(一)域名服务体系
域名系统(DNS)是逐级授权的分布式数据查询系统,完成域名到IP地址的翻译转换。
域名服务体系包括提供域名服务的所有域名系统,分为两大部分、四个环节。
域名系统组成 | 说明 | |
1 | 递归域名服务系统 | |
2 | 根域名服务系统 | 由ICANN授权的13家全球专业域名管理机构提供运营支持 |
顶级域名服务系统 | 由ICANN签约的商业机构或各国政府授权的科研管理机构负责运行维护 | |
各级域名服务系统 | 二级及以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方 |
(二)域名解析过程
(三)域名查询包
在DNS查询过程中,DNS查询包中的域名并不会被简单地编码为一系列连续的ASCII码值。
假设要查询的域名是“http://www.example.com”,会被编码为16进制字符串:
03 77 77 77 07 65 78 61 6d 70 6c 65 03 63 6f 6d 00
说明:
“03”表示接下来的三个字节是“www”的ASCII码编码(77 77 77);
“07”表示接下来的七个字节是“example”的ASCII码编码(65 78 61 6d 70 6c 65);
“03”再次表示接下来的三个字节是“com”的ASCII码编码(63 6f 6d);
最后的“00”表示域名结束。
(四)域名服务安全风险
安全风险 | 说明 | |
1 | 域名信息篡改 | 域名解析系统与域名注册、WHOIS等系统相关,任一环节漏洞都可能被黑客利用,导致域名解析数据被篡改 |
2 | 域名解析配置错误 | 权威域名解析服务的主服务器或辅服务器如配置不当,会造成权威解析服务故障 |
3 | 域名劫持 | 黑客通过攻击手段控制域名管理密码和域名管理邮箱,将该域名NS记录指向黑客可控制的服务器 |
4 | 域名软件安全漏洞 | 域名服务系统软件漏洞导致域名服务受损 |
(五)安全解决方案
- 国内:ZDNS Cloud解决方案提供DNS托管、DNS灾备、流量管理和抵抗大规模DDoS攻击和DNS劫持安全服务。
- 国外:针对DNS协议安全漏洞,IETF提出DNSSEC安全扩展协议(DNS Security Extensions)方案,为DNS解析服务提供数据源身份认证和数据完整性验证