遠(yuǎn)離DNS攻擊

DNS系統(tǒng)及重要性

我們?nèi)粘Ｉ暇W(wǎng)，需在瀏覽器中輸入相應(yīng)網(wǎng)站的域名，但事實上，我們真正訪問的是這個域名的IP地址，而將域名“翻譯”成IP地址的就是DNS系統(tǒng)，是互聯(lián)網(wǎng)核心服務(wù)之一，其主要目的是使域名方便記憶。此外，現(xiàn)在很多網(wǎng)站為了提高用戶上網(wǎng)體驗，采取了區(qū)域群集式服務(wù)，用戶只需記住域名，網(wǎng)站會自動將最佳域名IP地址反饋給用戶。DNS系統(tǒng)分為服務(wù)器和客戶端兩部分，服務(wù)器內(nèi)存儲著域名和IP地址相互映射的分布式數(shù)據(jù)庫，其工作流程是當(dāng)客戶端發(fā)出域名解析請求后，先在本機(jī)hosts文件中查看是否有這個域名相對應(yīng)的IP地址，如果有則直接訪問，如果沒有就會提交給本地DNS服務(wù)器，本地DNS服務(wù)器查詢自己的數(shù)據(jù)庫，如果可以查詢到，則直接將IP地址直接反饋給DNS客戶端，如果查詢不到，則會向上一級DNS服務(wù)器進(jìn)行查詢，采取遞歸的方式進(jìn)行查詢，直到將查詢到的結(jié)果或查詢失敗的結(jié)果反饋給客戶端。

DNS系統(tǒng)缺陷

結(jié)構(gòu)缺陷：互聯(lián)網(wǎng)是分布式、區(qū)域自治的網(wǎng)狀結(jié)構(gòu)，但DNS系統(tǒng)卻是一種由13個“根”組成的樹狀結(jié)構(gòu)，這些“根”全部在國外，雖然我們國家有5個“根”的鏡像，也僅僅是為了提高國內(nèi)用戶的訪問速度，無管理權(quán)限，要訪問其他“根”服務(wù)器，則需較長時間，極易遭受DDoS攻擊，且無有效防范措施。只有去根化、提高DNS的自治能力才能適應(yīng)迅速發(fā)展的互聯(lián)網(wǎng)，此外，DNS的授權(quán)服務(wù)器和緩存服務(wù)器都是集中配置，在遭受DDoS攻擊時會導(dǎo)致授權(quán)服務(wù)器和緩存服務(wù)器同時癱瘓。……