在最近的一篇文章“域名系統(tǒng)：痛苦的回憶是多么重要”，我曾經(jīng)提到丹·卡明斯基（網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)提供商IOActive和Doxpara的測試總監(jiān)）發(fā)現(xiàn)的這個(gè)問題。在前段時(shí)間舉行的黑帽2008年會(huì)上，卡明斯基終于披露了發(fā)現(xiàn)的缺陷的細(xì)節(jié)。這個(gè)設(shè)計(jì)上的缺陷，導(dǎo)致域名服務(wù)器很容易受到緩存攻擊的威脅。為了真正了解這個(gè)缺陷的嚴(yán)重程度，我們需要從域名系統(tǒng)的查詢原理開始了解。

域名系統(tǒng)（DNS）

人類很容易記住由FQDN等字母組成的名字，而象計(jì)算機(jī)一類的數(shù)字機(jī)器則使用數(shù)字（網(wǎng)絡(luò)地址）進(jìn)行存儲(chǔ)。域名系統(tǒng)就象兩者之間進(jìn)行交流的橋梁一樣，讓我們在網(wǎng)絡(luò)瀏覽器中輸入網(wǎng)絡(luò)地址或者電子郵件地址而不是一個(gè)隱藏的數(shù)字。舉例來說，如果要訪問netsecurity.51cto.com網(wǎng)站的時(shí)間，可以利用我的網(wǎng)絡(luò)瀏覽器進(jìn)行下列操作步驟以達(dá)到目的：

1.在網(wǎng)絡(luò)瀏覽器中輸入netsecurity.51cto.com。

2.網(wǎng)絡(luò)瀏覽器要求解析器（將FQDN之類的字母信息轉(zhuǎn)換為數(shù)字網(wǎng)絡(luò)地址的域名系統(tǒng)后臺(tái)客戶端應(yīng)用）將netsecurity.51cto.com轉(zhuǎn)換為一個(gè)網(wǎng)絡(luò)地址（數(shù)字形式）。

3.解析器會(huì)首先檢查系統(tǒng)的主機(jī)文件和本地緩存，看看是否有存在可用的字母信息轉(zhuǎn)換為數(shù)字網(wǎng)絡(luò)地址的組合。如果存在的話，解析器將通過網(wǎng)絡(luò)地址進(jìn)行連接。如果沒有的話，解析器將連接我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器，要求它提供netsecurity.51cto.com的網(wǎng)絡(luò)地址。

4.如果互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器在緩存中找到相關(guān)數(shù)據(jù)的話，它會(huì)立即再建立一個(gè)連接，將網(wǎng)絡(luò)地址返回給解析器。關(guān)于域名服務(wù)器，我們需要明白的關(guān)鍵一點(diǎn)是。它只是一臺(tái)域名服務(wù)器，需要其它服務(wù)器提供官方的信息。

5.如果沒有找到的話，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器將連接官方的域名服務(wù)器查詢techrepublic.com的網(wǎng)絡(luò)地址。在這里解釋一下，由字母組成的netsecurity.51cto.com有三個(gè)部分。在官方域名服務(wù)器進(jìn)行查詢的時(shí)間，首先是Com，接著是51cto，最后是netsecurity。

6.首先，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器將查詢根域名服務(wù)器（官方的.com、 .net等）。根域名服務(wù)器將向我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器返回.com域名服務(wù)器的信息。

7.接下來，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器將查詢.com域名服務(wù)器（.com域名的官方域名服務(wù)器）中techrepublic.com的網(wǎng)絡(luò)地址。.com域名服務(wù)器就可以將實(shí)際的網(wǎng)絡(luò)地址發(fā)送給我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器。

8.現(xiàn)在我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器就可以查詢51cto.com域名服務(wù)器上netsecurity.51cto.com的網(wǎng)絡(luò)地址了。最后，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器將找到的網(wǎng)絡(luò)地址發(fā)給我的計(jì)算機(jī)上的解析器，就可以建立連接了。

9.一旦連接建立，網(wǎng)絡(luò)服務(wù)器就會(huì)將指定的網(wǎng)頁發(fā)送到我的計(jì)算機(jī)上，并顯示在網(wǎng)絡(luò)瀏覽器中。

為了獲得網(wǎng)站的網(wǎng)絡(luò)地址看起來好象要耗費(fèi)大量反復(fù)的工作。但值得慶幸的是，由于域名系統(tǒng)協(xié)議包含了多項(xiàng)功能，所以這些工作只需要幾毫秒就可以完成。我想對這些功能進(jìn)行一下快速概要的說明，因?yàn)樗鼈兒陀懻摰挠蛎�系統(tǒng)缺陷有很重要的關(guān)系。

緩存

為了減少查詢的次數(shù)，域名系統(tǒng)使用了緩存。舉例來說，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器可能已經(jīng)有最近和.com域名服務(wù)器查詢的結(jié)果。這樣的話，我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器就可以將這些信息保存在專門分割出來的一塊緩存區(qū)域中。如果一個(gè)網(wǎng)站受到歡迎經(jīng)常被訪問，對于我的互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器來說，比較好的辦法是將網(wǎng)站的網(wǎng)絡(luò)地址保存在緩存中。

生存期（TTL）

如果TechRepublic網(wǎng)站的技術(shù)部門決定改變netsecurity.51cto.com網(wǎng)站的網(wǎng)絡(luò)地址。在這種情況下，如何保證世界各地的域名服務(wù)器盡快得到netsecurity.51cto.com的新網(wǎng)絡(luò)地址？這個(gè)時(shí)間，緩存中的一個(gè)叫做生存期（TTL）的部分就起作用了。生存期可以控制服務(wù)器更新緩存中的轉(zhuǎn)換表的時(shí)間。這樣可以保證新的信息被及時(shí)加入，以保證域名系統(tǒng)信息的準(zhǔn)確性。

“越權(quán)”

“越權(quán)”是指不涉及到原始域名系統(tǒng)查詢的其它信息。舉例來說，一個(gè)互聯(lián)網(wǎng)服務(wù)提供商的域名服務(wù)器要求提供netsecurity.51cto.com的信息，結(jié)果返回的是net.51cto.com的信息。這個(gè)信息就是越權(quán)。信息越權(quán)在早期版本的域名系統(tǒng)中出現(xiàn)過，但現(xiàn)在已經(jīng)不是問題了。在這里提到是因?yàn)樗�涉及到卡明斯基域名系統(tǒng)錯(cuò)誤的討論。

現(xiàn)在我們對域名系統(tǒng)查詢原理有了認(rèn)識(shí)，也了解了相關(guān)的內(nèi)容，不清楚的地方已經(jīng)給予了解釋。下面，我們就來了解一下域名系統(tǒng)的簡單歷史。

標(biāo)簽： dns 安全 電子郵件 服務(wù)器 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)服務(wù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全產(chǎn)品 網(wǎng)絡(luò)服務(wù)器 域名 域名系統(tǒng)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。