟的發展。基于此種考慮，必須以嚴肅認真的態度對待DNS安全狀態，積極關注行業技術發展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設計，2008（1）.endprint

摘 要 文章首先針對DNS概念以及工作原理展開了必要的分析，而后進一步對該領域中的安全防范進行了討論，對于深入了解DNS的工作特征和安全狀態有著一定的積極意義。

關鍵詞 DNS；安全；特征

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）08-0134-01

信息時代之下，互聯網空前發達?；ヂ摼W的存在，一方面極大地豐富了人們的日常生活，另一個方面對于推動者社會生產的效率有著毋庸置疑的作用，與此同時，互聯網作為一個關鍵的知識來源，對于人們學習能力的提升和學習領域的擴展同樣有著不容忽視的作用?；诨ヂ摼W如此重要的作用，其安全性就更需要引起重視，而在互聯網安全領域中，DNS安全成為了必然的關注重點。

1 DNS概念以及工作原理

域名服務系統（DNS，Domain Name System），其主要職責在于幫助實現從域名到IP地址的映射以及查詢服務提供。在互聯網中，計算機之間的區分和識別依據IP地址展開，但是為了方便訪問和記憶，人類不能依據IP地址對網頁進行訪問，這就需要DNS服務器提供相應的映射和查詢服務，幫助將人類提出的域名訪問請求映射成為計算機能夠看懂的IP地址，反饋給用戶所在的計算機，而后進一步經過互聯網展開對于目標主機的訪問。

DNS的解析工作流程參見圖1。

圖1 DNS解析工作流程示意圖

從圖1中可以看出整個DNS的工作流程。首先由用戶發起訪問請求，并且由本地DNS服務器接收這一請求。需要注意本地DNS服務器只是DNS數據在用戶端的鏡像存儲，并不是真正的DNS服務器，采取這種鏡像存儲的意義主要有兩個方面，其一在于可以將用戶訪問需求分散到各個分布鏡像數據庫，實現用戶需求最有效最快速的響應；其二則在于幫助更好地保護DNS根服務器，避免來自于網絡的直接攻擊，加強安全。如果本地DNS服務器能夠滿足用戶查詢請求，即可直接將查詢結果反饋給用戶。但是對于本地鏡像數據而言，通常都只是按照一定的算法存儲頻繁查詢讀取的數據，并非全部DNS解析數據，因此當無法滿足用戶的查詢請求的時候，即需要轉向根DNS服務器進行解析查詢。如果用戶查詢的是.com域名解析資料，則跟DNS服務器在獲取用戶查詢特征之后，會將com域的DNS解析服務器地址反饋給本地DNS服務器，并且由本地DNS服務器轉向訪問com域的DNS服務器以獲取解析響應，將XXX.com域的DNS服務器地址反饋回來。隨后，同樣由本地DNS服務器轉向訪問XXX.com域的DNS服務器，并且最終獲取到www.XXX.com域名的IP地址，最后將該IP地址反饋給用戶端計算機，由該用戶端計算機直接執行對于域名的訪問。

2 DNS安全防范分析

DNS解析服務對于用戶而言，是實現了整個網絡的索引功能，其重要性不言而喻。沒有DNS解析服務，用戶必然無法依據域名來實現對于諸多網絡頁面的訪問，這對于當前的信息化社會而言，無疑是無法忍受的重創。2009年5月19日，域名免費托管組織DNSPod遭受DDoS攻擊，加上暴風影音軟件存在的問題，導致了中國六省長時間斷網事件；2010年1月12日，百度DNS遭到劫持，導致網站數小時無法訪問，習慣了使用百度搜索的人們只能暫時依靠其他引擎進行工作；2010年3月24日，維基百科Wikimedia的DNS在做服務切換時發生配置錯誤，致使歐洲用戶數小時無法訪問維基百科網站。這些安全問題，都直接給網絡用戶以及網站組織本身帶來極大的不便，在嚴重的時候甚至可能會危及國家安全或者影響到國家的經濟發展。基于DNS如此重要的地位，必須對其安全狀況予以重視，盡可能提升其安全水平。

DNS安全系統的構建，其工作繁雜，并且不同的手段必然也會具有不同的針對性。鑒于文章限制，在此僅對兩種常見的安全防范手段提出分析。

1）防火墻以及包過濾技術。對于DNS的攻擊通常都采用正常的數據包，發出大量解析請求，借以實現對于DNS服務資源的占用從而達到迫使DNS解析系統癱瘓的目的。這就決定了想要通過單純的防火墻以及殺毒數據流監控，難以實現對于DNS服務器的有效保護。雖然如此，仍然可以通過展開DNS解析請求的分析，獲取到攻擊行為并且予以抵制。通常在采用防火墻的同時，為DNS服務器本身建立起一個前端的鏡像服務器，鏡像服務器從主服務器中定期讀取數據并且實現同步，但DNS的核心解析工作仍然由主服務器加以執行。從外界看，二者同為根DNS服務器，并不加以區分。在這樣的體系之下，防火墻以及嗅探系統的工作在于監控DNS服務器的數據流量，并且根據相應的流量特征做出統計。通常認為日常的解析請求會呈現出一定的穩定特征，如果解析請求過于起伏或者出現暴增的局面，就有理由懷疑受到了人為攻擊，并且存在有潛在的安全隱患。

2）DNSSEC安全架構。由于DNS本身在設計之初并未考慮到安全問題，因此在數據完整性和認證機制方面都有所欠缺，基于這樣的狀況，1993年IETF提出了DNS安全擴展的概念，即DNSSEC。DNSSEC的核心思想是通過公鑰密碼技術對DNS中的信息創建密碼簽名，為DNS信息同時提供認證和信息完整性檢查。從具體的職能角度看，DNSSEC重點負責密鑰分配和消息認證。DNSSEC對于DNS服務器的解析工作過程都做出了相應的安全定義，并且進一步帶動了對于客戶端的一些要求發展，對于DNS查詢/應答、DNS動態更新、DNS域區傳輸、DNS通知報文等方面的安全特征都提出了新的要求，是當前技術環境中相對比較完善的DNS方案。

3 結論

DNS本身的可靠性和安全性，直接關系到整個互聯網的穩定性和安全特征，對于用戶的互聯網體驗也同樣至關重要，在某些特殊情況下，甚至會威脅到國家的安全和經濟的發展?；诖朔N考慮，必須以嚴肅認真的態度對待DNS安全狀態，積極關注行業技術發展，以切實提升DNS安全作為唯一準繩，對潛在安全威脅展開清除。

參考文獻

[1]孔政，姜秀柱.DNS欺騙原理及其防御方案[J].計算機工程，2010（2）.

[2]張小妹，趙榮彩，等.基于DNS的拒絕服務攻擊研究與防范[J].計算機工程與設計，2008（1）.endprint