在最近的一篇文章“域名系統(tǒng)：痛苦的回憶是多么重要”，我曾經(jīng)提到丹·卡明斯基（網(wǎng)絡安全產(chǎn)品和服務提供商IOActive和Doxpara的測試總監(jiān)）發(fā)現(xiàn)的這個問題。在前段時間舉行的黑帽2008年會上，卡明斯基終于披露了發(fā)現(xiàn)的缺陷的細節(jié)。這個設計上的缺陷，導致域名服務器很容易受到緩存攻擊的威脅。為了真正了解這個缺陷的嚴重程度，我們需要從域名系統(tǒng)的查詢原理開始了解。

域名系統(tǒng)（DNS）

人類很容易記住由FQDN等字母組成的名字，而象計算機一類的數(shù)字機器則使用數(shù)字（網(wǎng)絡地址）進行存儲。域名系統(tǒng)就象兩者之間進行交流的橋梁一樣，讓我們在網(wǎng)絡瀏覽器中輸入網(wǎng)絡地址或者電子郵件地址而不是一個隱藏的數(shù)字。舉例來說，如果要訪問netsecurity.51cto.com網(wǎng)站的時間，可以利用我的網(wǎng)絡瀏覽器進行下列操作步驟以達到目的：

1.在網(wǎng)絡瀏覽器中輸入netsecurity.51cto.com。

2.網(wǎng)絡瀏覽器要求解析器（將FQDN之類的字母信息轉換為數(shù)字網(wǎng)絡地址的域名系統(tǒng)后臺客戶端應用）將netsecurity.51cto.com轉換為一個網(wǎng)絡地址（數(shù)字形式）。

3.解析器會首先檢查系統(tǒng)的主機文件和本地緩存，看看是否有存在可用的字母信息轉換為數(shù)字網(wǎng)絡地址的組合。如果存在的話，解析器將通過網(wǎng)絡地址進行連接。如果沒有的話，解析器將連接我的互聯(lián)網(wǎng)服務提供商的域名服務器，要求它提供netsecurity.51cto.com的網(wǎng)絡地址。

4.如果互聯(lián)網(wǎng)服務提供商的域名服務器在緩存中找到相關數(shù)據(jù)的話，它會立即再建立一個連接，將網(wǎng)絡地址返回給解析器。關于域名服務器，我們需要明白的關鍵一點是。它只是一臺域名服務器，需要其它服務器提供官方的信息。

5.如果沒有找到的話，我的互聯(lián)網(wǎng)服務提供商的域名服務器將連接官方的域名服務器查詢techrepublic.com的網(wǎng)絡地址。在這里解釋一下，由字母組成的netsecurity.51cto.com有三個部分。在官方域名服務器進行查詢的時間，首先是Com，接著是51cto，最后是netsecurity。

6.首先，我的互聯(lián)網(wǎng)服務提供商的域名服務器將查詢根域名服務器（官方的.com、 .net等）。根域名服務器將向我的互聯(lián)網(wǎng)服務提供商的域名服務器返回.com域名服務器的信息。

7.接下來，我的互聯(lián)網(wǎng)服務提供商的域名服務器將查詢.com域名服務器（.com域名的官方域名服務器）中techrepublic.com的網(wǎng)絡地址。.com域名服務器就可以將實際的網(wǎng)絡地址發(fā)送給我的互聯(lián)網(wǎng)服務提供商的域名服務器。

8.現(xiàn)在我的互聯(lián)網(wǎng)服務提供商的域名服務器就可以查詢51cto.com域名服務器上netsecurity.51cto.com的網(wǎng)絡地址了。最后，我的互聯(lián)網(wǎng)服務提供商的域名服務器將找到的網(wǎng)絡地址發(fā)給我的計算機上的解析器，就可以建立連接了。

9.一旦連接建立，網(wǎng)絡服務器就會將指定的網(wǎng)頁發(fā)送到我的計算機上，并顯示在網(wǎng)絡瀏覽器中。

為了獲得網(wǎng)站的網(wǎng)絡地址看起來好象要耗費大量反復的工作。但值得慶幸的是，由于域名系統(tǒng)協(xié)議包含了多項功能，所以這些工作只需要幾毫秒就可以完成。我想對這些功能進行一下快速概要的說明，因為它們和討論的域名系統(tǒng)缺陷有很重要的關系。

緩存

為了減少查詢的次數(shù)，域名系統(tǒng)使用了緩存。舉例來說，我的互聯(lián)網(wǎng)服務提供商的域名服務器可能已經(jīng)有最近和.com域名服務器查詢的結果。這樣的話，我的互聯(lián)網(wǎng)服務提供商的域名服務器就可以將這些信息保存在專門分割出來的一塊緩存區(qū)域中。如果一個網(wǎng)站受到歡迎經(jīng)常被訪問，對于我的互聯(lián)網(wǎng)服務提供商的域名服務器來說，比較好的辦法是將網(wǎng)站的網(wǎng)絡地址保存在緩存中。

生存期（TTL）

如果TechRepublic網(wǎng)站的技術部門決定改變netsecurity.51cto.com網(wǎng)站的網(wǎng)絡地址。在這種情況下，如何保證世界各地的域名服務器盡快得到netsecurity.51cto.com的新網(wǎng)絡地址？這個時間，緩存中的一個叫做生存期（TTL）的部分就起作用了。生存期可以控制服務器更新緩存中的轉換表的時間。這樣可以保證新的信息被及時加入，以保證域名系統(tǒng)信息的準確性。

“越權”

“越權”是指不涉及到原始域名系統(tǒng)查詢的其它信息。舉例來說，一個互聯(lián)網(wǎng)服務提供商的域名服務器要求提供netsecurity.51cto.com的信息，結果返回的是net.51cto.com的信息。這個信息就是越權。信息越權在早期版本的域名系統(tǒng)中出現(xiàn)過，但現(xiàn)在已經(jīng)不是問題了。在這里提到是因為它涉及到卡明斯基域名系統(tǒng)錯誤的討論。

現(xiàn)在我們對域名系統(tǒng)查詢原理有了認識，也了解了相關的內容，不清楚的地方已經(jīng)給予了解釋。下面，我們就來了解一下域名系統(tǒng)的簡單歷史。

標簽： dns 安全 電子郵件 服務器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)服務 網(wǎng)絡 網(wǎng)絡安全 網(wǎng)絡安全產(chǎn)品 網(wǎng)絡服務器 域名 域名系統(tǒng)

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。