DNS 全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務器Domain Name Server也簡稱為DNS 。域名系統(tǒng)是

DNS 全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務器Domain Name Server也簡稱為DNS 。

域名系統(tǒng)是因特網(wǎng)的一項內(nèi)核服務，它作為可以將域名和IP 地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP 數(shù)串。DNS 是具有樹型結(jié)構(gòu)的名字空間，核心功能是完成域名到IP 地址的轉(zhuǎn)換，使用TCP 和UDP 端口53。

通俗地說，DNS 幫助用戶在互聯(lián)網(wǎng)上尋找路徑。在互聯(lián)網(wǎng)上的每一個計算機都擁有一個唯一的地址，稱作“IP地址”（即互聯(lián)網(wǎng)協(xié)議地址）。由于IP 地址（為一串數(shù)字）不方便記憶，DNS 允許用戶使用一串常見的字母（即“域名”）取代。DNS 命名用于Internet 等TCP/IP網(wǎng)絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入DNS 名稱時，DNS 服務可以將此名稱解析為與之相關(guān)的其他信息，如IP 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系解析找到相對應的IP 地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP 。

雖然域名系統(tǒng)后便于人們記憶，但網(wǎng)絡中的計算機之間只能互相認識IP 地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名服務器（Domain Name Server）來完成，這里的DNS 就是域名服務器。

DNS 的歷史

DNS 最早于1983年由保羅·莫卡派喬斯（Paul Mockapetris）發(fā)明；原始的技術(shù)規(guī)范在882號因特網(wǎng)標準草案（RFC 882）中發(fā)布。1987年發(fā)布的第1034和1035號草案修正了DNS 技術(shù)規(guī)范，并廢除了之前的第882和883號草案。在此之后對因特網(wǎng)標準草案的修改基本上沒有涉及到DNS 技術(shù)規(guī)范部分的改動。

早期的域名必須以英文句號“.”結(jié)尾, 當用戶訪問wiki.mbalib.com 的HTTP 服務時必須在址欄中輸入：http://wiki.mbalib.com. ，這樣DNS 才能夠進行域名解析。如今DNS 服務器已經(jīng)可以自動補上結(jié)尾的句號。

當前，對于域名長度的限制是63個字符，包括www. 和.com 或者其他的擴展名。域名同時也僅限于ASCII 字符的一個子集，這使得很多其他語言無法正確表示他們的名字和單詞?；赑unycode 碼的IDNA 系統(tǒng)，可以將Unicode 字符串映射為有效的DNS 字符集，這已經(jīng)通過了驗證并被一些注冊機構(gòu)作為一種變通的方法所采納。

1、技術(shù)角度看

? DNS

解析是互聯(lián)網(wǎng)絕大多數(shù)應用的實際尋址方式；

? 域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應用，豐富了互聯(lián)網(wǎng)應用和協(xié)議。

2、資源角度看

? 域名是互聯(lián)網(wǎng)上的身份標識，是不可重復的唯一標識資源；

? 互聯(lián)網(wǎng)的全球化使得域名成為標識一國主權(quán)的國家戰(zhàn)略資源。

1

、針對域名系統(tǒng)的惡意攻擊：DDOS 攻擊造成域名解析癱瘓。

2、域名劫持：修改注冊信息、劫持解析結(jié)果。

3、國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。 Internet 域名系統(tǒng)是一個樹型結(jié)構(gòu)，其形式如下：

com(企業(yè)) 、net(網(wǎng)絡運行服務機構(gòu)) 、gov(政府機構(gòu)) 、org(非營利性組織) 、edu(教育) 域由InterNic 管理，其注冊、運行工作目前由Network Solution公司負責。

7個新的頂級域名分別是：firm(公司企業(yè)) 、shop(商店) 、web(希望突出萬維網(wǎng)活動的實體) 、arts(主要從事娛樂文化活動的實體 ) 、rec(主要從事娛樂文化實體) 、info(主要從事信息服務實體) 、nom(一些希望在互聯(lián)網(wǎng)上發(fā)布個人信息的人) 將于1998年啟動，這些域名的注冊服務由多家機構(gòu)承擔，CNNIC 也有幸成為注冊機構(gòu)之一。

按照ISO －3166標準制定的國家域名，一般由各國的NIC(Network Information Center，網(wǎng)絡信息中心 ) 負責運行。

我國域名體系分為類別域名和行政區(qū)域名兩套。

類別域名是指圖中最下面一行前面的六個域名，分別依照申請機構(gòu)的性質(zhì)依次分為：AC －科研機構(gòu)；COM －工、商、金融等專業(yè)；EDU －教育機構(gòu)；GOV －政府部門； NET －互聯(lián)網(wǎng)絡、接入網(wǎng)絡的信息中心和運行中心；ORG －各種非盈利性的組織。

行政區(qū)域名是按照我國的各個行政區(qū)劃分而成的，其劃分標準依照國家技術(shù)監(jiān)督局發(fā)布的國家標準而定，包括“行政區(qū)域名”34個，適用于我國的各省、自治區(qū)、直轄市，分別為：BJ －北京市；SH －上海市；TJ －天津市；CQ －重慶市；HE －河北省；SX －山西省；NM －內(nèi)蒙古自治區(qū)；LN －遼寧??；JL －吉林?。籋L －黑龍江??；JS －江蘇??；ZJ －浙江??；AH －安徽；FJ －福建?。籎X －江西?。籗D －山東??；HA －河南??；HB －湖北省；HN －湖南??；GD －廣東?。籊X －廣西壯族自治區(qū)；HI －海南省；SC －四川省；GZ －貴州?。籝N －云南?。籜Z －西藏自治區(qū)；SN －陜西?。籊S －甘肅?。籕H －青海?。籒X －寧夏回族自治區(qū)；XJ －新疆維吾爾自治區(qū)；TW －臺灣；HK －香港；MO －澳門。

CN 域名除edu.cn 由CernNic(教育網(wǎng)) 運行外，其他均由CNNIC 運行。

事件一：

2010年1月12日，搜索引擎網(wǎng)站百度（http://www.baidu.com ）7時左右突然無法打開。與此同時，百度旗下貼吧域名（www.tieba.com ）也無法正常訪問。11時左右，百度故障依然沒有修復，百度公司向騰訊科技發(fā)來公告，稱域名遭非法篡改，公司正在積極處理。12時左右，全國各地訪問百度首頁陸續(xù)恢復正常。[1]安全專家分析認為，此次攻擊黑客利用了DNS 記錄篡改（DNS 劫持）的方式[2]。

DNS 劫持是安全界常見的一個名詞，劫持了DNS 服務器，意思是通過某些手段取得某域名的解析記錄控制權(quán)，進而修改此域名的解析結(jié)果，導致對該域名的訪問由原IP 地址轉(zhuǎn)入到修改后的指定IP ，其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務的目的[2]。

通常在三種情況下會遇到DNS 劫持的問題[2]：

1、用戶計算機感染病毒，病毒在操作系統(tǒng)中的HOSTS 文件中添加了虛假的DNS 解析記錄。Windows 中HOSTS 文件的優(yōu)先級高于DNS 服務器，操作系統(tǒng)在訪問某個域名時，會先檢測HOSTS 文件，然后再查詢DNS 服務器。

2、用戶試圖訪問的網(wǎng)站被惡意攻擊。這種情況下，你可能訪問到的是一個欺騙性網(wǎng)站，也有可能被定向到其它網(wǎng)站。

3、用戶在瀏覽器中輸入了錯誤的域名，導致DNS 查詢不存在的記錄。以前遇到這種情況，瀏覽器通常會返回一個錯誤提示。而最近，這種情況下用戶會看到ISP 設置的域名糾錯系統(tǒng)提示。

DNS 劫持的基本原理是把域名翻譯成IP 地址，以便計算機能夠進一步通信，傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡范圍內(nèi)進行，所以在此范圍外的域名服務器(DNS)能夠返回正常的IP 地址，高級用戶可以在網(wǎng)絡設置把DNS 指向這些正常的域名服務器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS 的IP 。 如果知道該域名的真實IP 地址，則可以直接用此IP 代替域名后進行訪問，從而繞開域名劫持(但如果網(wǎng)頁儲存公司使用虛擬主機存放網(wǎng)頁的話就不能簡單如此配置，因為一個IP 可連去多個域名) 。

專家表示，黑客入侵大型網(wǎng)站本身越來越難，因此通過劫持DNS“黑”大型網(wǎng)站會越來越流行。

事件二：

2013年8月25日凌晨，“ .CN”域名經(jīng)歷驚魂一夜，部分.CN 域名在當日凌晨出現(xiàn)無法解析的問題。域名解析服務商DNSPod 創(chuàng)始人吳洪聲在稱，故障發(fā)生是由于當時.CN 域名的根服務器受到攻擊，授權(quán)DNS 陷入全線故障，多家網(wǎng)站及新浪微博客戶端無法登錄。 距這次事故發(fā)生一個月后，CNNIC 和工信部終于揪出了本次攻擊事件的始作俑者：一名來自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn)，該黑客本意是要攻擊一個游戲私服網(wǎng)站，使其癱瘓，后來他為了更快達到這個目的，直接對.CN 的根域名服務器進行了DDoS 攻擊，發(fā)出的攻擊流量堵塞了.CN 根服務器的出口帶寬(據(jù)工信部數(shù)據(jù)：攻擊時峰值流量較平常激增近1000倍，近15G) ，致使.CN 根域名服務器的解析故障，使得大規(guī)模的.CN 域名無法正常訪問。