（计算机软件与理论专业论文）访问控制和域名过滤技术在国税系统中的应用研究.pdf

访问控制和域名过滤技术践国税系统中的成用研究 摘要 访阍控制作为网络安全防范和保护瓣主要技术，主要任务是傈 正网络资源不 被非法访问和使用。它是保证网络安全的核心策略之，也是信息囊全技术的熏 要组成部分。域名系统以地址解析为主婺功能，已经经历了2 0 多年的发展，同 辩还在不断笈蔗并扩充耨的功能。 国税系统的网络是一个典型的i n t r a n e t 架构，备级网络通过路由器互连， 每一级网络中都有一些服务器彝很多王俘站，荠且提供了域名解折服务以及其l 电 办公应用服务。由于整令网络系统结输大、层次多、发展快，诗算橇数量庞大，陵 绝大多数安装的都是w i n d o w s 操作系统，因此随着网络建设的不断推进，逐渐出 域了一些闯题。其中很突出的一个弼题就是网络系统中囊缀多由于无效或非法域 名查询雩l 起的绽圾流量，它们往往会弓| 越阏络堵塞，降低网络使丽效率，严重时 甚至影响工作。 本文以访阻控摹据g 域名蓉统为基础，结合国残系统嬲络建设过程中毙现的一 些闻题，仔鲡磺究分丰斤了包过滤技术和域名过滤技术酾功能特点，并将这两种技 术结合利用到实际中去，提出了一个完熬的解决方案。方面在c i s c o 路由器和 b a y 路由器中实现基于包过滤豹访闽控制功能，另一方瑟分裂在慕咫了w i n d o w s 耱u n i x 搡作系统的d n s 服务器中实现了基于条件转发的域名过滤功能。另外在 应用研究中发现了微软d n s 服务器设置中的一个漏洞并经过分析测试找到了解 决办法。通过程各级网络系统中应黑该躲决方案，有效减少了网络中帮域名查询 霄关的垃圾流蹙，显著掇麓了网络使用效率和工 乍效率。 在现有的条件转发基础上，本文又做了进一步的研究，提出了域名过滤器的 裰念，著给戡了敬造爱鲍域名辨援漉稷耱避滤器函数算法及耪步懿磺竞结果，为 扩充和完善d n g 服务在域名过滤方面的功能打下基础。 关键词：钯过滤访问羧制条件转发蠛名过滤潞 访问控制和域名过滤拽术在国税系统中的应用研究 a b s t r a c t t h em a i np u r p o s eo fa c c e s sc o n t r o l ，am a j o rt e c h n i q u eo fn e t w o r k s e c u r i t yp r e v e n t i o na n dp r o t e c t i o n ，i s t os a f e g u a r dn e t w o r kr e s o u r c e s f r o mb e i n gi l l e g a l l yv i s i t e da n du s e d 。t h ea c c e s sc o n t r o li so n eo ft h e c o r es t r a t e g i e so ft h en e t w o r ks e c u r i t y ，a sw e l la sam a j o rc o m p o n e n to f i n f o r m a t i o ns a f e t yt e c h n 0 1 0 9 y 。t h em a j o rf u n c t i o no fad o m a i nn a m es y s t e m i st or e s o l y et h eu r la d d r e s s ，w h i c hh a sb e e nd e v e l o p e df o rm o r et h a n2 0 y e a r s ，a n di ss t i l ld e v e l o p i n ga n de x p l o r i n gn e wf u n c t i o n s 。 1 i h en e t w o r ko ft h en a t i o n a lt a x e ss y s t e mi sat y p i c a li n t r a n e t s t r u c t u r e n e t w o r k sa td i f f e r e n tl e v e sa r ec o n n e c t e dw i t hr o u t e r s 鬻i t h i ne a c hl e v e lo fn e t w o r k t h e r ea r es o m es e v e r sa n dw o r ks t a t i o n s ， a n dp r o v i d et h es e r v i c e so fd o m a i nn a m er e s 0 1 v i n ga n do t h e ro f f i c e a p p i i c a t i o n s t h el a r g es t r u c t u r e ，m u l t i p l el e v e l s ，r a p i dd e v e l o p m e n t ， h u g en u m b e ro fc o m p u t e r s ，a sw e l la st h ew i n d o w so p e r a t i o ns y s t e m i n s t a t l e di nm o s to fc o m p u t e r s ，c a u s es o m ep r o b l e m sg r a d u a l l y ，w i t ht h e c e n t i n u o u sd e v e l o p m e n to fn e t w o r kc o n s t r u c t i o n o n eo ft h ep r o m i n e n t p r o b l e m si st h ej u n kf l o wc a u s e db yt h ea c c e s st oi n v a l l do ri1l e g a ld o m a i n n a m ei nt h en e t w o r ks y s t e m t h e s ea c c e s s e sa l w a y sr e s u l ti nt h en e t w o r k j a m ，w h i c hd e c r e a s e st h ee f f i c i e n c yo fn e t w o r ka p p l i c a t i o n ，a n de v e nw o r s e c o n s t r a i n sn o r m a lw o r k 。 b a s e do i lt h ea c c e s sc o n t r o la n dd o m a i ns y s t e ma n di n t e g r a t e dw i t h p r o b l e m si nt h ed e v e l o p m e n to fn a t i o n a lt a x e sn e t w o r ks y s t e m ，t h i sa r t i c l e s t u d i e sa n da n a l y z e st h ef u n c t i o n a lc h a r a c t e r i s t i c so fp a c k a g ef i l t e ra n d d o m a i nn a m ef i l t e rt e c h n i q u e si nd e t a i l ，a n da p p i i e st h ec o m b i n a t i o no f t h e s et w ot e c h n i q u e st op r o p o s e sac o m p r e h e n s i v ep l a ni np r a c t i c e 0 no n e b a n d ，a c c e s sc o n t r o lf u n c t i o nb a s e do np a c k a g ef i l t e rw a sa c h i e v e di n c i s c oa n db a yr e u t e r s o nt h eo t h e rh a n d ，d o m a i nn a m ef i l t e rf u n c t i o nb a s e d o nc o n d i t i o n a lf o r w a r d i n gw a sa c c o m p l i s h e di nt h ed n ss e r v e r sa p p l i e d w i n d o w sa n du n i xo p e r a t i o ns y s t e m s i na d d i t i o n ，ah o l ei nt h em i c r o s o f t d n ss e r v e rs e t u pw a sf o u n df r o ma p p i i c a t i o nr e s e a r c h e s as o l u t i o nw a s s u g g e s t e da f t e ra n a l y s e sa n dt e s t s t h ea p p l i c a t i o no ft h i sc o m p r e h e n s i v e p l a na tv a r i o u sl e v e l so fn e t w o r ke f f e c t i v e l yd e c r e a s e dt h ej u n kf l o w r e l a t e dt ot h ed o m a i nn a m es e a r c h e s ，a n di m p r o v e dt h eu s a g ea n dw o r k e f f i c i e n c yo ft h en e t w o r k t h i sa r t i c l em a k e saf u r t h e rr e s e a r c ho nt h eb a s eo fc o n d i t i o n a l f o r w a r d i n g ，p u t sf o r w a r dac o n c e p to fd o m a i nn a m ef i l t e r ，s h o w su s a r e c o n s t r u c t i v er e s o l v i n gp r o c e s so fd o m a i nn a m e ，p r o g r a m m i n go ff i i t e r f u n e t i o n ，a n dt h er e s u l to fe l e m e n t a r yr e s e a r c h t h a tm a k e sag o o d b a s e m e n tf o re x p a n d i n ga n dp e r f e c t i n gd n ss e r v i c eo nt h ef u n c t i o no f d o m a i nn a i i l ef i l t e r i n g k e y w o r d s ：p a c k a g ef ii t e ri n g ，a o o e s sc e n t r e l 。t e n d i t i o n a if o r w a r d i n g ， d o m a i nn a m ef ；l t e r l i 郑重声明 本人的学位沦文鼹在导师指导下独立撰写并完成的，学位论文没有剽窃、抄 袭等违反学末道德、学术援蓬豹餐投幸亍为，否潮，本天愿意承攘鑫梵产生懿凌 法律责任和法律后果，特此郑重芦f 明。 学位论文储噬狲) 椰弼 2 0 0 5 年5 月2 5 隧 访问控制和域名过滤技术在国税系统中的应用研究 第章绪论 访问控制作为网络安全防范和保护的主骚技术，主要任务是保证网络资源不 羧法饺鬻移谚滔。它楚保迁溺络安全酶核心蒙醛之一一，氇是信惫安全技术酶重 要组成部分。域名系统以地址勰析为主要功能，经历了2 0 多年发展已经相当成 熟，同时还在不断发展并扩充新的功能。本文将结合访问控制和城名过滤的理沦 基爨磷究遮两舞技术在瀚筏系绞网络中静应爝。 。 营景耘意义 经过金魏一麓褰二期王程嚣，我餐国聪系统懿睫络建设褥到了避步弱魏强 和提高，信息基础设施建设不断完善，信息系统税收业务不断发展。目前己经建 成了总局一省局一地市崩一县隧局税务所的五缀i n t r a n e t 网络结构，网络带 宽不鞭扩大，霹终功戆薹l 蓥丰鬻。善瓣税收效务系绞及办公系统翅金裁二 翟、征 收管理系统、门户网站、电子税源档案系统、公文处理系统、人礴系统、教育系 统、行政管理系统等等都通过阐络运干亍，将来还要进一步完善电子税局，开发网 土 嚣浚、 p 毫话、视频会谈等增篷应攘。可以谥，隧着信息毒乏建浚熬缴藤，嘲 络与信息系统己成为整个国税系统日常工作的重要组成部分，网络的依托作用越 来越大。 餐是，隧羞爨络建设豹不鼯发震，耨静麓遂毽农不叛产生。鞭本文将要讨论 的d n s 垃圾流量为例。目前，国税系统内部的d n s 服务器是分级设置的，从下至 上分别为县区级、地市级、省级服务器和总局的根服务器。根据我们的建设目标 帮缀一趣翔，宅稍蹩受责盈只熊解橇系统网络痰部豹蠛名，这些躐名郡怒按照麓 划分级进行规范设置。刚开始的时候查询解析都很撼常，但是由于后来嚣地市的 网络建设具体情况因地制宜有所变化，所以难免有些对外部地址的域名解析请求 遣发送裂逮蹙夔务器上，造残没骞鍪要酌垃圾流量。特翔警这些流量占劐一定阮 例的时候，就对我们的网络产生影响，引起网络堵塞甚至瘫痪，馒日常的业务无 法正常运行。例如随着因特网的飞速发展以及相关管理制度没有及时跟一t ，很多 圭篷枣都螽行接入了因特爨甚至帮将两个网络连接在一超，形成一个缀不规范稽对 混乱的e x t r a n e t 网络结构。后寐为了勰强管理、确保安全，我钠在全销范围内 游瓣控制和城名过滤技宋在莺筏系统孛瓣盔蔫磷究 进行了照查岛纠和检焱工 乍，要求必须姆内外网物理隔离或单独设置上因特网麴 专线，藤壁一台计算搬不允许测蹙调羧霹线豹方式巍睦分别磁个网络。经过一番 整涂压，虽然蟪况毒艨改善，瞧还熄瓷掇当一部分客户裁峦予嵇秽骧圜鳃设蓑曩i 当、人为因素、系统嶷动更瓤、病毒库更蓑、广告软l 牛、聊天软传等试墨从瞧网 涛阏因姆嘲。这糖谤潮不霹熊戍劈，毽是只要有域名壅黧请求发生，郑么域名孵 板这个道程还是要进行。可想露知英续累楚自自地滚费了网络带宽，瓣魏了i ) n s 服务器的受穆，降低了工乍效率。 5 3 乡i - 禳摆相关酌文献讶究“3 ，嗣络上有裙当勰眈率豹不正常d n s 查询( b o g u s d n sq u e r y ) ，主要是幽使用m s - w i m o w s 平台所造成“。燕子以上原因，如何实 现访问控制和域岛过滤，让d n s 服务器有限制、商逸择、商针对饯地邀幸亍域名鳃 析，以及如俺有效地解决d n s 垃圾漉最过大对工作造成的影响这个课题摆在我们 面前。如果能找到一个有效的解决方案，从技术上来完全彻底解决这个问题，那 么对我们建设一个干净麓效稳定的网终系统大鸯镲助。藤且这个阕题在采熙囊圭 域名且规模较大的i n t r a n e t 刚络环境中普遍存在，因此对这魑嘲络系统的管理 员来说也有定的借舔意义。 。2 蠢拣鞠主要肉骞 1 2 1 访问控制和域名系统的研究现状 国内外的学卷对访问控制謦域名系统的研究已缀奔了二十多年的发展，磷究 者从各个方俪提出了许多理论方法和实际应用。例如p a u la l b i t z 幂c r i c k e tl i u 对d n s 以及b i n d 的理论研究”。，c r i c k e tl i u 对u n i x 环境中的d n s 服务的研究 与应矮h 。，g i l b e r tl i e i d 帮k e n th u n d l e y 等人撵出的访滔控麓安全建漫数及访 问表配鬣方法朝6 3 翻等等。国内的研究者也进行了许多研究和应用，如薛立新等 人对妻珏键构建金照建部瘸终斡d n s 溅务系统魏磺究湖，蕊滂华j 西撩建孥对 i n t e r n e t 域名系统韵安全探讨与穗麓分静亍嘲描，武毵辉斧 j 角访河控制剜表在路 由器上实现识过滤防火墙的研究应用“，徐磊等人慰校园鄹的安全策略进行的 谚究“等等。当然述蠢其她缀多学卷鞠疆究喾_ 绺了大量戆磅究工接。 访问控制和域名过滤技术在国税系统中的应用研究 1 2 2 论文研究工作的目标和主要内容 本文的目的怒通过对现有访问控制和域名过滤技术的学习研究，结合国税系 缓瀚终建设豹褒竣戮及嚣 l 誊存在豹一麓滴题，在蓦蓍久研究豹基礁土，褥己述瑟释 技术结合应用到国税系统中来，分析问题并解决问题，保证网络的安全可靠畅通 运行，有效地提商网络利用效率，提高国税系统信惠化建设水平，使计算机网络 酶缀季毛 乍熏缮裂爨翔充分鲍发捧。 研究工作的主要内容如下： ( 1 ) 在访问控制和域名系统理论知识的熬础上，结合圈税系统网络建设中出 瑗静d n s 楚圾流豢遵太兹穗题，分橱萋舞究网络系统安全餮狡荠掇爨解决鞫题的大 体结构框架。 ( 2 ) 在解决框架的基础上，针对实际网络环境中不同的路由器产品( c l s c o 和 b a y ) ，维舍包过滤技泰，分剩实现省辫、趣帮嚣和凝医嚣三缀路纛访融腔翩静具 体应用。 ( 3 ) 在解决框架的基础上，针对实际网络环境中不同的操作系统( w i n d o w s 、 l i n u x 帮s o l a r i s ) ，结合域名系统及条传转缎技零，分鬟实现省箱窝遗市渴d n s 服务的具体应用。 ( 4 ) 研究了域名系统中根目录和转发器的设置问题，探索如何将非顺级d n s 鞭务器的掇瑶录为空应鼷到实鼯隧络中去。符疆了 j 盂往d n s 就是为了瘫彳共域名解 析服务的传统思路，利用不允许递归的条件转发和空的根鼹录提示来尽可能地限 制域名解析，从而达到域名过滤的目的。在研究过瑕中发现微软的一个b u g 并给 盘了解决办法。 ( 5 ) 根据上述的解决框架和应用研究，撼燃一个完整的应熙方寨募在全省曝 税系统中实施，解决d n s 垃圾流量问题，达到预期目标。 ( 6 ) 在条件转发器的稿发下，继续对d n s 酌过滤动能避行深入的分析研究， 在传统的d n s 工作原理上提出了域名过滤器的概念。和：j 明条件转发实现闻接过 滤不同，它可以直接有效地对域名进行有选择、有限制、肖针对的过滤，是真正 意义上翁过滤器。随后遂行了一些初步酶研究工作瓴捂改造流程帮算法设诗等 等，游绘出了一个阶段性豹结果，为进一步扩充d n s 服务中域名过滤功熊撂下纂 础。 访秘控裁帮壤名i 童滤鼓零在蓬裁蘩境孛懿瘟霜疆究 1 3 论文组织结构 全文的结构安摊如下 第一章绪论 大致奔绍本文产生的鬻景意义、主蘩晦骞帮缱缓缭构，并提出了本 文要解决什么祥的阐邀。 第二章相关理论基础 主要包搔包过滤技术程域名系统蛉藻本知识，这嫂理论知谈怒霞面 访闻控制和域名过滤技术的基础。 第三章访问控制和域名过滤技术 主要介绍了路由器及谤阀控制列教鲫域名系统中躲转发器及条传 转发器，讲述了它能静功镌特点、工作原理及嶷现方法。 第四章两种技术的结合应用 通过对捌络现状的分辨硬究，形成辫决问题的大致框架，势援姥基 础上提懑了一套完整的应用方案，将上述两种投术结合瘟爝到阚络 系统中去。详细介绍了测试过程和察施步骤，而且最后达到了什么 样的效暴。 第五章域名过滤器研究 在应用方案的基础上掇出了域名过滤器的概念，并进行了初步的研 究，包攒流程改造帮舞法设诗等，为避一步扩充宠善d n s 服务熬域 名过滤功能打下基础。 第六章结论 主要包攮对本文蜘全繇回顾帮嚣要避一步磅究蚋阚题。 一 一 访问控制和域名过滤拽术在国税系统中的应用研究 第二章相关理论基础 2 包过滤 2 ，1 ，t 基本娟谖 我餐知道，粥络上豹数摇帮是以”毽”戈零位遴徭传羧翡，鼗援被分裁成为一 定大小的数据包，而这些数据包中都会含有些特定的头信息，如该包的源地址、 目标地址、t c p u d p 源端口和目标端目等。包过滤技术是种简单、有效的安全 控割技术，瞧是嚣藩为史发爨静藤当完善成熬熬一葶串技术，它透过在网络阉稳互 连接的设备上加载允许、禁止来自某些特定的源地土止、目的地址、t c p 端口号簿 规则，对通过设备的数据包进行榆查，限制数据包进出内部网络n 引。包过滤器 通过读取数据包中的这些信息，结合嗣络管理员所翩定的过滤规爨f j 对这避包律描 判断，采取相应毂接藏。如果发瑷危黢的倍感龟，裁会将冀丢弃，两安全浆包剃 会被转发。使用包过滤技术时，要特别注意一般应用的数据通信大多都是双向的， 在设嚣过滤蕊刚时必须予以考虑。 麓两言之，基予协议特定黪标准，路囊器在其臻因缝够区分毽帮跟露l 毽鲍麓 力叫做包过滤1 4 3 。包过滤技术的优点：简单实用，对用户透明，处理速度快丽恳 易于维护，传输性能高，实现成本较低，能够以较小的代价在一定程度b 保证系 统豹安全。缺点：出于安全控制鼷次在网络层、祷输层，安全控制的力度氇只限 于派地址、翳的地址和端口号，因丽只能进钌较为初步的安全控制，对予恶意懿 地址欺骗、拥塞攻击、内存覆盏攻击或病毒等高层次的攻击手段则无能为力。 2 1 2 工作源理 所有静包过滤设备都戳一个方式工作，当一个数据爸传入时，包过滤器在网 络层瓤传辕鼷鼹掇该包的钰头。通霉，一个数握包瓣网络艨头文传魏绩浚星头文 件包含有如下信息： ( 1 ) 协议类型：指示该包所健用的协议时u d p 、t c p 、i c t i p 或者其它类型。 ( 2 源撼址：豢示发送该包豹规器的! p 逮嬷。 ( 3 ) 目的地址：指示该包将要发往何处。 ( 4 ) 源灞口：发送该包的端口号。 一6 一 访瓣整鞠帮壤毫过滤技式在垂筏系统审齄应用臻襄 ( 5 ) 目的端口：该包发往的机器的端口号。 ( 6 ) 连接状态：撵示连接是否西经建立。这臻惠霹戳建来医分该毽是谨是发 起连接的包。 过滤器根据从包中所读出来的檑关信息在个由管理员所定义的规则液中 查找稳对应夔飙剐。该疆崩表我们舔之为过滤藏粼表，它逶鬻跫一个按一定l 囊序 排列的一个过滤规则的集合，而每一条规则可分为条件和动作两部分，条件里面 可以包括有我们上面所列出的那些包含在头文件中的所有信息，就如我们下丽所 绘出懿这个过滤规剡熬恻子： | 穗议 莓酶连接 源地址目的地址源端口操作 l 类型 端口状态 a n y 1 9 2 1 6 8 。0 x1 9 2 1 6 8 0 1 a n ya n ya n y 允许 | t c p a n y 2 0 2 1 9 7 7 2 9 2 a n y 8 0 a n y 允许 l a n y a n ya n ya n ya n ya n y 禁止 ( 图2 。1 ) 键过滤规刘举剁 只有当一个包符合菜一条规则的所有条件时，过滤器才能对藏执行该条瀚则 静动作。例如我们上蕊激绘出的铡予就是对一个髓8 自受务嚣递磐保护的过滤器浆 规则淡。该w e b 服务器拥有一个内嘲i p 地垃1 9 2 1 6 8 0 1 辩个外网l p 地止 2 0 2 1 9 7 。7 2 9 2 ，我们假设对于所有的内网机器我们都是可以究全信任的。邋样 任何一个袋囊走网上任台极嚣瓣包都将被允许，遮藏是第一祭嫂测。藤联凑对 该w e b 服努器网站晌浏嬷也将被第二条规则魇允谗，即所蠢访阍2 0 2 1 9 7 。7 2 。9 2 的8 0 端翻的数据包都可以通过。最詹一条规剿是条缺省规则，当一个包不符 会翦藤鼯嵇馕况时溉姆羧该鼹则濒禁垂。通常。糍隧下，过滤器豹姣誉嫂剿郄怒壤 包蛊接丢弃。因此，一般最后一祭规煲q 可以忽赂不霹，效果是一样的。 通过建立合适的过滤规则表，管瑕员可以实现备种不同的过滤要求。例如禁 止来蠡菜一l p 载黪蠢连接，或是禁止掰骞对浆一l p 瓣诱弱。鹦多 ，营鬟爨还可 以通避定义蒸于某些特勰端目的溉熨l ，寒规定是否允许建立菜些特定豹连接，蛊l 上述的w e b ( 8 0 端口) 、t e l n e t ( 2 3 端口) 、f t p ( 2 1 端阳) 以及我们在本课题中将臻 雳到戆渊s 5 3 蠛臼) 遴菝。 游鞠控裁苇 l 域名主盎潼技术在莺我系统孛我痊耀硬究 2 2 域铝系统 2 2 ，1 纂本知识 、d n s 概念 诗舞鼹之闻戆t c p i p 逯售蹩_ i 莛过i p 遗址采遂蠡豹。因茂，采惩t c p t r 透 信协议躺计算机都应最少有一个i ) 地址作为他们的唯一标谈。d n s 域名系统 ( d o m a i nn a m es y s t e m ) 是用于注册计算机名及其i p 地址的，是一种组织成域层 次结稳懿诗募极窝鄹终鼹务命名系绫，鼹来通过惩户友簿懿名舔定位 算极酾疆 务。当蠲户在应用程序中输入d n s 名称时，d n s 服务可以将此名称解析为与此名 称相关的其他信息，如i p 地址。当然，输入i p 地址也可以解析出d n s 名称，这 舔为反舞鳞辑。 图2 - 2 显示了d n s 的基本使塌方法，该方法使客户端根据计算祝名称搜索其 i p 地址。 d n s 客户端答案是：2 0 2 1 9 6 6 4 4d n s 服务器 ( 图2 2 ) d n s 基本解析示例 本缓中，客户蟥囊溺d n s 缀务器，谤求圜签竣瓣箨z z a 。e d u c 1 2 为蠛名豹诗 算机的i p 地址。由予d n s 服务器熊够根据其本地数据库应答磷询，因此，服务 器将以觎禽所请求信息的应答回复客户端，即包禽w w w z z u e d u c n 的i p 地址信 惑熬主投( a ) 瓷添记秉。 二、名词解释 ( 1 ) 什么是域名? 城囊楚霜络主凝戆燕要蠡谖，棱当予 j 薅号鹚。每一台圭规都对应个l p 地址，每一个i p 地址由一连串的数字组成，如1 0 1 2 5 1 1 3 4 。人们为了方便记 忆就用域名来代替这然数字来寻找主机，如m y d o m a i n t o m 。域名与i p 地址是一 一对应戆，入霪3 鲶久躐名，秀由域名黢务器菸掇液 p 逡圭壹。 ( 2 ) 什么是a 记录? 贮 诱勰控裁秘蠛毫遘滤按寒在嚣聪系缝孛瓣应臻疆竞 a ( a d d r e s s ) 记录是用来指定主机名( 或域名) 对应的i p 地址记录。 ( 3 ) 嚣么是辩s 记袋? n s ( n a m es e r v e r ，运行d n s 服务的服务器) 记录是域名服务器记录，用来指 定该域名由哪个d n s 服务器来进行解析。它可毗向子域的服务器指出其父域服务 嚣。每令区域必矮京裰域中至多惫含一拿鬻s 瓷源记录疆“。 ( 4 ) 什么是别名记录( c n a n e ) ? 也被称为规范名字。这种记录允许您将多个名字映射到网台计算机。 ( s ) 钟么筵漱记袋? 即邮件交换记录( m a i le x c h a n g e ) ，是域名在d n s 服务器e 的一个泡录，告 知哪台计算机负责为系统处理邮件。 6 ) 嚣么楚指锌记录? 指针记录也称p t r 记录，它是反向地址解析的关键记录。如果已知台主机 的i p 地址，丽要知道共主枫名，就需要从反向地娥( 或直接滴称地址) 到主枧名 靛反囱织褥。 ( 7 ) 什么是根域? 用“”来表示，处于d n s 域名树的顶层。 ( 8 ) 骨么是全戴名? 全域名( f q d n ，f u l l yo u a l i f i e dd o m a i nn a m e ) 是指主机名加上域名盾缀再 以句点结尾构成全路径，列出了序列中所有域成员。如w w w m i c r o s o f t c o m c n 就是一个全域名，驮中趣含静信惠可骧看密主税在城名耱中的位置。 ( 9 ) 什么是t t l 值? t t l 傻全舔是“生存时闻( t i m et ol i v e ) ”，它表示d n s 记录在d n s 暇舞器 缓存中豹有效时闯，超过这令时闽麓这个记录将不存在。 ( 1 0 ) 什么是b i n d ? b i n d ( b e r k e l e yi n t e r n e tn a m ed o m a i n ) 是农u n i x 环境中使用最广泛的域名 鞭务系统，由著名静韬克至丈掌编写。缀来酌敝本一壹在4 8 x 帮4 ，9 。x 左右， 后来一口气跳到8 1 x ，功能有了很大改进并修复丁好多漏洞，现在有8 x 和9 x 两个版本在同时发展。b i n d 系统育三部分组成：溺答查询的n a m e d 守护进瑕，使 用d n s 解析主瓿查谪鹃痒铡程，d n s 的命令孝亍接翻知n s l o o k u p 、d i g 和h o s t 等。 8 访阅控制和域名过滤技术在国税系统中曲应用研究 三、域名服务器 域名服务器实际上怒一个服务器软 牛，运行在指定的视嚣上，完成域名与 i p 遗址的映射和鲻户谶名登记。域名服务器一般分为如下3 类： ( 1 ) 主d n s 服务器( p r i m a r ys e r v e r ) ：该服务器从本地存储莘畦蛰理酸文传中获 得其避域的配置数据。医域的所有变饨，如域或主机的添加都内主t ) n s 完成。主 d n s 怒菜个藏几个特定域所有信怠酌投威信息记录，是遗继数据的初始来源。如 果系统中醚嚣了辅助d n s ，主d n s 还定期地将最新的数据库文件传送绘辚助d n s 。 主域名服务器得到授权来响应对域送妁查询，嗣对宅也是提供所祷域区地址的来 源。主域名服务器肖时氆暑被称为主撤务器。 ( 2 ) 辅助d n s 服务器( s e c o n d a r ys e r v e r ) ：辕助d n s 是主渊s 的备份。它的数 据来灏于主d n s ，主要掇供容错功能罨减轻主d n s 的受担。个d n s 可以是某个 域的主d n s ，同时 靓是其它凡个域的辅助d n s 。辅助d n s 扶主d n s 下载整套域 信息露储到本地磁掇文l 牛中，因此也可以权威地回答对本域傣感的查询。辅助域 名服务器脊时也被称为辅服务器。 ( 3 ) 只缀存服务器( c a c h e - o n l ys e r v e r ) ：只缓窬服务器不古经何区域信息文 l 牛，它把每次从其它的远程服务器获德的d n s 囊询续果放农缓存中，以惑整询耀 同的信息就用它予以回答，数据在缓襻中保罄躺时闻由查询结果数据附带鲍 t t l ( t i m et ol i v e ) 字段决定。缓存蹙多数服务器都有的特性。只缓存服务器专 门恁寒缓存粪询鲍地址，蘧不承掇经键其健戆王俘。它妇没蠢包含任德圭投鲍城 区文 譬，也不从其德d n s 服务器传送数据。缓存域錾服务器也凰蓊查询，但没蒲 授权，不是权威回豁。缓存服务器有时也被称为暗示d n s 服务器( h i n td n s ) “。 静囱服务器和瓿耩黻务器“。个d n s 服务器可以指定另一个服务器为它 静蘸囱鞭势器，臻魏定当它自己不能翻答查谗辩，下一步将把黉询转向侮处。而 从属关系熄使服务器只能依靠它的前向服务器窳回昝壹询，它也不能再成为其他 d n s 联务器的客户机。 静彝虢务器是一台搬定用来娥璁焱询的税嚣( 谶闺2 3 ) 。窖户祝( 也镪括葵 他的d n s 服务器) 在将查询发送到前向服务器愿，簿特一段时闻，如果没露收到 回答，獭再觏己开始查找结果。因为大量的通舔都鬻通过前向服务器，它们将建 立很大的跑缱缓存。如莱要使缓存为缀多瘸户使瘸，可使麓藩囱服务器。 谤瓣控暴l 彝域名道滤箍零在蓦程悉绫孛瓣瘟曩臻究 f 阁所示为前向服务器的处理过程： 1 ) 寒户援自本媳d n s 鞭务器缎瘗套谗。 2 ) 本地d n s 服务器将查询转送到前向服势器，并开始等待。 3 ) 前向服务器向i n t e r n e t 上的一台域名服务器发送查询并等待。 4 ) 麴票没有收到豳答，本圭| 鏊d n s 服务器褥套灞发送至li n t e r n e t 上翁一台壤 名服势器。 d n s 客户艇零遗d n s 驻务器蘩蠢d n s 羧务器 ( 图2 - 3 ) 前向服务器代表其他d n s 服务器进行蠢询 前向服务器和本地d n s 服务器爆终都能得到个响应，并建立缓存。如果 令骞户瓿彝冬域名缀务器毒一令豢定鹣蓊超基务嚣势篮接浚到拿查谗却不貔放 它的本圭嗽城区文件或缓存中得到结果，此域名服务器不会执彳亍递归查询来得剁结 果( 后面将详细介绍递归查询) ，而怒将查询转发到指定的前向服务器。由指定的 l 萋鑫域鬣鞭务器寒遴舒援索窝搀揆签案。懿栗麓囱驻务器不繇返陵答案，羧务器 自身才开始一个递归磷询。 从属服务器是必须使用前向服务器的d n s 服务器( 见图2 - 4 ) 。从属服务器发 送查谗秘缮定夔撬嚣势等赞溷答，麓藏舞鞭务嚣没毒疆浃逮绘懑窭答，遣不是诲 从属服务器自己来解析查询。这种选择可作为一种很有用的安众措施，因为可以 使所有的焱询都只经过由从属服务器到前向服务器的条通路。 蚕2 - 4 雳示豹遘疆翔- g ： 1 ) 客户机向本地d n s 服务器发送查询。 2 ) 本地d n s 服务器将查询前向转发到一台前向服务器，辨开始等待。 3 ) 翡起鞭务器穆粪谗发送蠲i n t e r n e t 上静一套域名簸务器并等特。 一l o 谤瘸控藩l 彝臻名过滤技术在禽撬系统中静瘟嗣骄究 4 ) 如聚没鸯雩寻到结暴，则从属服务器( 郾本地d n s 鼹务器) 爨不会嶷己开娥 鼹掇。 d n s 客户捉 零遮d n s 黢务器懿彝d n s 服务器 ( 鞠2 - 4 ) 从属暇务器努簇等待懿离戳务器酌晦应 基越我钓知遂，铁_ | | 嚣溅务器爱设譬为傻耀蓠辩凝务器豹d n s 激务器，英难一 粒限制楚觚爝服务器只能扶指定的魏急缀务器褥委懑诲结果。 2 ，2 2 工作璨理 一、分组格式 本地主枫只要安装了客户端解橱器，就可以内域名服务器发出对遴端主桃 i p 地址的查询。客户端发送给域名服务器的查询i p 分组的格式包食5 段绩患， 如下图 h e a d e r 头郝债感 q u e s t i o i l s向域名服务器贻携闻 a n s w e r s 回答瘫询的r r a u t h o r it yr e c o r d s 撩囊授投豹r r a d d i t i o n a tr e c o r d s 矮她绩感躲 ( 圈2 - 5 ) i p 分组格式 d n s 消息( 不论是焱溺还是鼹答) 帮毽含些特殊瓣售爨位。1 1 ) 分缓中h e a d e r 段总是存在的，它包含了关于这个分组鹣售惑，瓴拯l p 分缀中鸯鄹足段售怒、 这个分组烂用来查询述是网答、查询的类型( 标准、反定、服务捺状态等等) 、噬 签是孬授投等。 q u e s t i o n s 段龟含3 部分信息：被壹谗熬域霆、壹诲翡类型激发奎溺裁类爨。 谤瓣控毒l 窝壤囊避滤技术在蓦聪袭缝串麴应惩研究 其中的域名实际上可以是主机名，但也和查询的类型有关。如果用户想通过w e b 测蹩器连接到w w w i s i e d u ，霸溪予蘧蛙查谗。诧瓣这一段骢惩字部分应怒主援 名w w w 。i s i e d u ，查询类型应反映为地址或a 记录的代码，类别则应反映为 i n t e r n e t 或i n 类的代码。 其余3 段：a n s w e r s 段、a u t h o r i t y 段裁a d d i t i o n a l 段鲍臻式是一簿懿，各 自包括名字、类型、类别、t t l 、长发( 源数据长度) 以及源数据等几部分。a n s w e r 段的名字、类型、类别部分和a u e s t i o n 段相同。t t l 部分表示收到的记录数据 瓣奄效澈阗，纛添鼗撵应该是实鞲豹强簦。 客户机向本地域名服务器发出凌询，如果域名服务器在缓存中有相应的信 息，而t t l 时间还没有超过，则域名服务器就直接向客户机提供信息。在这种情 凝下，毯签逗酉荠量嚷瘟戆穗阙蒌露妖。懿果返豳豹答寨是没蠢授权夔，弱h e a d e r 段的a a 标志不会被设鬣。举个例子，在w i n d o w s 的d o s 窗口，输入“n s l o o k u p ” 一“s e td e b u g ”一“舞查询的域名”，可以看到报直观的结果，如下图所示。 ( 图2 喝) 麓n s l o o k u p 娄誊解辑缝慕 如暴在域名服务器的缓存中找不到回答，则本地域名服务器就将在域名树中 向根部上溯，向其他域名服务器查询，然后到另一个分支寻找嘲答。在这种情况 下，当零缝域名羧务嚣最终囊客户撬逅圜一令潮答辩，矗矗掾恚设萋为1 ，戬表示 一】2 谤蕊控澍帮城喾过滤技蔗在嚣筏蓉统串熬应曩酶突 回答来自一台授权服务器。 二、查谗的工佟原理 当d n s 客户端需爱查询程序中使用的名称时，它会查询d n $ 服务器采解析该 名称。客户端发送的每条查询消息都包括三条信息：指定的d n s 域名，规定为 完全合辏夔全域名磐o d n ) ；豢定瓣查诲类型，霹蔽据类型撂定资源记录竣蠹捂 定为查询操作的专门类型；d n s 域名的指定类别，如对于w i n d o w s 操作系统中 的d n s 服务器，它始终指定为t n t e r n e t ( i n ) 类别。 铡翅，搔定款名懿是“w w w z z # e d u 。a n ”，霹孬撵定熬查淘粪鍪是逶逶该名穆 搜索地址( a ) 资源记录。将d n s 查询看作客户端向服务器询问的问题，例如：您是 否拥有名为w w w z z u e d u c n 的计算机的a 资源记录? 当客户端收到来自服务器 弱应答辩，它将读取蒡艇译应答弱矗瓷滚记录，获致摄提名拣溺囊夔诗冀撬豹 i p 地址。 d n s 查询过程按两部分进行：名称查询从密户端计算机开始，并由解析程 序靼d n $ 客户鼗务毽疼暹嚣解强。不戆藏圭| 羹黪季厅查运瓣，露凝据需要壹途d n s 服务器来解析名称。下面详细解释遮两个过程。 ( 1 ) 本地解析 务器 主机文件 ( 图2 - 7 ) d n s 查询过程 翔褒滋过程匏鞠戆步骤囊示，渊s 蠛名请袋臻送至d n s 客户端，瞄黉捷瘸本 地缓存储息进行解析。如果可以解析查询的名称，则应答该畿询，该处理究成。 本地解析程序的缓存包括两个来源的名称信息：如果本地配置主机文件 ( 魏h o s t s ) ，确寒鸯该文锌豹锰 莓圭凝名称爨圭| 銎缝豹获羹雪，程d n s 客户驻努瘸动 而一 靴窍 拶蔷一 辱 甲苫 屠 访问控制和域名过滤技术在国税系统中的应用研究 时将预先加载到缓存中。从以前的d n s 查询应答的响应中获取的资源记录，将 被添加至缓存并保留一段时间。 如果此查询与缓存中的项目不匹配，则解析过程继续进行，客户端查询d n s 服务器来解析名称。 ( 2 ) 查询服务器 当d n s 服务器接收到查询时，首先检查它能否根据在本地配置区域中获取的 资源记录信息作出权威性的应答。如果可以则使用该信息来解析查询的名称，否 则服务器检查它能否通过来自先前查询的本地缓存信息来解析该名称，如果可以 则服务器使用该信息应答查询，此次查询完成。 如果无论从缓存还是从区域信息，查询的名称在首选服务器中都未发现匹配 的应答，那么查询过程可继续进行，使用递归来完全解析名称。这需要其他d n s 服务器的支持。在默认情况下，d n s 客户端服务要求服务器，在返回应答前使用 递归过程来代表客户端完全解析名称，并且多数情况下d n s 服务器被默认配置为 支持递归过程。 为了使d n s 服务器正确执行递归过程，首先需要在d n s 域名空间内有关于其 他d n s 服务器的一些有用的联系信息。该信息以根提示的形式提供，它是一张初 始资源记录列表，d n s 服务可利用这些记录定位其他d n s 服务器。根服务器对于 d n s 域名空间树中的根域和顶级域具有绝对控制权。使用根提示查找根服务器， d n s 服务器可完成递归的使用。 例如，当客户端查询单个d n s 服务器时，考虑使用递归过程来定位名称 “w w w z z l l e d u e n ”。在d n s 服务器和客户端首次启动，并且没有本地缓存信息 可帮助解析名称查询。首先，这个d n s 服务器分析全名，并确定它需要知道对顶 级域“c n ”具有权威性控制的服务器的位置。随后，对“c n ”服务器使用迭代查 询，以便获取“e d u c n ”服务器的参考信息。接着，来自“e d u c n ”服务器的参 考性应答传送到“z z u e d u c n ”服务器。最后，因为该服务器包括作为其配置区 域一部分的查询名称，所以它向启动递归的源服务器作出权威性地应答。当源服 务器接收到表明已获得对请求查询的权威性应答的响应时，它将此应答转发给发 出请求的客户端，这样递归查询过程就完成了，整个过程如下图所示。 访问控制和域名过滤技术在国税系统中的应用研究 具他d n s 服务器 ( 图2 - 8 ) 首选服务器代客户端做递归查询 尽管执行递归查询过程可能需要占用大量资源，但对于d n s 服务器来说它仍 然具有一些性能上的优势。例如，在递归过程中，执行递归查询的d n s 服务器， 获得有关d n s 域名称空间的信息。该信息由服务器缓存起来并可再次使用，以便 提高使用此信息或与之匹配的后续查询的应答速度。 三、迭代的工作原理 迭代是在以下情况时d n s 客户端和服务器之间使用的名称解析类型： ( i ) 查询d n s 服务器时客户端没有申请使用递归。 ( 2 ) 客户端申请使用递归过程，但在d n s 服务器上禁用递归。 使用迭代时，d n s