2.域名系統(tǒng)安全

域名系統(tǒng)( Domain Name System，DNS)是互聯(lián)網(wǎng)的基礎(chǔ)，We堋艮務(wù)、電子郵件服務(wù)等互聯(lián)網(wǎng)應(yīng)用都需要DNS作為支撐，因此DNS的安全關(guān)系到整個互聯(lián)網(wǎng)能否正常使用。DNS是一個非常龐大、復(fù)雜的分布式數(shù)據(jù)庫系統(tǒng)，由于設(shè)計初期對安全性考慮不足，DNS系統(tǒng)存在很多安全缺陷。例如著名的DNS欺騙攻擊，也稱DNS高速緩存污染。在互聯(lián)網(wǎng)上，域名與IP地址是多對多的關(guān)系，即一個域名可以對應(yīng)多個IP地址，而一個IP地址也可以對應(yīng)多個域名。DNS服務(wù)器在工作時對于自身無法解析的域名，會向其他DNS服務(wù)器查詢（這個查詢無需嚴格驗證），對收到的查詢結(jié)果進行緩存。正是由于以上特點，攻擊者可以通過偽造DNS應(yīng)答，改寫DNS服務(wù)器上的緩存，欺騙用戶訪問錯誤的服務(wù)器。由于DNS緩存存在時間限制，DNS欺騙存在實效性，一旦超過緩存的有效時間，除非重新構(gòu)造緩存中的記錄，否則DNS欺騙會自動失效。此外，攻擊者不能替換緩存中已經(jīng)存在的記錄。解決DNS欺騙最有效的方法是采用最新版本的DNS服務(wù)軟件，新版本的軟件在抵御DNS欺騙方面更優(yōu)于老版本軟件，也可以通過配置系統(tǒng)，如限制域名服務(wù)器做出響應(yīng)的地址、限制發(fā)出查詢請求的客戶機地址等，降低攻擊者DNS欺騙成功的幾率。另外由于DNS對于互聯(lián)網(wǎng)體系的重要性，使得DNS也很容易成為拒絕服務(wù)攻擊的對象。