关于域名系统的兼容性改造初探.docx

??

?

??

关于域名系统的兼容性改造初探

?

?

?

?

?

??

?

?

?

钱秀槟，刘鹏，黄少青，方星

（北京市政务信息安全应急处置中心，北京100101）

摘要：域名系统是因特网正常运行的关键基础设施之一，城名系统是否可靠运行会直接造成因特网的可用性受到影响或引发中间人攻去。历史原因造成了因特网域名系铳由美国掌握，这种情况使得因特网安奎对美国的严重依赖。本文提出了一种较易实行的既能降低对国外根服务器依赖，也不影响和国际通用域名系统相兼容的改造思路。

关键字：信息安全；域名系统}首次查询

TP309.02文献标识码：A

0引言

域名系统的功能是对组成互联网络的节点进行统一命名和管理的基础支撑系统。随着因特网的迅速发展，域名系统得到了越来越广泛的应用，已经成为支撑因特网正常运转的不可或缺的关键基础设施。

域名系统的核心功能是为网络用户提供主机名和IP地址之间的查询，除此以外，域名系统还在邮件传输、虚拟网站、负载均衡等方面发挥着重要作用。理论上，各国家或地区均可建立完全独立的、能够实现全部功能的域名系统。但是由于美国作为因特网最为发达的国家，他们建立的域名系统已经得到全世界的广泛认可，并成为事实上国际通用的域名系统，在这种情况下，如果建立封闭的域名系统将会在极大地限制因特网的互联互通。根据域名解析的原理，所有域名查询请求均需首先向根域名服务器进行首次查询，因此如果因网络链路出现故障、或因根域名服务器过载、或根域名服务器数据记录遭到恶意修改，则会因域名解析错误引发信息安全事件。

1域名系统

1.1域名系统的结构

现行的域名系统是一种树状的分层命名系统，处于域名系统最上层的即为根域名，所有域名均由根域名直接或间接派生，都是根域名的直系子域名。树状结构除根结点之外的每一个节点都是根域名的下级域名，如图1所示。

域名系统采用自上而下的组织方式，即每一级域名系统仅与该域名的下级域名保护着单向联系，因此从结构上，各级域名与该域名的下属子域名也构成一个结构相对独立的树状域名子系统，例如cn域及其下属域又组成了cn域名系统。

从数据的组织方式上看，域名系统是一个分布式数据库系统，全部域名信息分别保存在负责解析各级域名的各个域名服务器上。例如根域名服务器只负责维护根域名的信息，其他各级域名服务器只维护该域的下属子域、该域之下的主机列表等信息。

1.2域名解析过程

在域名解析中还需要另外一个角色，即本地域名服务器。本地域名服务器是域名解析工作的重要组成部分，从逻辑上并不属于树状的分层域名系统，它仅是作为替代客户端进行域名查询的代理。客户端操作系统中通常可设置1台或多台本地域名服务器，当客户端向本地域名服务器发出域名查询请求时，本地域名服务器按照优先级别代替客户端进行域名查询并将最终结果反馈给发起查询的客户端。通常情况下，本地域名服务器既可单独建设，也可以由低层级的权威域名服务器兼任。

域名查询方式有递归(recursive)和迭代(iterative)查询两类。在递归查询中，当被查询服务器自身没有待查询域名的记录时，该服务器将替代客户端向其他服务器查询直至获得最终结果；在迭代查询中，被查询服务器在自身没有待查的域名记录时，仅会返回另一个可能保存该记录的服务器。本地域名服务器默认是以递归方式提供服务，而权威域名服务器通常则以迭代方式提供服务。

域名查询过程在RFC1034中做出了规范。当本地域名服务器向任意域名服务器发起查询请求时（[来自www.L]以迭代查询为例），被查询域名服务器将会在本地数据中搜索匹配与待查询域名最接近的上一级域名记录。域名服务器对待查询域名的匹配结果只能有3种，即找到完全匹配的记录、找到了匹配的域名记录和未找到任何记录，如图2所示。

当找到最终记录时，本地域名服务器会将查询到的记录返回给发出域名查询请求的客户端并结束查询；当找到匹配的域名记录时，被查询的域名服务器会将该域名记录指定的域名服务器地址反馈给本地域名服务器，而本地域名服务器将向该域名记录指向的域名服务器发起同样的查询请求，直至获得最终结果或得到错误信息；当未找到匹配记录时，本地域名服务器将返回错误结果并结束查询。

在实际环境中，本地域名服务器会将全球13台根域名服务器有关信息保存的本地，域名查询首次请求的目标将是13台根域名服务器中的一台。对于任意域名而言，在根域名服务器保存的与其最接近的上级域名将是该域名所属的顶级域名，例如待查询域名为时，按照图2的查询过程，根服务器将会返回负责维护cn顶级域的若干域名服务器的信息。本地域名服务器经过从根服务器、顶级域名服务器逐个查询直至返回最终查询结果或返回错误信息，如图3所示。

1.3域名解析的首次查询

由上面的分析可知，当本地域名服务器进行域名查询时，首次查询的目标服务器是整个查