DNS(Domain Name System,域名系统)
目录 |
DNS全称Domain Name System,Domain Name被译为域名,中文名为域名系统,也称为域名解析系统;另外域名服务器Domain Name Server也简称为DNS。
域名系统是因特网的一项内核服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS是具有树型结构的名字空间,核心功能是完成域名到IP地址的转换,使用TCP和UDP端口53。
通俗地说,DNS帮助用户在互联网上寻找路径。在互联网上的每一个计算机都拥有一个唯一的地址,称作“IP地址”(即互联网协议地址)。由于IP地址(为一串数字)不方便记忆,DNS允许用户使用一串常见的字母(即“域名”)取代。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息,如IP地址。因为,你在上网时输入的网址,是通过域名解析系解析找到相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。
虽然域名系统后便于人们记忆,但网络中的计算机之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名服务器(Domain Name Server)来完成,这里的DNS就是域名服务器。
DNS最早于1983年由保罗·莫卡派乔斯(Paul Mockapetris)发明;原始的技术规范在882号因特网标准草案(RFC 882)中发布。1987年发布的第1034和1035号草案修正了DNS技术规范,并废除了之前的第882和883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的改动。
早期的域名必须以英文句号“.”结尾,当用户访问wiki.mbalib.com的HTTP服务时必须在址栏中输入:http://wiki.mbalib.com. ,这样DNS才能够进行域名解析。如今DNS服务器已经可以自动补上结尾的句号。
当前,对于域名长度的限制是63个字符,包括www.和.com或者其他的扩展名。域名同时也仅限于ASCII字符的一个子集,这使得很多其他语言无法正确表示他们的名字和单词。基于Punycode码的IDNA系统,可以将Unicode字符串映射为有效的DNS字符集,这已经通过了验证并被一些注册机构作为一种变通的方法所采纳。
1、技术角度看
2、资源角度看
1、针对域名系统的恶意攻击:DDOS攻击造成域名解析瘫痪。
2、域名劫持:修改注册信息、劫持解析结果。
3、国家性质的域名系统安全事件:“.ly”域名瘫痪、“.af”域名的域名管理权变更。
Internet域名系统是一个树型结构,其形式如下:
com(企业)、net(网络运行服务机构)、gov(政府机构)、org(非營利性组织)、edu(教育)域由InterNic管理,其注册、运行工作目前由Network Solution公司负责。
7个新的顶级域名分别是:firm(公司企业)、shop(商店)、web(希望突出万维网活动的实体)、arts(主要从事娱乐文化活动的实体 )、rec(主要从事娱乐文化实体)、info(主要从事信息服务实体)、nom(一些希望在互联网上发布个人信息的人)将于1998年启动,这些域名的注册服务由多家机构承担,CNNIC也有幸成为注册机构之一。
按照ISO-3166标准制定的国家域名,一般由各国的NIC(Network Information Center,网络信息中心 )负责运行。
我国域名体系分为类别域名和行政区域名两套。
类别域名是指图中最下面一行前面的六个域名,分别依照申请机构的性质依次分为:AC-科研机构;COM-工、商、金融等专业;EDU-教育机构;GOV-政府部门; NET-互联网络、接入网络的信息中心和运行中心;ORG-各种非盈利性的组织。
行政区域名是按照我国的各个行政区划分而成的,其划分标准依照国家技术监督局发布的国家标准而定,包括“行政区域名”34个,适用于我国的各省、自治区、直辖市,分别为:BJ-北京市;SH-上海市;TJ-天津市;CQ-重庆市;HE-河北省;SX-山西省;NM-内蒙古自治区;LN-辽宁省;JL-吉林省;HL-黑龙江省;JS-江苏省;ZJ-浙江省;AH-安徽;FJ-福建省;JX-江西省;SD-山东省;HA-河南省;HB-湖北省;HN-湖南省;GD-广东省;GX-广西壮族自治区;HI-海南省;SC-四川省;GZ-贵州省;YN-云南省;XZ-西藏自治区;SN-陕西省;GS-甘肃省;QH-青海省;NX-宁夏回族自治区;XJ-新疆维吾尔自治区;TW-台湾;HK-香港;MO-澳门。
CN域名除edu.cn由CernNic(教育网)运行外,其他均由CNNIC运行。
事件一:
2010年1月12日,搜索引擎网站百度(http://www.baidu.com )7时左右突然无法打开。与此同时,百度旗下贴吧域名(www.tieba.com)也无法正常访问。11时左右,百度故障依然没有修复,百度公司向腾讯科技发来公告,称域名遭非法篡改,公司正在积极处理。12时左右,全国各地访问百度首页陆续恢复正常。[1]安全专家分析认为,此次攻击黑客利用了DNS记录篡改(DNS劫持)的方式[2]。
DNS劫持是安全界常见的一个名词,劫持了DNS服务器,意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的[2]。
通常在三种情况下会遇到DNS劫持的问题[2]:
1、用户计算机感染病毒,病毒在操作系统中的HOSTS文件中添加了虚假的DNS解析记录。Windows中HOSTS文件的优先级高于DNS服务器,操作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。
2、用户试图访问的网站被恶意攻击。这种情况下,你可能访问到的是一个欺骗性网站,也有可能被定向到其它网站。
3、用户在浏览器中输入了错误的域名,导致DNS查询不存在的记录。以前遇到这种情况,浏览器通常会返回一个错误提示。而最近,这种情况下用户会看到ISP设置的域名纠错系统提示。
DNS劫持的基本原理是把域名翻译成IP地址,以便计算机能够进一步通信,传递网址和内容等。
由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问,从而绕开域名劫持(但如果网页储存公司使用虚拟主机存放网页的话就不能简单如此配置,因为一个IP可连去多个域名)。
专家表示,黑客入侵大型网站本身越来越难,因此通过劫持DNS“黑”大型网站会越来越流行。
事件二:
2013年8月25日凌晨,“ .CN”域名经历惊魂一夜,部分.CN域名在当日凌晨出现无法解析的问题。域名解析服务商DNSPod创始人吴洪声在称,故障发生是由于当时.CN域名的根服务器受到攻击,授权DNS陷入全线故障,多家网站及新浪微博客户端无法登录。
距这次事故发生一个月后,CNNIC和工信部终于揪出了本次攻击事件的始作俑者:一名来自山东青岛的黑客。据调查发现,该黑客本意是要攻击一个游戏私服网站,使其瘫痪,后来他为了更快达到这个目的,直接对.CN的根域名服务器进行了DDoS攻击,发出的攻击流量堵塞了.CN根服务器的出口带宽(据工信部数据:攻击时峰值流量较平常激增近1000倍,近15G),致使.CN根域名服务器的解析故障,使得大规模的.CN域名无法正常访问。