2.域名系統安全

域名系統( Domain Name System，DNS)是互聯網的基礎，We堋艮務、電子郵件服務等互聯網應用都需要DNS作為支撐，因此DNS的安全關系到整個互聯網能否正常使用。DNS是一個非常龐大、復雜的分布式數據庫系統，由于設計初期對安全性考慮不足，DNS系統存在很多安全缺陷。例如著名的DNS欺騙攻擊，也稱DNS高速緩存污染。在互聯網上，域名與IP地址是多對多的關系，即一個域名可以對應多個IP地址，而一個IP地址也可以對應多個域名。DNS服務器在工作時對于自身無法解析的域名，會向其他DNS服務器查詢（這個查詢無需嚴格驗證），對收到的查詢結果進行緩存。正是由于以上特點，攻擊者可以通過偽造DNS應答，改寫DNS服務器上的緩存，欺騙用戶訪問錯誤的服務器。由于DNS緩存存在時間限制，DNS欺騙存在實效性，一旦超過緩存的有效時間，除非重新構造緩存中的記錄，否則DNS欺騙會自動失效。此外，攻擊者不能替換緩存中已經存在的記錄。解決DNS欺騙最有效的方法是采用最新版本的DNS服務軟件，新版本的軟件在抵御DNS欺騙方面更優于老版本軟件，也可以通過配置系統，如限制域名服務器做出響應的地址、限制發出查詢請求的客戶機地址等，降低攻擊者DNS欺騙成功的幾率。另外由于DNS對于互聯網體系的重要性，使得DNS也很容易成為拒絕服務攻擊的對象。