三大類别概括域名系統安全問題

從域名解析過程可以看出，當本地域名伺服器緩存不能直接提供域名對應的ip位址時，解析過程必須經過域名根伺服器或其鏡像伺服器。而所有輔根伺服器及其鏡像需定期從主根伺服器同步更新全球域名資訊。從技術上看，隻需删除主根域名伺服器的相關記錄，使其國家頂級域名失效，即可實作讓一個國家從網際網路上消失。

目前，全球網際網路域名系統中，唯一的主根伺服器設在美國，美國政府授權icann（the internet corporation for assigned names and numbers，網際網路名稱與數字位址配置設定機構）進行控制；12個輔根伺服器中9個設在美國，其他3個分别設在英國、瑞典和日本。由于其他根伺服器及鏡像的域名資訊均複制于主根伺服器，是以美國事實上控制了全球所有國家和地區的域名解析，具備将一個國家從網際網路上“抹去”的能力和條件。

一旦與某國發生沖突，美國在技術上完全可以停止對該國域名的解析，使其網站無法被外界通路。據報道，伊拉克戰争期間，美國終止了伊拉克國家頂級域名。iq的解析[2]；在塔利班政權統治阿富汗時期，美國将阿富汗國家頂級域名。af的管理權授予前流亡政府；2004年4月，由于對頂級域名管理權問題發生分歧，導緻利比亞國家頂級域名。ly癱瘓[4]，利比亞從網際網路上“消失”了3天。

目前針對域名系統的攻擊手段多種多樣，總結起來主要包括以下三類：

一是分布式拒絕服務攻擊（ddos）。由于域名系統協定存在體系開放、無認證、無連接配接和無狀态等特點，使其更易受到分布式拒絕服務攻擊。針對域名系統的分布式拒絕服務攻擊主要采用基于正常域名請求、反彈式、大流量阻塞等三種途徑。

二是dns欺騙攻擊，通過技術手段向緩存域名伺服器注入非法域名解析記錄，當使用者向被攻擊的緩存域名伺服器送出域名請求時，将會傳回攻擊者預先設定的ip位址。

三是域名劫持攻擊[3]，攻擊者控制域名管理密碼和域名管理郵箱後，将該域名的ns紀錄指向到攻擊者可以控制的dns伺服器，然後通過在該dns伺服器上配置相應域名紀錄，使使用者通路該域名時，實際指向攻擊者預先設定的主機。

本文轉自d1net（轉載）