Internet上的域名服务器安全.pdfVIP

l nternet上的域名服务器安全 程军杰 ‘北京京诅庙焱技术有哏公司) DHs)的原理基础上，分祈了当前 摘要 本文在论连jnternet上的域名服务系统I 黑客攻击域名服务器的常用手段，并提出了针对这些攻击的防范措施． inLerne 关键词 c域名服务器mS簧奎BIND软件黑客 1前言 域名服务器在Intsinet上具有举足轻重的作用，它负责在域名和IP地址进行转换。 net，而计算机在通 我们通常在互联网上使用的都是域名，比如首都在线的主页为蝴．263 信时使用的是其对应的IP地址：202．96．“．130．因此我们可以想象，如果负责域名转换的 域名服务器出来问题，那么将直接导致互联网用户无法使用域名来访问互联网，除非用户 能够记住大量的IP地址．由于域名服务器的重要作用，这些服务器往往具有较高的系统配 置，且一般位于高速的骨干网络上，以便快速响应大负荷的查询请求；另外，由于域名服 务系统的分布性和开放性，其往往裸露在防火墙的外面．域名服务器的这些特征使其成为 黑客进行攻击的优选目标． 随着我国互联网的快速发展，越来越多的政府部门、企业、公司、教育机构接八 int 8rne[，他们要么建立自己的DNS服务器，要么使用ISP提供的DNS服务器，保证这些 DNS服务器的安全运行成为一个突出的课题． 2DNS基本原理 s．txt来表示 hRPhnet时，由于网络规模较小，只有几百台主机，所以用单一的文件host 主机名和地址之间的映射，这个文件由斯坦福研究院(SRI)的网络信息中n(NIc)维护，通 s．txt文件经常不一致、不宜扩展、HIC的网络流量 现了严重不足：主机名容易冲突、host 日益增大，经常出现网络瓶颈等．为了解决这些问题，必颁使用一个新型的域名服务系统， 它格须满足以下要求：分布式数据管理，全球一致性、消除网络瓶颈、分层结构．根据这 些要求，Paul№chapetris担负起新系统的研究和规划、于1984年发布了阐述域名服务 034、RFCl 系统的RFC882和RRC883，这两个RFC经过修正后，其版本为RFCl035，成为新 rnet 域名服务系统的标准，当前DNs服务器软件的实现都是基于这两个RFC标准。随着Inte 的发展，一些新的RFC扩展标准不断提出，并被加八到这些服务器软件中，比如关于DNs 35． 安全扩展标准的RFC25 新域名服务系统是一个关于互连网上主机信息的分布式数据库，它将数据按照区域分 段，并通过授权委托进行本地管理，使用客户机一服务器模式检索数据，并且通过复制和缓 存机制提供迸发和冗会性能．域名服务系统包含域名服务器和解析器两个部分：域名服务 器存储和管理授权区域由的域名数据，提供接口供客户机检索数据；解析器即客户机，向 372 域名暇务器递交查询请求．翻译域名服务器返回的结果并递趸给高层皿用程序，迎常为捷 作系统提供的库函数之一。为了理解域名服务系统，曲须理解以下的概念： 域名空间结构是一个反向生长的树．类似【Mx的文件系统：根由“’‘表示，域名由“．” 分两，从底到顶，如下璺所示： 图一域名至间 区域是域名空间的子母是域内所有王机信息资源的集合，区域可以简称为域。域的 表现形式运常为硬盘上的一个文件，域名服务器在启动时将此文件中的数据读八自己的内 存供外部的解栌器查询，扣黑域名服务器负责解析巢个域，则这“域称为域名服务器的授 权域，域名暇务器可同‘．÷管理多“授权域。