《寧夏電力》２００７年第５期淺析ＤＮＳ技術(shù)與安全防護(hù)李瑩嵐（寧夏石嘴山供電局，石嘴山市７５３０００）摘要：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）是網(wǎng)絡(luò)建設(shè)中首要解決的問(wèn)題之一，是實(shí)現(xiàn)Ｉｎｔｅｒｎｅ

《寧夏電力》２００７年第５

期

淺析ＤＮＳ技術(shù)與安全防護(hù)

李瑩嵐

（寧夏石嘴山供電局，石嘴山市７５３０００）摘要：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）是網(wǎng)絡(luò)建設(shè)中首要解決的問(wèn)題之一，是實(shí)現(xiàn)Ｉｎｔｅｒｎｅｔ應(yīng)用的基礎(chǔ)，其作用是實(shí)現(xiàn)域名和ＩＰ地址之間的轉(zhuǎn)換。本文介紹了ＤＮＳ的基本概念、域名解析的工作原理，分析了ＤＮＳ在安全方面的漏洞及防范措施。

關(guān)鍵詞：ＤＮＳ；域名解析；ＩＰ地址；安全

中圖分類號(hào)：ＴＰ３９３文獻(xiàn)標(biāo)志碼：Ｂ文章編號(hào)：１６７２－３６４３（２００７）０５－００５７－０３

ＡｎａｌｙｓｉｓｏｆＤＮＳｔｅｃｈｎｏｌｏｇｙａｎｄｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎ

ＬＩＹｉｎｇ－ｌａｎ

（ＳｈｉｚｕｉｓｈａｎＥｌｅｃｔｒｉｃＰｏｗｅｒＳｕｐｐｌｙＢｕｒｅａｕ，Ｓｈｉｚｕｉｓｈａｎ７５３０００，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：ＩｎｔｒｏｄｕｃｅｓｔｈｅｂａｓｉｃｃｏｎｃｅｐｔｉｏｎｏｆＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ（ＤＮＳ）ａｎｄｗｏｒｋｐｒｉｎｃｉｐｌｅｏｆｄｏｍａｉｎｎａｍｅａｎａｌｙｚｅｒ，ａｎａｌｙｚｅｓｔｈｅｌｅａｋｓｏｆｔｈｅｓｅｃｕｒｉｔｙａｎｄｐｒｏｔｅｃｔｉｖｅｃｏｕｎｔｅｒｍｅａｓｕｒｅｓｆｏｒＤＮＳ．

Ｋｅｙｗｏｒｄｓ：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）；ｄｏｍａｉｎｎａｍｅａｎａｌｙｚｅｒ；ＩＰａｄｄｒｅｓｓ；ｓｅｃｕｒｉｔｙ

１引言型、層次結(jié)構(gòu)分布式數(shù)據(jù)庫(kù)。如圖１所示。

隨著Ｉｎｔｅｒｎｅｔ／Ｉｎｔｒａｎｅｔ技術(shù)的發(fā)展和應(yīng)用日益普及，越來(lái)

越多的企業(yè)都建立了自己的Ｉｎｔｒａｎｅｔ，并且通過(guò)各種不同的方

式接入Ｉｎｔｅｒｎｅｔ。Ｉｎｔｅｒｎｅｔ上計(jì)算機(jī)之間的ＴＣＰ／ＩＰ通信是通過(guò)

ＩＰ地址來(lái)進(jìn)行的，因此，Ｉｎｔｅｒｎｅｔ上的計(jì)算機(jī)都應(yīng)有一個(gè)ＩＰ地

址作為其唯一標(biāo)識(shí)。但ＩＰ地址是數(shù)字型名字，難于記憶和理

解。為了便于應(yīng)用，ＴＣＰ／ＩＰ提供了一種字符型的主機(jī)命名機(jī)

制，即域名系統(tǒng)（ＤＮＳ，ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）。它將枯燥、沒(méi)有

意義的數(shù)字映射成具有特定含義的的詞或詞的縮寫，便于人們

記憶和理解。在網(wǎng)站架構(gòu)過(guò)程中，ＤＮＳ是首要解決的問(wèn)題之一，

也是實(shí)現(xiàn)ｗｗｗ、ｆｔｐ、Ｅ－ｍａｉｌ等多種Ｉｎｔｅｒｎｅｔ應(yīng)用的基礎(chǔ)。所以，

ＤＮＳ技術(shù)的應(yīng)用及安全性研究具有深遠(yuǎn)的意義。域是域名空間的一棵子樹(shù)或一個(gè)分支，樹(shù)的根就是根

域，根是沒(méi)有名字的，用“．”表示。樹(shù)中最靠近根域的節(jié)點(diǎn)，

２ＤＮＳ的工作原理稱為頂級(jí)域，每個(gè)頂級(jí)域下面又包含很多級(jí)、很多子域，主

機(jī)則位于樹(shù)的葉子上。同一級(jí)中擁有同一個(gè)父節(jié)點(diǎn)的標(biāo)示

２．１域名空間各不相同，主機(jī)名由從相應(yīng)的葉子到這一路徑的各個(gè)節(jié)點(diǎn)

ＤＮＳ的命名結(jié)構(gòu)稱為域名空間。域名空間是一個(gè)呈樹(shù)的標(biāo)示組成。

收稿日期：２００７－０４－１０

，女，?５７?

《寧夏電力》２００７年第５

期

根域各服務(wù)器具有指向第一層域的初始指針，也就是頂層域，如．ｃｏｍ，．ｎｅｔ。頂層域名最初由Ｉｎｔｅｒｎｅｔ授權(quán)給一些組織，如ｉｎｔｅｒＮＩＣ來(lái)管理。ＮＩＣ將第一級(jí)域的管理特權(quán)分派給指定管理機(jī)構(gòu)，各管理機(jī)構(gòu)再對(duì)其管轄的域名空間繼續(xù)劃分，并將各子部分管理特權(quán)授予子管理機(jī)構(gòu)，如此下去，便形成了層次型域名。由于管理機(jī)構(gòu)是逐級(jí)授權(quán)的，所以最終的域名都得到ＮＩＣ承認(rèn)，成為全球Ｉｎｔｅｒｎｅｔ的唯一名字。如域名ｗｗｗ．ｉｂｍ．ｃｏｍ，其中ｗｗｗ是主機(jī)名，ｉｂｍ代表ＩＢＭ公司，．ｃｏｍ代表商業(yè)組織。由此通過(guò)域名代替ＩＰ地址，便于用戶理解和記憶。

淺析ＤＮＳ技術(shù)與安全防護(hù)

“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”主機(jī)的ＩＰ地址（④）“；．ｃｎ”域名服務(wù)器將“ｃｏｍ．ｃｎ”的域名服務(wù)器的ＩＰ地址返回給本地域名服務(wù)器（⑤）；本地域名服務(wù)器再向“ｃｏｍ．ｃｎ”域名服務(wù)器發(fā)出“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”的主機(jī)ＩＰ地址是什么的請(qǐng)求（⑥）“；ｃｏｍ．ｃｎ”域名服務(wù)器“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”的ＩＰ地址返回給本地域名服務(wù)器（⑦）；本地域名服務(wù)器“ｗｗｗ．域名服務(wù)器發(fā)送查詢“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”

；“ｗｗｗｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”ｃｏｍ．ｃｎ”的ＩＰ地址的請(qǐng)求（⑧）“

域名服務(wù)器給本地域名服務(wù)器返回“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．所對(duì)應(yīng)的ＩＰ地址；最后本地域名服務(wù)器“ｗｗｗ．ｓｚｓ．ｎｘ．ｃｎ”

的ＩＰ地址返回給客戶機(jī)（⑩），至此，整個(gè)解析ｓｇｃｃ．ｃｏｍ．ｃｎ”過(guò)程完成。

在大型的ＴＣＰ／ＩＰ互聯(lián)網(wǎng)中，除了從本地域名服務(wù)器開(kāi)始解析外，還可以采用高速緩沖技術(shù)來(lái)提高域名解析的效率。在域名服務(wù)器開(kāi)辟一個(gè)專用內(nèi)存，存放最近解析過(guò)的域名及相應(yīng)的ＩＰ地址。服務(wù)器收到域名請(qǐng)求后，若在本地?cái)?shù)據(jù)庫(kù)中未找到對(duì)應(yīng)信息，則回去檢查緩沖區(qū)，看是否最近解析過(guò)該域名，有則報(bào)告給解析器，沒(méi)有再去向其他服務(wù)器發(fā)送解析請(qǐng)求。同樣，高速緩沖機(jī)制也可以在主機(jī)上使用。當(dāng)然，在使用時(shí)，要采取相應(yīng)措施保證緩沖區(qū)中域名和ＩＰ地址的映射關(guān)系的有效性。

２．２域名解析

為了把一個(gè)域名映射為一個(gè)ＩＰ地址，應(yīng)用程序調(diào)用一

（ｒｅｓｏｌｖｅｒ）的庫(kù)過(guò)程，參數(shù)為域名。解析器將種名叫解析器

ＵＤＰ分組傳送給本地ＤＮＳ服務(wù)器上，本地ＤＮＳ服務(wù)器查

找域名并將ＩＰ地址返回給解析器，解析器再把它返回給應(yīng)用程序。

域名解析有兩種方式：反復(fù)解析和遞歸解析。在反復(fù)解析方式中，如果服務(wù)器查不到相應(yīng)的記錄，會(huì)返回另一個(gè)可能知道結(jié)果的服務(wù)器發(fā)送查詢請(qǐng)求。在遞歸解析方式中，要求域名服務(wù)器系統(tǒng)一次性完成全部名字－地址轉(zhuǎn)換，即如果不能從該服務(wù)器本地得到解析，就由該ＤＮＳ服務(wù)器向其他ＤＮＳ服務(wù)器發(fā)出請(qǐng)求，直到得到查詢結(jié)果或出現(xiàn)錯(cuò)誤為止，相當(dāng)于由收到遞歸請(qǐng)求的ＤＮＳ服務(wù)器來(lái)完成反復(fù)解析中用戶的工作。

域名解析是按照分層結(jié)構(gòu)的特點(diǎn)自頂向下進(jìn)行的。然而，如果每一個(gè)解析請(qǐng)求都從根服務(wù)器開(kāi)始，那么到達(dá)根服務(wù)器的信息流量隨互聯(lián)網(wǎng)規(guī)模的增大而增大。在大型互聯(lián)網(wǎng)中，根服務(wù)器有可能因負(fù)荷太重而超載。在實(shí)際中，大多數(shù)域名解析都是解析本地域名，可以在本地域名服務(wù)器中完成。因此，往往域名解析都先向本地域名服務(wù)器發(fā)出請(qǐng)求，這樣可以提高域名解析的效率。解析過(guò)程如圖２所示。

３ＤＮＳ安全風(fēng)險(xiǎn)分析

ＤＮＳ服務(wù)主要完成域名與ＩＰ地址間的轉(zhuǎn)換及有關(guān)電

子郵件的路由信息。ＤＮＳ使用超高速緩存將收到的有關(guān)映射信息存放在高速緩存中，以后有相同的請(qǐng)求就直接使用由于本地存在高速緩存中的信息，大大提高了解析的速度。

緩存，所以，一旦高速緩存的信息被修改，就會(huì)產(chǎn)生錯(cuò)誤的解析結(jié)果，這是ＤＮＳ潛在的安全問(wèn)題之一，此外還有許多其它方面的安全隱患。

ＤＮＳ的安全隱患有以下方面：

（１）緩沖區(qū)溢出漏洞允許遠(yuǎn)程控制計(jì)算機(jī)；（２）域名欺騙（ＤＮＳＳｐｏｏｆｉｎｇ）；（３）利用區(qū)傳輸造成ＤＮＳ信息泄密；（４）ＤｏＳ（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ）拒絕服務(wù)攻擊；（５）無(wú)訪問(wèn)控制的遞規(guī)查詢；

（６）反向查詢緩沖區(qū)超時(shí)（ＩｎｖｅｒｓｅＱｕｅｒｙＢｕｆｆｅｒＯｖｅｒｒｕｎ）

版本所衍生的安全問(wèn)題；（７）動(dòng)態(tài)更新和遞規(guī)查詢。

（ＤＮＳＳｐｏｏｆｉｎｇ）：主要有以下三種形式：ＤＮＳ欺騙

“ｗｗｗ．ｓｚｓ．客戶機(jī)向本地域名服務(wù)器發(fā)送請(qǐng)求，請(qǐng)求回

主機(jī)的ＩＰ地址（①）；本地域名服務(wù)器檢查ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”

其數(shù)據(jù)庫(kù)，發(fā)現(xiàn)數(shù)據(jù)庫(kù)中沒(méi)有域名為“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．的主機(jī)，于是將此請(qǐng)求發(fā)送給根域名服務(wù)器（②）；根域ｃｎ”

名服務(wù)器將“．ｃｎ”一級(jí)域名服務(wù)器的ＩＰ地址返回給本地域名）；名務(wù)①攻擊者在自己的主機(jī)上安裝網(wǎng)絡(luò)偵聽(tīng)器，劫持域名

查詢請(qǐng)求，然后假冒ＤＮＳ的響應(yīng)，返回一個(gè)錯(cuò)誤解析地址，使發(fā)出該域名查詢請(qǐng)求的客戶機(jī)得到一個(gè)錯(cuò)誤的解析地址；

②攻擊者通過(guò)污染ＤＮＳ的緩沖區(qū)（ＤＮＳＣａｃｈｅＰｏｉ－ｓｏｎｉｎｇ）將ＤＮＳ高速緩存內(nèi)的信息修改。由于ＤＮＳ的解析

地址，當(dāng)

?５８?

《寧夏電力》２００７年第５期

本地的緩存內(nèi)的信息被修改后，就會(huì)將一個(gè)被篡改后的ＩＰ地址發(fā)送給請(qǐng)求者，使請(qǐng)求者得到一個(gè)錯(cuò)誤的解析地址。

淺析ＤＮＳ技術(shù)與安全防護(hù)

進(jìn)行區(qū)域復(fù)制，這樣入侵者就無(wú)法利用區(qū)域復(fù)制獲取區(qū)域中的所有數(shù)據(jù)了。

③攻擊者侵入操作系統(tǒng)，獲得管理員權(quán)限，直接修改ＤＮＳ數(shù)據(jù)文件。

針對(duì)域名服務(wù)器的拒絕服務(wù)（ＤｏＳ）攻擊：

這種攻擊主要有二種，一種是利用ＤＮＳ軟件本身的漏洞進(jìn)行攻擊；另一種是用戶端泛濫，攻擊者仿造源地址，產(chǎn)生一個(gè)查詢請(qǐng)求，使域名服務(wù)器忙于應(yīng)付大量的無(wú)效回應(yīng)，而無(wú)法處理正常的用戶請(qǐng)求。

利用區(qū)傳輸造成ＤＮＳ信息泄密：

名字服務(wù)器通常含有域名空間中某一部分的完整信息，這一部分稱為區(qū)；區(qū)的內(nèi)容是從文件或其它名字服務(wù)器中加載過(guò)來(lái)的，在加載的過(guò)程中，黑客可以劫獲傳輸?shù)膬?nèi)容，造成整個(gè)區(qū)域的信息泄露，同時(shí)在加載的過(guò)程中，也會(huì)增加服務(wù)器的負(fù)載。一旦ＤＮＳ系統(tǒng)被攻擊成功，入侵者就會(huì)刪除日志文件，銷毀自己可能暴露的蛛絲馬跡，然后在

４．２保護(hù)ＤＮＳ的方法

（１）采用最新版本的ＤＮＳ服務(wù)器軟件，但隨著新漏洞

和新版本的出現(xiàn)，要注意升級(jí)或安裝相應(yīng)的補(bǔ)丁程序。

（２）使用交叉檢驗(yàn)，即服務(wù)器通過(guò)反向查詢已得到ＩＰ地址所對(duì)應(yīng)的主機(jī)名后，再用該主機(jī)名查詢ＤＮＳ系統(tǒng)對(duì)應(yīng)于該主機(jī)名的ＩＰ地址。兩者一致，判定用戶合法。

（３）配置防火墻，將內(nèi)、外ＤＮＳ服務(wù)器隔離。內(nèi)部

ＤＮＳ服務(wù)器只提供內(nèi)部網(wǎng)名字解析，外部ＤＮＳ服務(wù)器負(fù)責(zé)

外部用戶的查詢，并處理內(nèi)網(wǎng)服務(wù)器提交的請(qǐng)求。這樣還可以簡(jiǎn)化安全管理。

（４）可通過(guò)訪問(wèn)控制列表限制用戶對(duì)ＤＮＳ服務(wù)器的訪問(wèn)。（５）限制區(qū)域傳送，以防入侵者通過(guò)正常的查詢命令獲得豐富的內(nèi)部信息。

ＤＮＳ系統(tǒng)中安裝程序，通過(guò)運(yùn)行它獲得管理員權(quán)限，同時(shí)

開(kāi)始向外進(jìn)行掃描，在幾分鐘內(nèi)就可發(fā)現(xiàn)大量的存在相同漏洞的服務(wù)器，并可對(duì)之重復(fù)上述攻擊，如此反復(fù)，后果不堪設(shè)想。

５結(jié)束語(yǔ)

從更安全、更可靠的角度來(lái)配置和使用ＤＮＳ服務(wù)，是

面對(duì)日益復(fù)雜和不安全的網(wǎng)絡(luò)應(yīng)用的有效方法之一。ＤＮＳ不僅僅影響安全，它還影響到ｍａｉｌ服務(wù)，ｗｗｗ服務(wù)等等其他重要內(nèi)容?？梢哉f(shuō)除了網(wǎng)絡(luò)層以下的物理連通之外，ＤＮＳ是所有網(wǎng)絡(luò)應(yīng)用層中最重要的服務(wù)內(nèi)容。確保ＤＮＳ的正常運(yùn)轉(zhuǎn)和安全可靠，是怎樣強(qiáng)調(diào)都不為過(guò)的。事實(shí)上，沒(méi)有一種安全策略是１００％安全的，網(wǎng)絡(luò)攻擊手段的不斷發(fā)展和變化，要求服務(wù)器管理員強(qiáng)化安全意識(shí)，在實(shí)際工作中不斷地總結(jié)和積累經(jīng)驗(yàn)，逐步提高ＤＮＳ服務(wù)器的安全性和可靠性。無(wú)論是在Ｉｎｔｒａｎｅｔ，還是在整個(gè)Ｉｎｔｅｒｎｅｔ，采用新的技術(shù)，防范潛在的攻擊，是我們始終面對(duì)的問(wèn)題。

４ＤＮＳ安全策略

由以上分析可知，ＤＮＳ服務(wù)器一旦被控制，有可能造成信息泄漏、關(guān)鍵資源被侵入、拒絕服務(wù)等嚴(yán)重后果，必須采取措施，保證ＤＮＳ的安全性。對(duì)于系統(tǒng)本身的設(shè)計(jì)和軟件的漏洞，大部分用戶無(wú)法直接參與，所以，對(duì)ＤＮＳ的保護(hù)關(guān)鍵是要進(jìn)行安全的ＤＮＳ配置。

４．１保護(hù)ＤＮＳ的指導(dǎo)方針

（１）將內(nèi)部用戶與外部用戶使用ＤＮＳ可以訪問(wèn)的信息相

互隔開(kāi)。確?？蓮耐獠吭L問(wèn)的ＤＮＳ服務(wù)器只包含與公共服務(wù)有關(guān)的信息，例如Ｗｅｂ服務(wù)器和電子郵件服務(wù)器的地址。

（２）在內(nèi)部ＤＮＳ服務(wù)器上可允許動(dòng)態(tài)更新，但不要允許外部ＤＮＳ服務(wù)器的動(dòng)態(tài)更新。

（３）只允許經(jīng)授權(quán)的計(jì)算機(jī)更新各自的ＤＮＳ注冊(cè)信息，將內(nèi)部ＤＮＳ服務(wù)器配置為只允許安全更新。

（４）限制只能從主ＤＮＳ服務(wù)器向輔助的ＤＮＳ服務(wù)器（上接第３８頁(yè)）

參考文獻(xiàn)：

［１］［２］［３］［４］

［Ｍ］．北京：電子工業(yè)出版社，２００２．ＨｕｎｔＣ．ＴＣＰ／ＩＰ網(wǎng)絡(luò)管理

吳功宜．計(jì)算機(jī)網(wǎng)絡(luò)［Ｍ］．北京：清華大學(xué)出版社，２００３．羅杰云，賀敏偉．ＤＮＳ協(xié)議的安全淺析，２００４．

王達(dá)．網(wǎng)管員必讀－網(wǎng)絡(luò)基礎(chǔ)．北京：電子工業(yè)出版社，２００４．

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

回路中采用了主變?nèi)齻?cè)開(kāi)關(guān)ＴＷＪ串聯(lián)的方式，這大大減少了裝置誤動(dòng)作的可能性，但是當(dāng)主變中低壓側(cè)開(kāi)關(guān)偷跳，造成母線失壓時(shí)，裝置又顯得無(wú)能為力。安全性和可信賴性是相互矛盾的，如何合理地找到一個(gè)平衡點(diǎn)，必須結(jié)合實(shí)際，對(duì)電網(wǎng)的運(yùn)行方式和變電所的特點(diǎn)進(jìn)行分析，才能找到最佳方案。

完善主變備自投及過(guò)載切負(fù)荷裝置回路和邏輯方案，使之達(dá)到最優(yōu)的配合，對(duì)提高變電所供電可靠性具有非常重要的現(xiàn)實(shí)意義。隨著新技術(shù)的不斷發(fā)展和應(yīng)用，各種自動(dòng)裝置在應(yīng)用中會(huì)不斷遇到一些問(wèn)題，這就需要我們不斷發(fā)現(xiàn)問(wèn)題、分析問(wèn)題、解決問(wèn)題，只有這樣才能使電網(wǎng)的二次，３結(jié)束語(yǔ)

?５９?