DNS服务器浅谈

2017-08-29杨龙

电脑知识与技术 2017年21期

关键词：因特网域名IP地址

杨龙

(宝鸡文理学院教学设备与实验室管理处，陕西宝鸡721013)

DNS服务器浅谈

杨龙

(宝鸡文理学院教学设备与实验室管理处，陕西宝鸡721013)

在网络建设中，一个稳定、安全的DNS系统是网络正常、高效运行的保障。DNS(域名服务系统)实现了IP地址与域名之间的相互映射。以DNS服务器为核心，介绍DNS的工作原理，阐述了DNS安全问题及防范措施。

域名解析系统；DNS服务器；DNS安全性

Linux操作系统是一种自由和开放源码的类Unix操作系统，目前广泛的应用于服务器操作系统领域。相对于Windows Server操作系统，Linux操作系统具有稳定性高、投入和维护成本低、保密性高以及完整的备份机制等特点。因此，Linux操作系统较为适合服务器系统搭建。

1 DNS概述

DNS(Domain Name System，即域名系统)，它是Internet上域名和IP地址相互映射的一个分布式数据库，能够使用户快速、有效的访问互联网资源。DNS协议是互联网核心协议之一，基于UDP协议，所使用端口号为53。DNS服务器主要功能是完成域名与IP地址间的自动转换，在互联网环境下，每个主机都有一个IP地址，通过DNS服务用户不需要记住繁琐的IP地址，直接通过域名就可以访问主机。

2 DNS工作原理

2.1 因特网的域名结构

因特网采用层次树状结构的命名方法，即每一个因特网上的主机或路由器都有唯一一个层次结构的名字(域名，Domain Name)。DNS规定，由英文和数字组成域名中的标号，每个标号之间用“.”连接，标号级别由左往右递增，即最左边级别最低、最右边级别最高。通过这种方法使得每个域名在互联网范围内都是唯一的，且有助于设计出一套域名查找机制。(中国)、uk(英国)；通过顶级域名gTLD：7个最常见通用顶级域名，com(公司企业)、net(网络服务机构)、org(非盈利组织)、int(国际组织)、gov(美国政府)、mil(美国军事部门)；基础结构域名：这种顶级域名只有一个，即arpa。

图1 因特网域名空间

2.2 域名服务器

在DNS中采用区域划分的方法实现IP地址与域名的映射。DNS服务器所管辖的区域范围称之为区(Zone)，各单位根据实际需求划分相应区域管辖范围。同一个区中的所有节点必须是互通的，在一个区中设置一个保存该区全部主机与IP地址映射的权限域名服务器。

简而言之，因特网上的DNS服务器以树形结构层次分布，并以“区”为单位管辖“区”中节点，每一个域名服务器只对所管辖区内的主机进行IP地址映射。

2.3 DNS工作过程

1)主机通过递归查询的方法向本地域名服务器发送查询请求。也就是说，本地域名服务器如果无法解析主机所查询域名的IP地址，则以DNS客户的身份向根域名服务器发送查询请求，主机则不需要再次向高级域名服务器发送查询请求。

2)本地域名服务器是以迭代的方式向根域名服务器发送查询请求。其特点为：当根域名服务器接收到本地域名服务器发送来的查询请求时，要么直接给出查询到的IP地址，要么给出下一个查询请求发送地址，即根域名服务器将自己上级域名服务器地址发送给本地域名服务器，本地域名服务器向该地址继续发送查询请求，这样迭代发送请求，直至查询到IP地址或报错。

3 DNS服务器的安全性

如图1所示，国家顶级域名nTLD：采用ISO3166规定，如cn

3.1 常见DNS服务器安全问题

DNS主要完成IP地址与域名之间的映射，如果域名服务器出现问题，将直接导致用户无法访问互联网资源，DNS服务器的安全性和稳定性就格外重要。现在很多网络拓扑将DNS服务器暴露于防火墙外，这就成为黑客攻击的直接目标，通常存在以下三种黑客攻击：

3.1.1 DNS欺骗

DNS欺骗是一种非常危险的DNS服务器攻击，攻击者利用它可以窃取到访问用户的一些个人机密信息。在DNS欺骗中，欺骗者向目标主机发送一个伪造好的ARP应答数据包，当目标主机将此数据包误认为合法数据包后，则会发送DNS请求数据包，欺骗程序通过解析DNS请求数据包窃取到ID和端口号，并向目标主机发送一个伪造的DNS应答数据包，目标主机检测ID和端口号全部正确后，把应答数据包中的IP地址和域名存入DNS缓存中，真实的DNS数据包则被丢弃。

3.1.2 远程漏洞入侵

BIND(Berkeley Internet Name Domain)是最为常用的DNS服务软件，且具有大量的使用用户，Internet上的大多数DNS服务器都是使用这个软件的。BIND提供高效的DNS服务的同时也存在着一些危险漏洞，例如许多BIND软件版本均存在缓冲区溢出的漏洞，黑客可以轻松地通过这些漏洞远程上DNS服务器，并且可以通过root权限执行任意命令。这就给DNS服务器及网络拓扑带来很大的安全威胁。

3.1.3 拒绝服务

拒绝服务(Dos，Denial of Service)，其目的在于破坏服务器或网络为合法用户提供正常服务的能力。攻击者向DNS服务器发送大量源IP为被攻击主机IP的查询报文，则DNS服务器会将这些报文转发至被攻击主机，这样就造成被攻击主机接收到大量DNS报文，从而消耗网络带块，无法正常工作。

3.2 DNS攻击防范措施

DNS攻击发起的报文呈现出合法报文的特征，因此防火墙等硬件设备很难起到服务器防护的作用。通过长期分析DNS攻击报文，可以通过以下几点提高DNS服务器安全水平。

3.2.1 建立镜像服务器

通过建立镜像服务器在网络环境中实现DNS查询的负载均衡。在同一区域内，配置主从两个并行服务器，主服务器负责ROOTZONE文件维护，从服务器则定期从主服务器上同步数据。区域内部系统可以依据从服务器数据建立起相关镜像服务器，这样一方面提升了DNS解析效率，另一方面可以实现对主DNS的保护，降低了主服务器被直接攻击的可能性。

3.2.2 DNS服务器防火墙设置

设置DNS防火墙能够在一定程度上保护DNS服务器不被攻击。通过在DNS服务器防火墙上设置实时数据流量检测和监听策略，从而控制IP地址的每秒解析请求次数，以保证DNS服务器资源不被同一请求报文所消耗。

3.2.3 加强DNS服务器的管理

DNS实质上是一个网络节点，需要为DNS服务器展开必要的维护，加强对DNS服务器的管理。与其他网络节点不同的是，不仅需要加强DNS服务器的数据备份与维护，更重要的是要加强DNS对请求报文的识别功能，同时还要加强IP地址验证功能，即DNS服务器通过反向查询到IP地址所对应的主机名，与该主机名查询DNS系统对应于该主机名的IP地址，当二者一致时，做出应答。