|
域名系统(DNS)是逐级授权的分布式数据查询系统,主要完成域名到IP地址的翻译转换功能。域名服务体系包括提供域名服务的所有域名系统,分为两大部分、四个环节,即递归域名服务系统,以及由根域名服务系统、顶级域名服务系统和其他各级域名服务系统组成的权威域名解析服务体系,如下图所示。
|
|
|
|
|
域名服务体系中,根域名服务系统由ICANN授权的十三家全球专业域名管理机构提供运营支持,顶级域名服务系统由ICANN签约的商业机构或各国政府授权的科研管理机构负责运行维护。二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方。递归域名服务器一般由各网络接入机构提供。
|
|
|
域名系统是网络空间的中枢神经系统,其安全性影响范围大。某公司曾因域名安全问题而暂停搜索服务。域名服务的常见安全风险阐述如下:
|
|
|
(1)域名信息篡改。域名解析系统与域名注册、WHOIS等系统相关,任一环节的漏洞都可能被黑客利用,导致域名解析数据被篡改。
|
|
|
(2)域名解析配置错误。权威域名解析服务的主服务器或辅服务器如配置不当,会造成权威解析服务故障。
|
|
|
(3)域名劫持。黑客通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向黑客可以控制的服务器。
|
|
|
(4)域名软件安全漏洞。域名服务系统软件的漏洞导致域名服务受损。
|
|
|
DNS域名服务系统是网络正常运行的基础保障。针对DNS域名的安全问题。国内外安全厂商及DNS服务机构提出了安全解决方案。其中,互联网域名系统北京市工程研究中心有限公司提出了ZDNS Cloud解决方案,该方案提供DNS托管服务、DNS灾备服务、流量管理服务和抵抗大规模DDoS攻击和DNS劫持安全服务。绿盟科技发布了DNS域名安全防护产品。威瑞信(VeriSign)公司推出威瑞信可管理型DNS服务。
|
|
|
针对DNS严重的协议安全漏洞,IETF提出了DNSSEC安全扩展协议(DNS Security Extensions)方案,为DNS解析服务提供数据源身份认证和数据完整性验证。
|
|
|