《寧夏電力》２００７年第５期淺析ＤＮＳ技術與安全防護李瑩嵐（寧夏石嘴山供電局，石嘴山市７５３０００）摘要：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）是網絡建設中首要解決的問題之一，是實現(xiàn)Ｉｎｔｅｒｎｅ

《寧夏電力》２００７年第５

期

淺析ＤＮＳ技術與安全防護

李瑩嵐

（寧夏石嘴山供電局，石嘴山市７５３０００）摘要：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）是網絡建設中首要解決的問題之一，是實現(xiàn)Ｉｎｔｅｒｎｅｔ應用的基礎，其作用是實現(xiàn)域名和ＩＰ地址之間的轉換。本文介紹了ＤＮＳ的基本概念、域名解析的工作原理，分析了ＤＮＳ在安全方面的漏洞及防范措施。

關鍵詞：ＤＮＳ；域名解析；ＩＰ地址；安全

中圖分類號：ＴＰ３９３文獻標志碼：Ｂ文章編號：１６７２－３６４３（２００７）０５－００５７－０３

ＡｎａｌｙｓｉｓｏｆＤＮＳｔｅｃｈｎｏｌｏｇｙａｎｄｓｅｃｕｒｉｔｙｐｒｏｔｅｃｔｉｏｎ

ＬＩＹｉｎｇ－ｌａｎ

（ＳｈｉｚｕｉｓｈａｎＥｌｅｃｔｒｉｃＰｏｗｅｒＳｕｐｐｌｙＢｕｒｅａｕ，Ｓｈｉｚｕｉｓｈａｎ７５３０００，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：ＩｎｔｒｏｄｕｃｅｓｔｈｅｂａｓｉｃｃｏｎｃｅｐｔｉｏｎｏｆＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ（ＤＮＳ）ａｎｄｗｏｒｋｐｒｉｎｃｉｐｌｅｏｆｄｏｍａｉｎｎａｍｅａｎａｌｙｚｅｒ，ａｎａｌｙｚｅｓｔｈｅｌｅａｋｓｏｆｔｈｅｓｅｃｕｒｉｔｙａｎｄｐｒｏｔｅｃｔｉｖｅｃｏｕｎｔｅｒｍｅａｓｕｒｅｓｆｏｒＤＮＳ．

Ｋｅｙｗｏｒｄｓ：ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）；ｄｏｍａｉｎｎａｍｅａｎａｌｙｚｅｒ；ＩＰａｄｄｒｅｓｓ；ｓｅｃｕｒｉｔｙ

１引言型、層次結構分布式數(shù)據(jù)庫。如圖１所示。

隨著Ｉｎｔｅｒｎｅｔ／Ｉｎｔｒａｎｅｔ技術的發(fā)展和應用日益普及，越來

越多的企業(yè)都建立了自己的Ｉｎｔｒａｎｅｔ，并且通過各種不同的方

式接入Ｉｎｔｅｒｎｅｔ。Ｉｎｔｅｒｎｅｔ上計算機之間的ＴＣＰ／ＩＰ通信是通過

ＩＰ地址來進行的，因此，Ｉｎｔｅｒｎｅｔ上的計算機都應有一個ＩＰ地

址作為其唯一標識。但ＩＰ地址是數(shù)字型名字，難于記憶和理

解。為了便于應用，ＴＣＰ／ＩＰ提供了一種字符型的主機命名機

制，即域名系統(tǒng)（ＤＮＳ，ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）。它將枯燥、沒有

意義的數(shù)字映射成具有特定含義的的詞或詞的縮寫，便于人們

記憶和理解。在網站架構過程中，ＤＮＳ是首要解決的問題之一，

也是實現(xiàn)ｗｗｗ、ｆｔｐ、Ｅ－ｍａｉｌ等多種Ｉｎｔｅｒｎｅｔ應用的基礎。所以，

ＤＮＳ技術的應用及安全性研究具有深遠的意義。域是域名空間的一棵子樹或一個分支，樹的根就是根

域，根是沒有名字的，用“．”表示。樹中最靠近根域的節(jié)點，

２ＤＮＳ的工作原理稱為頂級域，每個頂級域下面又包含很多級、很多子域，主

機則位于樹的葉子上。同一級中擁有同一個父節(jié)點的標示

２．１域名空間各不相同，主機名由從相應的葉子到這一路徑的各個節(jié)點

ＤＮＳ的命名結構稱為域名空間。域名空間是一個呈樹的標示組成。

收稿日期：２００７－０４－１０

，女，?５７?

《寧夏電力》２００７年第５

期

根域各服務器具有指向第一層域的初始指針，也就是頂層域，如．ｃｏｍ，．ｎｅｔ。頂層域名最初由Ｉｎｔｅｒｎｅｔ授權給一些組織，如ｉｎｔｅｒＮＩＣ來管理。ＮＩＣ將第一級域的管理特權分派給指定管理機構，各管理機構再對其管轄的域名空間繼續(xù)劃分，并將各子部分管理特權授予子管理機構，如此下去，便形成了層次型域名。由于管理機構是逐級授權的，所以最終的域名都得到ＮＩＣ承認，成為全球Ｉｎｔｅｒｎｅｔ的唯一名字。如域名ｗｗｗ．ｉｂｍ．ｃｏｍ，其中ｗｗｗ是主機名，ｉｂｍ代表ＩＢＭ公司，．ｃｏｍ代表商業(yè)組織。由此通過域名代替ＩＰ地址，便于用戶理解和記憶。

淺析ＤＮＳ技術與安全防護

“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”主機的ＩＰ地址（④）“；．ｃｎ”域名服務器將“ｃｏｍ．ｃｎ”的域名服務器的ＩＰ地址返回給本地域名服務器（⑤）；本地域名服務器再向“ｃｏｍ．ｃｎ”域名服務器發(fā)出“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”的主機ＩＰ地址是什么的請求（⑥）“；ｃｏｍ．ｃｎ”域名服務器“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”的ＩＰ地址返回給本地域名服務器（⑦）；本地域名服務器“ｗｗｗ．域名服務器發(fā)送查詢“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”

；“ｗｗｗｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”ｃｏｍ．ｃｎ”的ＩＰ地址的請求（⑧）“

域名服務器給本地域名服務器返回“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．所對應的ＩＰ地址；最后本地域名服務器“ｗｗｗ．ｓｚｓ．ｎｘ．ｃｎ”

的ＩＰ地址返回給客戶機（⑩），至此，整個解析ｓｇｃｃ．ｃｏｍ．ｃｎ”過程完成。

在大型的ＴＣＰ／ＩＰ互聯(lián)網中，除了從本地域名服務器開始解析外，還可以采用高速緩沖技術來提高域名解析的效率。在域名服務器開辟一個專用內存，存放最近解析過的域名及相應的ＩＰ地址。服務器收到域名請求后，若在本地數(shù)據(jù)庫中未找到對應信息，則回去檢查緩沖區(qū)，看是否最近解析過該域名，有則報告給解析器，沒有再去向其他服務器發(fā)送解析請求。同樣，高速緩沖機制也可以在主機上使用。當然，在使用時，要采取相應措施保證緩沖區(qū)中域名和ＩＰ地址的映射關系的有效性。

２．２域名解析

為了把一個域名映射為一個ＩＰ地址，應用程序調用一

（ｒｅｓｏｌｖｅｒ）的庫過程，參數(shù)為域名。解析器將種名叫解析器

ＵＤＰ分組傳送給本地ＤＮＳ服務器上，本地ＤＮＳ服務器查

找域名并將ＩＰ地址返回給解析器，解析器再把它返回給應用程序。

域名解析有兩種方式：反復解析和遞歸解析。在反復解析方式中，如果服務器查不到相應的記錄，會返回另一個可能知道結果的服務器發(fā)送查詢請求。在遞歸解析方式中，要求域名服務器系統(tǒng)一次性完成全部名字－地址轉換，即如果不能從該服務器本地得到解析，就由該ＤＮＳ服務器向其他ＤＮＳ服務器發(fā)出請求，直到得到查詢結果或出現(xiàn)錯誤為止，相當于由收到遞歸請求的ＤＮＳ服務器來完成反復解析中用戶的工作。

域名解析是按照分層結構的特點自頂向下進行的。然而，如果每一個解析請求都從根服務器開始，那么到達根服務器的信息流量隨互聯(lián)網規(guī)模的增大而增大。在大型互聯(lián)網中，根服務器有可能因負荷太重而超載。在實際中，大多數(shù)域名解析都是解析本地域名，可以在本地域名服務器中完成。因此，往往域名解析都先向本地域名服務器發(fā)出請求，這樣可以提高域名解析的效率。解析過程如圖２所示。

３ＤＮＳ安全風險分析

ＤＮＳ服務主要完成域名與ＩＰ地址間的轉換及有關電

子郵件的路由信息。ＤＮＳ使用超高速緩存將收到的有關映射信息存放在高速緩存中，以后有相同的請求就直接使用由于本地存在高速緩存中的信息，大大提高了解析的速度。

緩存，所以，一旦高速緩存的信息被修改，就會產生錯誤的解析結果，這是ＤＮＳ潛在的安全問題之一，此外還有許多其它方面的安全隱患。

ＤＮＳ的安全隱患有以下方面：

（１）緩沖區(qū)溢出漏洞允許遠程控制計算機；（２）域名欺騙（ＤＮＳＳｐｏｏｆｉｎｇ）；（３）利用區(qū)傳輸造成ＤＮＳ信息泄密；（４）ＤｏＳ（ＤｅｎｉａｌｏｆＳｅｒｖｉｃｅ）拒絕服務攻擊；（５）無訪問控制的遞規(guī)查詢；

（６）反向查詢緩沖區(qū)超時（ＩｎｖｅｒｓｅＱｕｅｒｙＢｕｆｆｅｒＯｖｅｒｒｕｎ）

版本所衍生的安全問題；（７）動態(tài)更新和遞規(guī)查詢。

（ＤＮＳＳｐｏｏｆｉｎｇ）：主要有以下三種形式：ＤＮＳ欺騙

“ｗｗｗ．ｓｚｓ．客戶機向本地域名服務器發(fā)送請求，請求回

主機的ＩＰ地址（①）；本地域名服務器檢查ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ”

其數(shù)據(jù)庫，發(fā)現(xiàn)數(shù)據(jù)庫中沒有域名為“ｗｗｗ．ｓｚｓ．ｎｘ．ｓｇｃｃ．ｃｏｍ．的主機，于是將此請求發(fā)送給根域名服務器（②）；根域ｃｎ”

名服務器將“．ｃｎ”一級域名服務器的ＩＰ地址返回給本地域名）；名務①攻擊者在自己的主機上安裝網絡偵聽器，劫持域名

查詢請求，然后假冒ＤＮＳ的響應，返回一個錯誤解析地址，使發(fā)出該域名查詢請求的客戶機得到一個錯誤的解析地址；

②攻擊者通過污染ＤＮＳ的緩沖區(qū)（ＤＮＳＣａｃｈｅＰｏｉ－ｓｏｎｉｎｇ）將ＤＮＳ高速緩存內的信息修改。由于ＤＮＳ的解析

地址，當

?５８?

《寧夏電力》２００７年第５期

本地的緩存內的信息被修改后，就會將一個被篡改后的ＩＰ地址發(fā)送給請求者，使請求者得到一個錯誤的解析地址。

淺析ＤＮＳ技術與安全防護

進行區(qū)域復制，這樣入侵者就無法利用區(qū)域復制獲取區(qū)域中的所有數(shù)據(jù)了。

③攻擊者侵入操作系統(tǒng)，獲得管理員權限，直接修改ＤＮＳ數(shù)據(jù)文件。

針對域名服務器的拒絕服務（ＤｏＳ）攻擊：

這種攻擊主要有二種，一種是利用ＤＮＳ軟件本身的漏洞進行攻擊；另一種是用戶端泛濫，攻擊者仿造源地址，產生一個查詢請求，使域名服務器忙于應付大量的無效回應，而無法處理正常的用戶請求。

利用區(qū)傳輸造成ＤＮＳ信息泄密：

名字服務器通常含有域名空間中某一部分的完整信息，這一部分稱為區(qū)；區(qū)的內容是從文件或其它名字服務器中加載過來的，在加載的過程中，黑客可以劫獲傳輸?shù)膬热?，造成整個區(qū)域的信息泄露，同時在加載的過程中，也會增加服務器的負載。一旦ＤＮＳ系統(tǒng)被攻擊成功，入侵者就會刪除日志文件，銷毀自己可能暴露的蛛絲馬跡，然后在

４．２保護ＤＮＳ的方法

（１）采用最新版本的ＤＮＳ服務器軟件，但隨著新漏洞

和新版本的出現(xiàn)，要注意升級或安裝相應的補丁程序。

（２）使用交叉檢驗，即服務器通過反向查詢已得到ＩＰ地址所對應的主機名后，再用該主機名查詢ＤＮＳ系統(tǒng)對應于該主機名的ＩＰ地址。兩者一致，判定用戶合法。

（３）配置防火墻，將內、外ＤＮＳ服務器隔離。內部

ＤＮＳ服務器只提供內部網名字解析，外部ＤＮＳ服務器負責

外部用戶的查詢，并處理內網服務器提交的請求。這樣還可以簡化安全管理。

（４）可通過訪問控制列表限制用戶對ＤＮＳ服務器的訪問。（５）限制區(qū)域傳送，以防入侵者通過正常的查詢命令獲得豐富的內部信息。

ＤＮＳ系統(tǒng)中安裝程序，通過運行它獲得管理員權限，同時

開始向外進行掃描，在幾分鐘內就可發(fā)現(xiàn)大量的存在相同漏洞的服務器，并可對之重復上述攻擊，如此反復，后果不堪設想。

５結束語

從更安全、更可靠的角度來配置和使用ＤＮＳ服務，是

面對日益復雜和不安全的網絡應用的有效方法之一。ＤＮＳ不僅僅影響安全，它還影響到ｍａｉｌ服務，ｗｗｗ服務等等其他重要內容?？梢哉f除了網絡層以下的物理連通之外，ＤＮＳ是所有網絡應用層中最重要的服務內容。確保ＤＮＳ的正常運轉和安全可靠，是怎樣強調都不為過的。事實上，沒有一種安全策略是１００％安全的，網絡攻擊手段的不斷發(fā)展和變化，要求服務器管理員強化安全意識，在實際工作中不斷地總結和積累經驗，逐步提高ＤＮＳ服務器的安全性和可靠性。無論是在Ｉｎｔｒａｎｅｔ，還是在整個Ｉｎｔｅｒｎｅｔ，采用新的技術，防范潛在的攻擊，是我們始終面對的問題。

４ＤＮＳ安全策略

由以上分析可知，ＤＮＳ服務器一旦被控制，有可能造成信息泄漏、關鍵資源被侵入、拒絕服務等嚴重后果，必須采取措施，保證ＤＮＳ的安全性。對于系統(tǒng)本身的設計和軟件的漏洞，大部分用戶無法直接參與，所以，對ＤＮＳ的保護關鍵是要進行安全的ＤＮＳ配置。

４．１保護ＤＮＳ的指導方針

（１）將內部用戶與外部用戶使用ＤＮＳ可以訪問的信息相

互隔開。確?？蓮耐獠吭L問的ＤＮＳ服務器只包含與公共服務有關的信息，例如Ｗｅｂ服務器和電子郵件服務器的地址。

（２）在內部ＤＮＳ服務器上可允許動態(tài)更新，但不要允許外部ＤＮＳ服務器的動態(tài)更新。

（３）只允許經授權的計算機更新各自的ＤＮＳ注冊信息，將內部ＤＮＳ服務器配置為只允許安全更新。

（４）限制只能從主ＤＮＳ服務器向輔助的ＤＮＳ服務器（上接第３８頁）

參考文獻：

［１］［２］［３］［４］

［Ｍ］．北京：電子工業(yè)出版社，２００２．ＨｕｎｔＣ．ＴＣＰ／ＩＰ網絡管理

吳功宜．計算機網絡［Ｍ］．北京：清華大學出版社，２００３．羅杰云，賀敏偉．ＤＮＳ協(xié)議的安全淺析，２００４．

王達．網管員必讀－網絡基礎．北京：電子工業(yè)出版社，２００４．

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

回路中采用了主變三側開關ＴＷＪ串聯(lián)的方式，這大大減少了裝置誤動作的可能性，但是當主變中低壓側開關偷跳，造成母線失壓時，裝置又顯得無能為力。安全性和可信賴性是相互矛盾的，如何合理地找到一個平衡點，必須結合實際，對電網的運行方式和變電所的特點進行分析，才能找到最佳方案。

完善主變備自投及過載切負荷裝置回路和邏輯方案，使之達到最優(yōu)的配合，對提高變電所供電可靠性具有非常重要的現(xiàn)實意義。隨著新技術的不斷發(fā)展和應用，各種自動裝置在應用中會不斷遇到一些問題，這就需要我們不斷發(fā)現(xiàn)問題、分析問題、解決問題，只有這樣才能使電網的二次，３結束語

?５９?