DNS
DNS全稱Domain Name System,Domain Name被譯爲域名,中文名爲域名系統,也稱爲域名解析系統;另外域名服務器Domain Name Server也簡稱爲DNS。
域名系統是因特網的一項內核服務,它作爲可以將域名和IP地址相互映射的一個分佈式數據庫,能夠使人更方便的訪問互聯網,而不用去記住能夠被機器直接讀取的IP數串。DNS是具有樹型結構的名字空間,核心功能是完成域名到IP地址的轉換,使用TCP和UDP端口53。
當前,對於每一級域名長度的限制是63個字符,域名總長度則不能超過253個字符。
域名系統
通俗地說,DNS幫助用戶在互聯網上尋找路徑。在互聯網上的每一個計算機都擁有一個唯一的地址,稱作“IP地址”(即互聯網協議地址)。由於IP地址(爲一串數字)不方便記憶,DNS允許用戶使用一串常見的字母(即“域名”)取代。DNS命名用於Internet等TCP/IP網絡中,通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入DNS名稱時,DNS服務可以將此名稱解析爲與之相關的其他信息,如IP地址。因爲,你在上網時輸入的網址,是通過域名解析系解析找到相對應的IP地址,這樣才能上網。其實,域名的最終指向是IP。
雖然域名系統後便於人們記憶,但網絡中的計算機之間只能互相認識IP地址,它們之間的轉換工作稱爲域名解析,域名解析需要由專門的域名服務器(Domain Name Server)來完成,這裏的DNS就是域名服務器。
DNS的安全問題
1、針對域名系統的惡意攻擊:DDOS攻擊造成域名解析癱瘓。
2、域名劫持:修改註冊信息、劫持解析結果。
3、國家性質的域名系統安全事件:“.ly”域名癱瘓、“.af”域名的域名管理權變更。
DNS的結構及運行
Internet域名系統是一個樹型結構,其形式如下:
com(企業)、net(網絡運行服務機構)、gov(政府機構)、org(非營利性組織)、edu(教育)域由InterNic管理,其註冊、運行工作目前由Network Solution公司負責。
7個新的頂級域名分別是:firm(公司企業)、shop(商店)、web(希望突出萬維網活動的實體)、arts(主要從事娛樂文化活動的實體 )、rec(主要從事娛樂文化實體)、info(主要從事信息服務實體)、nom(一些希望在互聯網上發佈個人信息的人)將於1998年啓動,這些域名的註冊服務由多家機構承擔,CNNIC也有幸成爲註冊機構之一。
按照ISO-3166標準制定的國家域名,一般由各國的NIC(Network Information Center,網絡信息中心 )負責運行。
我國域名體系分爲類別域名和行政區域名兩套。
類別域名是指圖中最下面一行前面的六個域名,分別依照申請機構的性質依次分爲:AC-科研機構;COM-工、商、金融等專業;EDU-教育機構;GOV-政府部門; NET-互聯網絡、接入網絡的信息中心和運行中心;ORG-各種非盈利性的組織。
DNS的劫持
DNS劫持是安全界常見的一個名詞,劫持了DNS服務器,意思是通過某些手段取得某域名的解析記錄控制權,進而修改此域名的解析結果,導致對該域名的訪問由原IP地址轉入到修改後的指定IP,其結果就是對特定的網址不能訪問或訪問的是假網址,從而實現竊取資料或者破壞原有正常服務的目的.
通常在三種情況下會遇到DNS劫持的問題:
1、用戶計算機感染病毒,病毒在操作系統中的HOSTS文件中添加了虛假的DNS解析記錄。Windows中HOSTS文件的優先級高於DNS服務器,操作系統在訪問某個域名時,會先檢測HOSTS文件,然後再查詢DNS服務器。
2、用戶試圖訪問的網站被惡意攻擊。這種情況下,你可能訪問到的是一個欺騙性網站,也有可能被定向到其它網站。
3、用戶在瀏覽器中輸入了錯誤的域名,導致DNS查詢不存在的記錄。以前遇到這種情況,瀏覽器通常會返回一個錯誤提示。而最近,這種情況下用戶會看到ISP設置的域名糾錯系統提示。
由於域名劫持往往只能在特定的被劫持的網絡範圍內進行,所以在此範圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
域名解析
舉一個例子,zh.wikipedia.org作爲一個域名就和IP地址208.80.154.225相對應。DNS就像是一個自動的電話號碼簿,我們可以直接撥打wikipedia的名字來代替電話號碼(IP地址)。DNS在我們直接調用網站的名字以後就會將像zh.wikipedia.org一樣便於人類使用的名字轉化成像208.80.154.225一樣便於機器識別的IP地址。
DNS查詢有兩種方式:遞歸和迭代。
DNS客戶端設置使用的DNS服務器一般都是遞歸服務器,它負責全權處理客戶端的DNS查詢請求,直到返回最終結果。
而DNS服務器之間一般採用迭代查詢方式。
以查詢zh.wikipedia.org爲例:
· 客戶端發送查詢報文"query zh.wikipedia.org"至DNS服務器,DNS服務器首先檢查自身緩存,如果存在記錄則直接返回結果。
· 如果記錄老化或不存在,則
1. DNS服務器向根域名服務器發送查詢報文"query zh.wikipedia.org",根域名服務器返回.org域的權威域名服務器地址,這一級首先會返回的是頂級域名的權威域名服務器。
2. DNS服務器向.org域的權威域名服務器發送查詢報文"query zh.wikipedia.org",得到.wikipedia.org域的權威域名服務器地址。
3. DNS服務器向.wikipedia.org域的權威域名服務器發送查詢報文"query zh.wikipedia.org",得到主機zh的A記錄,存入自身緩存並返回給客戶端。
在每一個名稱服務器中都有一個快取緩存區(Cache),這個快取緩存區的主要目的是將該名稱服務器所查詢出來的名稱及相對的IP地址記錄快取緩存區中,這樣當下一次還有另外一個客戶端到次服務器上去查詢相同的名稱 時,服務器就不用在到別臺主機上去尋找,而直接可以從緩存區中找到該筆名稱記錄資料,傳回給客戶端,加速客戶端對名稱查詢的速度。例如:
當DNS客戶端向指定的DNS服務器查詢網際網路上的某一臺主機名稱 DNS服務器會在該資料庫中找尋用戶所指定的名稱 如果沒有,該服務器會先在自己的快取緩存區中查詢有無該筆紀錄,如果找到該筆名稱記錄後,會從DNS服務器直接將所對應到的IP地址傳回給客戶端 ,如果名稱服務器在資料記錄查不到且快取緩存區中也沒有時,會向最接近的名稱服務器去要求幫忙找尋該名稱的IP地址 ,在另一臺服務器上也有相同的動作的查詢,當查詢到後會回覆原本要求查詢的服務器,該DNS服務器在接收到另一臺DNS服務器查詢的結果後,先將所查詢到的主機名稱及對應IP地址記錄到快取緩存區中 ,最後在將所查詢到的結果回覆給客戶端。
域名(domain name)
網域名稱(英語:Domain Name),簡稱域名、網域,是由一串用點分隔的名字組成的Internet上某一臺計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。
域名服務器
主條目:名稱服務器
這種管理名字的方法是:分不同的組來負責各子系統的名字。系統中的每一層叫做一個域,每個域用一個點分開。所謂域名服務器(即Domain Name Server,簡稱Name Server、DNS)實際上就是裝有域名系統的主機。它是一種分層結構數據庫,能夠執行名字解析(name resolution)。
DNS可以允許一個名稱服務器把他的一部分名稱服務(衆所周知的zone)“委託”給子服務器,從而實現一種層次結構的名稱空間。此外,DNS還提供了一些額外的信息,例如系統別名、聯繫信息以及哪一個主機正在充當系統組或域的郵件樞紐。
另外,在域名中大小寫是沒有區分的。域名一般不能超過5級,從左到右域的級別越高,高的級域包含低的級域。域名在整個Internet中是唯一的,當高級子域名相同時,低級子域名不允許重複。一臺服務器只能有一個IP地址,但是卻可以有多個域名。