DNS 全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務(wù)器Domain Name Server也簡稱為DNS 。域名系統(tǒng)是

DNS 全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務(wù)器Domain Name Server也簡稱為DNS 。

域名系統(tǒng)是因特網(wǎng)的一項(xiàng)內(nèi)核服務(wù)，它作為可以將域名和IP 地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP 數(shù)串。DNS 是具有樹型結(jié)構(gòu)的名字空間，核心功能是完成域名到IP 地址的轉(zhuǎn)換，使用TCP 和UDP 端口53。

通俗地說，DNS 幫助用戶在互聯(lián)網(wǎng)上尋找路徑。在互聯(lián)網(wǎng)上的每一個(gè)計(jì)算機(jī)都擁有一個(gè)唯一的地址，稱作“IP地址”（即互聯(lián)網(wǎng)協(xié)議地址）。由于IP 地址（為一串?dāng)?shù)字）不方便記憶，DNS 允許用戶使用一串常見的字母（即“域名”）取代。DNS 命名用于Internet 等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS 名稱時(shí)，DNS 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如IP 地址。因?yàn)椋阍谏暇W(wǎng)時(shí)輸入的網(wǎng)址，是通過域名解析系解析找到相對(duì)應(yīng)的IP 地址，這樣才能上網(wǎng)。其實(shí)，域名的最終指向是IP 。

雖然域名系統(tǒng)后便于人們記憶，但網(wǎng)絡(luò)中的計(jì)算機(jī)之間只能互相認(rèn)識(shí)IP 地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名服務(wù)器（Domain Name Server）來完成，這里的DNS 就是域名服務(wù)器。

DNS 的歷史

DNS 最早于1983年由保羅·莫卡派喬斯（Paul Mockapetris）發(fā)明；原始的技術(shù)規(guī)范在882號(hào)因特網(wǎng)標(biāo)準(zhǔn)草案（RFC 882）中發(fā)布。1987年發(fā)布的第1034和1035號(hào)草案修正了DNS 技術(shù)規(guī)范，并廢除了之前的第882和883號(hào)草案。在此之后對(duì)因特網(wǎng)標(biāo)準(zhǔn)草案的修改基本上沒有涉及到DNS 技術(shù)規(guī)范部分的改動(dòng)。

早期的域名必須以英文句號(hào)“.”結(jié)尾, 當(dāng)用戶訪問wiki.mbalib.com 的HTTP 服務(wù)時(shí)必須在址欄中輸入：http://wiki.mbalib.com. ，這樣DNS 才能夠進(jìn)行域名解析。如今DNS 服務(wù)器已經(jīng)可以自動(dòng)補(bǔ)上結(jié)尾的句號(hào)。

當(dāng)前，對(duì)于域名長度的限制是63個(gè)字符，包括www. 和.com 或者其他的擴(kuò)展名。域名同時(shí)也僅限于ASCII 字符的一個(gè)子集，這使得很多其他語言無法正確表示他們的名字和單詞?；赑unycode 碼的IDNA 系統(tǒng)，可以將Unicode 字符串映射為有效的DNS 字符集，這已經(jīng)通過了驗(yàn)證并被一些注冊(cè)機(jī)構(gòu)作為一種變通的方法所采納。

1、技術(shù)角度看

? DNS

解析是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實(shí)際尋址方式；

? 域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應(yīng)用，豐富了互聯(lián)網(wǎng)應(yīng)用和協(xié)議。

2、資源角度看

? 域名是互聯(lián)網(wǎng)上的身份標(biāo)識(shí)，是不可重復(fù)的唯一標(biāo)識(shí)資源；

? 互聯(lián)網(wǎng)的全球化使得域名成為標(biāo)識(shí)一國主權(quán)的國家戰(zhàn)略資源。

1

、針對(duì)域名系統(tǒng)的惡意攻擊：DDOS 攻擊造成域名解析癱瘓。

2、域名劫持：修改注冊(cè)信息、劫持解析結(jié)果。

3、國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。 Internet 域名系統(tǒng)是一個(gè)樹型結(jié)構(gòu)，其形式如下：

com(企業(yè)) 、net(網(wǎng)絡(luò)運(yùn)行服務(wù)機(jī)構(gòu)) 、gov(政府機(jī)構(gòu)) 、org(非營利性組織) 、edu(教育) 域由InterNic 管理，其注冊(cè)、運(yùn)行工作目前由Network Solution公司負(fù)責(zé)。

7個(gè)新的頂級(jí)域名分別是：firm(公司企業(yè)) 、shop(商店) 、web(希望突出萬維網(wǎng)活動(dòng)的實(shí)體) 、arts(主要從事娛樂文化活動(dòng)的實(shí)體 ) 、rec(主要從事娛樂文化實(shí)體) 、info(主要從事信息服務(wù)實(shí)體) 、nom(一些希望在互聯(lián)網(wǎng)上發(fā)布個(gè)人信息的人) 將于1998年啟動(dòng)，這些域名的注冊(cè)服務(wù)由多家機(jī)構(gòu)承擔(dān)，CNNIC 也有幸成為注冊(cè)機(jī)構(gòu)之一。

按照ISO －3166標(biāo)準(zhǔn)制定的國家域名，一般由各國的NIC(Network Information Center，網(wǎng)絡(luò)信息中心 ) 負(fù)責(zé)運(yùn)行。

我國域名體系分為類別域名和行政區(qū)域名兩套。

類別域名是指圖中最下面一行前面的六個(gè)域名，分別依照申請(qǐng)機(jī)構(gòu)的性質(zhì)依次分為：AC －科研機(jī)構(gòu)；COM －工、商、金融等專業(yè)；EDU －教育機(jī)構(gòu)；GOV －政府部門； NET －互聯(lián)網(wǎng)絡(luò)、接入網(wǎng)絡(luò)的信息中心和運(yùn)行中心；ORG －各種非盈利性的組織。

行政區(qū)域名是按照我國的各個(gè)行政區(qū)劃分而成的，其劃分標(biāo)準(zhǔn)依照國家技術(shù)監(jiān)督局發(fā)布的國家標(biāo)準(zhǔn)而定，包括“行政區(qū)域名”34個(gè)，適用于我國的各省、自治區(qū)、直轄市，分別為：BJ －北京市；SH －上海市；TJ －天津市；CQ －重慶市；HE －河北??；SX －山西?。籒M －內(nèi)蒙古自治區(qū)；LN －遼寧省；JL －吉林??；HL －黑龍江省；JS －江蘇省；ZJ －浙江省；AH －安徽；FJ －福建??；JX －江西?。籗D －山東?。籋A －河南??；HB －湖北??；HN －湖南??；GD －廣東??；GX －廣西壯族自治區(qū)；HI －海南??；SC －四川省；GZ －貴州省；YN －云南??；XZ －西藏自治區(qū)；SN －陜西?。籊S －甘肅??；QH －青海??；NX －寧夏回族自治區(qū)；XJ －新疆維吾爾自治區(qū)；TW －臺(tái)灣；HK －香港；MO －澳門。

CN 域名除edu.cn 由CernNic(教育網(wǎng)) 運(yùn)行外，其他均由CNNIC 運(yùn)行。

事件一：

2010年1月12日，搜索引擎網(wǎng)站百度（http://www.baidu.com ）7時(shí)左右突然無法打開。與此同時(shí)，百度旗下貼吧域名（www.tieba.com ）也無法正常訪問。11時(shí)左右，百度故障依然沒有修復(fù)，百度公司向騰訊科技發(fā)來公告，稱域名遭非法篡改，公司正在積極處理。12時(shí)左右，全國各地訪問百度首頁陸續(xù)恢復(fù)正常。[1]安全專家分析認(rèn)為，此次攻擊黑客利用了DNS 記錄篡改（DNS 劫持）的方式[2]。

DNS 劫持是安全界常見的一個(gè)名詞，劫持了DNS 服務(wù)器，意思是通過某些手段取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對(duì)該域名的訪問由原IP 地址轉(zhuǎn)入到修改后的指定IP ，其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的[2]。

通常在三種情況下會(huì)遇到DNS 劫持的問題[2]：

1、用戶計(jì)算機(jī)感染病毒，病毒在操作系統(tǒng)中的HOSTS 文件中添加了虛假的DNS 解析記錄。Windows 中HOSTS 文件的優(yōu)先級(jí)高于DNS 服務(wù)器，操作系統(tǒng)在訪問某個(gè)域名時(shí)，會(huì)先檢測(cè)HOSTS 文件，然后再查詢DNS 服務(wù)器。

2、用戶試圖訪問的網(wǎng)站被惡意攻擊。這種情況下，你可能訪問到的是一個(gè)欺騙性網(wǎng)站，也有可能被定向到其它網(wǎng)站。

3、用戶在瀏覽器中輸入了錯(cuò)誤的域名，導(dǎo)致DNS 查詢不存在的記錄。以前遇到這種情況，瀏覽器通常會(huì)返回一個(gè)錯(cuò)誤提示。而最近，這種情況下用戶會(huì)看到ISP 設(shè)置的域名糾錯(cuò)系統(tǒng)提示。

DNS 劫持的基本原理是把域名翻譯成IP 地址，以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP 地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS 指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS 的IP 。 如果知道該域名的真實(shí)IP 地址，則可以直接用此IP 代替域名后進(jìn)行訪問，從而繞開域名劫持(但如果網(wǎng)頁儲(chǔ)存公司使用虛擬主機(jī)存放網(wǎng)頁的話就不能簡單如此配置，因?yàn)橐粋€(gè)IP 可連去多個(gè)域名) 。

專家表示，黑客入侵大型網(wǎng)站本身越來越難，因此通過劫持DNS“黑”大型網(wǎng)站會(huì)越來越流行。

事件二：

2013年8月25日凌晨，“ .CN”域名經(jīng)歷驚魂一夜，部分.CN 域名在當(dāng)日凌晨出現(xiàn)無法解析的問題。域名解析服務(wù)商DNSPod 創(chuàng)始人吳洪聲在稱，故障發(fā)生是由于當(dāng)時(shí).CN 域名的根服務(wù)器受到攻擊，授權(quán)DNS 陷入全線故障，多家網(wǎng)站及新浪微博客戶端無法登錄。 距這次事故發(fā)生一個(gè)月后，CNNIC 和工信部終于揪出了本次攻擊事件的始作俑者：一名來自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn)，該黑客本意是要攻擊一個(gè)游戲私服網(wǎng)站，使其癱瘓，后來他為了更快達(dá)到這個(gè)目的，直接對(duì).CN 的根域名服務(wù)器進(jìn)行了DDoS 攻擊，發(fā)出的攻擊流量堵塞了.CN 根服務(wù)器的出口帶寬(據(jù)工信部數(shù)據(jù)：攻擊時(shí)峰值流量較平常激增近1000倍，近15G) ，致使.CN 根域名服務(wù)器的解析故障，使得大規(guī)模的.CN 域名無法正常訪問。