其他互联网应用之域名系统安全

2.域名系统安全

域名系统( Domain Name System，DNS)是互联网的基础，We堋艮务、电子邮件服务等互联网应用都需要DNS作为支撑，因此DNS的安全关系到整个互联网能否正常使用。DNS是一个非常庞大、复杂的分布式数据库系统，由于设计初期对安全性考虑不足，DNS系统存在很多安全缺陷。例如著名的DNS欺骗攻击，也称DNS高速缓存污染。在互联网上，域名与IP地址是多对多的关系，即一个域名可以对应多个IP地址，而一个IP地址也可以对应多个域名。DNS服务器在工作时对于自身无法解析的域名，会向其他DNS服务器查询（这个查询无需严格验证），对收到的查询结果进行缓存。正是由于以上特点，攻击者可以通过伪造DNS应答，改写DNS服务器上的缓存，欺骗用户访问错误的服务器。由于DNS缓存存在时间限制，DNS欺骗存在实效性，一旦超过缓存的有效时间，除非重新构造缓存中的记录，否则DNS欺骗会自动失效。此外，攻击者不能替换缓存中已经存在的记录。解决DNS欺骗最有效的方法是采用最新版本的DNS服务软件，新版本的软件在抵御DNS欺骗方面更优于老版本软件，也可以通过配置系统，如限制域名服务器做出响应的地址、限制发出查询请求的客户机地址等，降低攻击者DNS欺骗成功的几率。另外由于DNS对于互联网体系的重要性，使得DNS也很容易成为拒绝服务攻击的对象。