2.域名系統(tǒng)安全

域名系統(tǒng)( Domain Name System，DNS)是互聯(lián)網(wǎng)的基礎(chǔ)，We堋艮務(wù)、電子郵件服務(wù)等互聯(lián)網(wǎng)應(yīng)用都需要DNS作為支撐，因此DNS的安全關(guān)系到整個(gè)互聯(lián)網(wǎng)能否正常使用。DNS是一個(gè)非常龐大、復(fù)雜的分布式數(shù)據(jù)庫(kù)系統(tǒng)，由于設(shè)計(jì)初期對(duì)安全性考慮不足，DNS系統(tǒng)存在很多安全缺陷。例如著名的DNS欺騙攻擊，也稱(chēng)DNS高速緩存污染。在互聯(lián)網(wǎng)上，域名與IP地址是多對(duì)多的關(guān)系，即一個(gè)域名可以對(duì)應(yīng)多個(gè)IP地址，而一個(gè)IP地址也可以對(duì)應(yīng)多個(gè)域名。DNS服務(wù)器在工作時(shí)對(duì)于自身無(wú)法解析的域名，會(huì)向其他DNS服務(wù)器查詢（這個(gè)查詢無(wú)需嚴(yán)格驗(yàn)證），對(duì)收到的查詢結(jié)果進(jìn)行緩存。正是由于以上特點(diǎn)，攻擊者可以通過(guò)偽造DNS應(yīng)答，改寫(xiě)DNS服務(wù)器上的緩存，欺騙用戶訪問(wèn)錯(cuò)誤的服務(wù)器。由于DNS緩存存在時(shí)間限制，DNS欺騙存在實(shí)效性，一旦超過(guò)緩存的有效時(shí)間，除非重新構(gòu)造緩存中的記錄，否則DNS欺騙會(huì)自動(dòng)失效。此外，攻擊者不能替換緩存中已經(jīng)存在的記錄。解決DNS欺騙最有效的方法是采用最新版本的DNS服務(wù)軟件，新版本的軟件在抵御DNS欺騙方面更優(yōu)于老版本軟件，也可以通過(guò)配置系統(tǒng)，如限制域名服務(wù)器做出響應(yīng)的地址、限制發(fā)出查詢請(qǐng)求的客戶機(jī)地址等，降低攻擊者DNS欺騙成功的幾率。另外由于DNS對(duì)于互聯(lián)網(wǎng)體系的重要性，使得DNS也很容易成為拒絕服務(wù)攻擊的對(duì)象。