（电路与系统专业论文）dns安全与防护——dns安全系统设计与实施.pdf

d n s 安全与防护 _ d n s 安全系统设计与实施 摘要 随着i n t e r n e t 的飞速发展，电子邮件，电子商务，电子政务等多种 基于互联网的新型技术给人们的生活和工作带来了极大的便利。但 是，同样大量的私人文件和数据在i n t e m e t 的传输带来了安全的隐患。 域名系统( d o m a i nn a m es y s t e m ，简称d n s ) 是i n t e m e t 重要的 组成部分之一，它负责将域名转换为i p 地址，也可以将i p 地址转换 主机名，还可以进行电子邮件路由和提供许多其他服务，是网络应用 实现之必不可少的前提。d n s 采用分布式数据库结构，通过客户端 服务器( c s ) 的方式工作，在服务器端存放域名信息，允许客户端 请求访问所需的数据。近年来，随着i n t e m e t 网络应用和业务的不断 发展，互联网上发生的网络攻击事件目益频繁，d n s 系统也遭受到 了一系列的攻击，导致了i n t e m e t 通信受到严重的影响。在某些严重 情况下导致数据被骗取，造成公司、机构巨大损失。因此，业内越来 越关注d n s 的安全问题。 + 本文首先分析了d n s 系统的发展由来，了解了国内i p 网d n s 系 统的现状，并介绍了网络安全中常用的几种技术；其次，研究了d n s 体系结构和查询解析流程，使得对d n s 的工作原理有总体的了解； 接着，根据实验测试数据找到d n s 遭受攻击的方式，根据目前d n s 系统面临的安全问题，找到d n s 容易遭受攻击的原因。在这些安全 问题的探讨下，本文着重针对不同的d n s 安全问题提出了相应的实 施解决方案，包括b i n d 安全配置，防火墙策略部署等。然后本文详 细阐述了d n s 网络安全管理系统的设计，重点描述了主机性能监测 和集中故障监控的功能实现。最后，展望d n s 安全性能，总结出了 d n s s e c 的优势和不足；以及从漏洞得到启发，将漏洞利用起来，简 单介绍了错误链接导向的业务模式。 本文主要进行了如下几方面的工作： 1 对d n s 工作原理的进行分析； 2 搭建测试环境，进行安全性能的测试； 3 日志文件分析，获取攻击方式； 4 提出d n s 安全问题的解决方案； 北京邮电大学硕士论文 5 d n s 网络安全管理系统的设计与实现； d n s 网络安全管理系统能提高运维人员的工作效率，减少故障发 生，减少管理d n s 服务器需要系统和网络管理员的时间；为高效、 安全的网络环境提供了有力的保障。d n s 要满足未来的网络需求， 特别是在处理能力和安全性能等方面的要求，必须向下一代技术发 展。 关键字：域名系统，网络安全，安全攻击，防火墙，系统设计 北京邮电大学硕士论文 d n ss e c u r 【t ya n dd e f e n c e d n ss e c u r i t ys y s t e md e s i g na n d i m p l e m e n t a t i o n a b s t r a c t w i t ht h ef a s td e v e l o p m e n to fi n t e r n e t i tb r i n g su pl o t so fa d v a n t a g e a n df a c i l i t yi no u rw o r ka n d1 i v i n ge n v i r o n m e n t ，s u c ha se m a i l ， e b u s i n e s sa n de g o v e m m e n t b u tw es h o u l dn o t i c et h a ti th a ss e c u r e h i d d e nt r o u b l eb e c a u s el o t so fp r i v a t ef i l e sa n dd a t aw e r et r a n s p o r t e di n i n t e m e t d n s ( d o m a i nn a m es y s t e m ) i s o n eo ft h em o s t i m p o r t a n t c o m p o n e n to fi n t e r n e ta n dt h ep r e c o n d i t i o no ft h ei m p l e m e n tt ot h e n e t w o r ka p p l i c a t i o n ，w h i c hn o to n l yt a k e sc h a r g eo ft h et r a n s f e rb e t w e e n i p a d d r e s sa n dd o m a i nn a m e b u ta l s ot a k e so nm a i le x c h a n g ea n dl o t so f o t h e rs e r v i c e s d n sa d o p t st h ed i s t r i b u t e dd a t a b a s es t r u c t u r e ，a n dw o r k s 0 1 1t h ec l i e n t s e r v e r ( c s ) w a y , w h i c hs a v e sz o n ei n f o r m a t i o no nt h e s e r v e r , a n da l l o wc l i e n tt or e q u e s tt h en e e d e dd a t a w i t ht h ed e v e l o p m e n t o fi n t e r n e tn e t w o r ka p p l i c a t i o na n db u s i n e s s ，t h en e t w o r ka t t a c ke v e n t s h a v eh a p p e n e dm o r ea n dm o r ef r e q u e n t l yo ni n t e r a c t d n ss y s t e mh a s s u f f e r e df r o mas e r i e so fa t t a c k i tb a d l ye f f e c t e dt h ec o m m u n i c a t i o no f i n t e r n e t i ns o m es e r i o u sc o n d i t i o n ，t h a ta t t a c k e ri n t e r c e p ta n dd e c o d et h e s e c r e td a t at h r o u g hd n ss p o o fb r i n gh u g cl o s st oc o r p o r a t i o no r i n s t i t u t i o n t h e r e f o rm o r ea n dm o r ep e o p l eb e g i nt op a ya r e n t i o nt ot h e s e c u r i t yp r o b l e mo f d n s a tt h eb e g i n n i n g t h ep a p e ra n a l y s e st h eo r i g i na n dp r o c e s so fd n s s y s t e m ，c o m p r e h e n d st h ea c t u a l i t yo fd n ss y s t e mo ft h en a t i o n a li pn e t ， a n di n t r o d u c e st h es e v e r a lc o m m o nt e c h n o l o g ya b o u tn e t w o r ks e c u r i t y a n dt h e nc o m p r e h e n dt h ew o r kt h e o r ys t u d yt h ed n sc o n s t r u c t i o na n d q u e r yp r o c e s so fd n ss y s t e mt h r o u g ha n a l y z i n gt h ed n sc o n s t r u c t i o n a n dq u e r yp r o c e s s e x p a t i a t et h ed n sc o n f i g u r a t i o ni nt h el i n u x 北京邮电大学硕士论文 e x p e r i m e n te n v i r o n m e n ta n dm a k et h ep r e s st e s t i n g t h e nt h r o u g ha s e r i e so fe x p e r i m e n t , t h ep a p e rr e s e a r c hp r e s e n t l yt h ed n ss y s t e mf a c e d t h es e c u r i t yq u e s t i o n s ，a n df i n do u tt h er e a s o n st h a tm a k et h ed n sb e e n a t t a c k e de a s i l y u n d e rt h es e c u r i t yq u e s t i o n sd i s c u s s ，t h ep a p e rs t r e s so n t h ed i f f e r e n td n ss e c u r i t yt ob r i n go u tc o r r e s p o n d i n gs o l u t i o n s ，i n c l u d i n g b i n ds e c u r i t yc o n f i g u a r i o na n di p t a b l e sp o l i c yb r i n g si n t oe f f e c t t h e n t h ep a p e re x p a t i a t e so nt h ed e s i g no fd n sn e t w o r km a n a g e m e n ts e c u r i t y s y s t e m , p a ym o r ea t t e n t i o no nt h ed n sh o s tp e r f o r m a n c ei n s p e c t i o na n d t h ec e n t r a l i z e dt r o u b l em a n a g e rm o d u l e a tl a s t ，p r o s p e c td n ss e c u r i t y p e r f o r m a n c e s u mu pd n s s e ca d v a n t a g ea n dd e f i c i e n c yo fd n s s e c a n dg e tt h ei l l u m i n a t i o no ft h en x d o m a i ng u i d es e r v i c ea c c o r d i n gt ot h e s e c u r eh o l e ，a n db r i e f l yi n t r o d u c et h i ss e r v i c e t h ea r t i c l ed e s c r i b e sf o l l o w i n gp a r t s ： 1 a n a l y s i sd n sw o r kt h e o r y 2 s e t u pt e s t i n ge n v o r n m e n t c a r r yt h r o u g hd n ss e c u r i t y a n d p e r f o r m a n c e t e s t 3 a n a l y s i sl o gf i l et og e tt h ew a yo f d n s a t t a c k 4 b r i n gf o r w a r dt h es o l u t i o no fd n ss e c u r i t yq u e s t i o n s 5 d e s i g na n di m p l e m e n t d n sn e t w o ks e c u r i t ym a n a g e m e n ts y s t e m d n sn e t w o r ks e c u r i t ym a n a g e m e n tn o to n l yh e l po p e r a t o ri m p r o v e w o r ke f f i c i e n c y , r e d u c et r o u b l eh a p p e na n ds h o r t e nt h et i m et h a td n s s e r v e rn e e d e ds y s t e ma n dp e o p l et om a i n t a i n ，b u ta l s oe n s u r et ob u i l da h i g he f f i c i e n ta n d s e c u r en e t w o r ke n v i r o n m e n t i no r d e rt os a t i s f yt h en e x t g e n e r a t i o nn e t w o r kd e v e l o p m e n t ，e s p e c i a l l yt h ed i s p o s a lc a p a b i l i t ya n d s e c u r i t yp e r f o r m a n c e ，d n sn e e d st om a k ep r o g r e s st ot h en e x tg e n e r a t i o n t e c h n o l o g y k e yw o r d s ：d n s ，n e t w o r ks e c u r i t y , n e t w o r k a t t a c k ，i p t a b l e s ，s y s t e m d e s i g n 北京邮电大学硕士论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学 本人签名 导师签名 适用本授权书。 日期： 日期： 趔z ：碰 坞7 牡 北京邮电大学硕士论文 1 1 域名系统发展历史 1 1 1i n t e m e t 简介 第一章引言 2 0 世纪6 0 年代末，美国国防部高级研究计划署，也就是a r p a ( 后来的 d a r p a ) ，开始资助试验性的广域计算机网络，称为a r p a ，它连接了全美重要 的研究机构。建立a r p a n e t 的初衷是使政府机构能够共享昂贵或稀缺的计算资 源。 t c m p ( 传输控制协议i n t e m e t 协议) 是在8 0 年代初发展起来的，并迅速 成为a r p a n e t 的标准主机网络协议，这个网络也由原来的屈指可数的几台主机 发展到数以千计的主机。原来的a r p a n e t 成为基于t c m p 协议的局域网和区域 联合网的主干，被称为i n t e r n e t 。 1 1 2 域名系统的由来和发展历史 d n s 是d o m a i nn a m es y s t e m 的简称，它代表了一系列的t c p i p 协议和服 务，这些协议和服务能够提供给网络用户友好的、分层次的网络名称来访问其它 主机，而不是用那些难于记忆的i p 地址。几乎所有的网络程序和协议在网络通 信中都要用到d n s ，例如w e b ，f i p ，t e i n e t ，或者其它的t c p i p 协议程序。 在i n t e m e t 开始阶段，a r p a n e t 是一个拥有几百台主机的很小很友好的网络。 仅需要一个名为h o s t s t x t 的文件就能容纳所有需要了解的主机信息：它包含 了所有连接到a r p a n e t 的主机名字到地址的映射( n a m e t o a d d r e s sm a p p i n g ) 。 h o s t s t x t 文件是由s r i 的网络信息中心( n e t w o r ki n f o r m a t i o nc e n t e r ，简称 n i c ) 负责维护，并且从一台主机s r i - n i c 上分发到整个网络。a r p a n e t 的管理 员通常是通过电子邮件通知n i c ，同时定期f t p 到s r i - n i c 上获得最新的 h o s t s t ) 玎文件。但是随着a r p a n e t 的增长，这种方法行不通了。每台主机的 变更都会导致h o s t s t x t 的变化，导致所有主机需要到s m ，n i c 上获得更新文 件。当a r p a n e t 采用t c p i p 协议后，网络上的主机爆炸性的增长，出现了下面 的问题： 北京邮电大学硕士论文 1 流量和负载：由于分发文件所引起的网络流量和分发主机的负载使得 s l u n i c 的线路不堪重负。 2 名字冲突：h o s t s t x t 文件必须要保持里面主机名字的唯一性，但是 无法限制网络上的主机用了相同的名字，这就破坏了网络上的正常应用服务。 3 一致性：在不断扩张的网络上维持h o s t s t x t 文件的一致性变得越来 越困难。新的文件还没有到达a r p a n e t 的边缘时，另一端又添加了新的主机或 是主机更改了地址。a r p a n e t 的管理者们开始研究新的系统，以取代现有的 h o s t s t x t 模式。1 9 8 4 年，p a u lm o c k a p e t r i s 教授发布了d n s 的管理规范，设 计了d n s 系统来解决这些问题。 1 1 3 国内i p 网d n s 现状 随着i p 网络业务和应用的飞速发展，网络安全逐渐成为影响网络拓展、发 展的关键问题。随着网络的发展，i p 网承载的用户越来越多，并且还推出了很 多以内容服务为核心的增值服务品牌。i p 网价值体现顺序依次是安全、质量、 多样性，安全是所有价值的基础，没有安全保证，整个价值链必将颠覆。没有客 户愿意租用一个没有安全保障的专线。缺乏安全保证的p 网对运营商来说将是 致命的： 1 业务收入损失：网络故障频繁发生，单台业务设备故障影响面太大。 2 运维费用急剧增加：网络故障难以排除，运维人员疲于奔命。 3 客户投诉频频：网速无故变慢，经常断线，甚至无法上网。 4 品牌形象下降：网络很差，带宽很低，服务让人心寒等。 5 增量不增收：平均每用户流量、时长不断攀升，a r p u 值却不断降低。 互联网上发生的网络攻击事件日益频繁，对于骨干层、汇聚层的d n s 设备 来说，d o s 攻击产生大量的攻击流量，这些攻击流量不仅占用大量的网络资源， 给运营商带来巨大的直接损失；并且严重影响d n s 网络服务，对运营商的市场 信誉带来不好的影响，其间接损失更难以计算。域名服务是口网最基本的网络 服务之一，几乎每个用户的每次访问都会使用到域名解析，所以，域名解析的准 确程度和响应速度对整个网络的服务质量的影响非常重要。同时，安全性、可靠 性的欠缺最后将导致大量的用户退网，网络建设的成本无法回收，运营商损失巨 大。 目前，国内市场的d n s 服务器情况不完全统计( 部分电信、网通和联通没有 详细数据，中国移动c m n e t 也没有统计数据1 ，从2 0 0 5 数量和最近两年内的发 展需求如表1 1 ： 北京邮电大学硕士论文 表1 - 1 各运营商拥有d n s 系统统计 2 0 0 5t o t a ld n s2 0 0 6d n sg r o w t h2 0 0 7d n sg r o w t h c h i n at e l e c o ml s o7 27 2 c h i n an e t c o r n 6 8 2 62 6 c h i mu l l i c o m 8 62 82 8 c h i n am o b i l e ooo t o t a l3 3 41 2 61 2 6 到了8 0 年代中期，d n s 才真正发展起来，目前在全球所采用的d n s 大多 都是由i s c ( i n t e r n e ts o f t w a r ec o n s o r t i u m ) 发布的b i n d ( b e r k e l e yi n t e m e tn a m e d o m a i n ) 。但是由于先天性的原因，b i n d 系统有着很多无法克服的问题。 1 2 网络安全 1 2 1 网络安全的概念 随着i t 市场以及i n t e r n e t 的飞速发展，个人以及企业将越来越多的商务活动 放到i n t e m e t 网上进行，如何保护网罗数据的机密性，完整性和真实性，避免其 他人或者商业对手的窃听，冒充，篡改，非授权访问及破坏成为人们越来越关注 的焦点。因此网络安全的问题被人们越来越重视。 网络安全是一个很广泛的概念，但从其本质上来说，网络安全就是信息安全， 是指网络系统的硬件、软件及其系统中的数据受到保护，不会由于偶然的或是恶 意的原因而遭到破坏、更改、泄漏，系统能够连续可靠正常地运行，网络服务不 中断。广义上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性 和可控性等相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容 既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术 方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管 理。 1 2 2 网络安全主要实现的目标 通俗地说，网络信息安全与保密主要是指保护网络信息系统，使其没有危险、 不受威胁、不出事故。从技术角度来说，网络信息安全与保密的目标主要表现在 系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等方面。 北京邮电大学硕士论文 1 3 网络安全技术 1 数据加密技术是保障信息安全最基本、最核心的技术措施和理论基础， 由加密算法来具体实施，可以以较小的代价获得较大的安全保护。 2 鉴别技术主要是在信息交换过程中防止信息被非法伪造、篡改和假冒的 一种技术。如果黑客进入计算机系统，发布虚假信息或更改真实的信息，通过鉴 别技术即可作出判断。 3 网络控制技术：( a ) 防火墙技术：“防火墙”是在两个网络之间实行控制 策略( i p t a b l e s ) 的系统，通常安装在单独的计算机上，与网络的其余部份分隔 开，在内部网与i n t e r n e t 之间建立起一个安全屏障，以保护私有网络资源，使其 免遭非法使用者的侵入。( b ) 审计跟踪技术：审计跟踪技术是对使用何种系统 资源、使用时间、如何使用以及由哪个用户使用等问题提供一个完备的记录，以 备非法事件发生后能够有效的追查，是对系统安全实施有效监控的一种重要手 段。 4 入侵检测就是通过从计算机网络或是计算机系统中的若干个关键点收集 信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到 袭击的迹象。 5 信息防漏主要采用两方面的防护技术：一是抑止和屏蔽电磁泄漏；二是 干扰性防护措施，即在系统工作的同时施放伪噪声，掩盖系统的工作频率和信息 特征，使外界无法探测到信息内容。 1 4 本课题研究的意义 上面已经提到网络安全的研究范围非常广泛，完全的研究是不现实的。选择 域名系统( d n s ) 作为研究对象，在于域名系统( d n s ) 应用广泛而且非常重要， 但是到目前为止，域名系统( d n s ) 可以说是i n t e r n e t 上最容易被攻击的系统， 它设计上的缺陷以及人们的重视程度不够导致了这一结果。 因此本文着重于讨论d n s 安全性能问题，然后综合其网络系统结构提出了 比较全面的d n s 系统安全漏洞的解决实施方案以及改进意见，并且设计开发了 d n s 网络安全管理系统，可以通过w e b 方式对d n s 服务器进行故障监控以及性 能的监测。 本文的具体内容包括以下几个方面： 1 d n s 体系结构以及工作原理的探讨。论文详细分析了d n s 的层次结构， 介绍了d n s 的关键概念，阐述了其工作原理，这些是讨论d n s 安全问题的基础。 北京邮电大学硕士论文 在这里我还简要介绍了有关l i n u x 服务器上d n s 的配置，并在实验环境中对配 置的b i n d 软件作离线的压力测试。 2 d n s 现阶段的安全问题探讨。讨论了目前d n s 系统从自身体系结构存 在的安全问题，b i n d 软件设计的漏洞，到d n s 服务器几种典型的受攻击方式， 通过实例和日志数据呈现了d n s 系统中的部分安全问题。 3 d n s 安全问题的防范策略的研究。针对目前d n s 安全问题的特点出发， 分析了d n s s e c 的工作原理以及相应的实施；并运用b i n d 软件自身的安全配 置属性，解决了区域传输和动态更新等安全问题；还从d n s 服务器系统自身提 出了较为安全的防火墙策略，比较全面的提出了解决d n s 安全问题的解决方案。 4 d n s 网络管理系统的设计与实现。d n s 网络管理系统能为网络运营商提 供集中式、图形化的w e b 监控管理。本文在这一部分中提出了d n s 网络安全管 理系统的功能需求与设计，并重点介绍了主机性能监测模块和集中故障管理模块 的功能实现，这两大模块能帮助运维人员高效、便捷的进行d n s 系统的安全监 测，更快的排除安全故障。 5 个人对d n s 安全性能的展望：d n s s e c 的不足以及漏洞的利用。 1 5 本章小结 本章主要从总体上描述了d n s 的由来以及发展历史，描述了目前国内i p 网 d n s 的现状，简要描述了网络安全的概念以及网络安全技术主要实现的目标， 分析了在目前技术下，网络安全的主要技术。最后，提出了本文要研究的方向是 d n s 的安全防护，描述了对d n s 安全进行研究的必要性以及如何解决d n s 安 全的问题。 北京邮电大学硕士论文 2 1 d n s 体系结构 第二章d n s 体系结构及工作配置 d n s ( d o m a i nn a m es y s t e m ) 中包含了用来按照一种分层结构定义i n t c m e t 上使用的主机名字的语法，还有名字的授权规则，以及为了定义名字和i p 地址 的对应，系统需要进行的所有设置。实际上，d n s 是一个分布式数据库，它允 许整个数据库的各个部分进行本地控制；同时整个网络也能通过客户服务器方式 访问每个部分的数据，借助备份和缓存机制，d n s 系统将变得更强壮和拥有足 够的性能。d n s 数据库的结构下图所示，就象一棵倒挂着的树，如图2 一l 所示。 鲞 s u p p o r t c i s e o ，c o r n 图2 - 1d n s 体系结构树状结构 d n s 的分布式数据库是以域名为索引的，每个域名实际上就是一棵很大的 逆向树中的路径，这棵逆向树称为域名空间( d o m a i n n a m e s p a c e ) 。如图2 - i 所 示，树的最大深度不得超过1 2 7 层，树中每个节点都有一个可以长达6 3 个字符 的文本标号。这颗树的树根是没有任何标识的特殊结点。命名标识中一律不区分 大小写。命名树上任何一个结点的域名就是将从该结点到最高层的域名串连起 来，中间使用一个点“”分隔这些域名。域名树中的每个结点必须有一个唯一 的域名，但域名树中的不同结点可使用相同的标识。 以“”结尾的域名称为绝对域名或完全合格的域名f q d n ( f u l lq u a l i f i e d d o m a i nn a m e ) ，例如s u p p o r t c i s c o g o r e 。如果一个域名不以点结尾，则认为该 北京邮电大学硕士论文 域名是不完全的。如何使域名完整依赖于使用的d n s 软件。如果不完整的域名 由两个或两个以上的标号组成，则认为它是完整的；或者在该域名的右边加入一 个局部后缀。例如域名s u p p r t 通过加上局部后缀c i c s e o c o r n 成为完整的域名。 2 2 d n s 的关键概念 2 2 1 域名空间( d o m a i n n a m es p a c e ) 在实际运用中，d n s 可以看成是一个主机名的分布式数据库。这里提到的 分布式是指在i n t e m e t 上的单个站点不能拥有所有的信息。每个站点( 如大学中 的系、校园、公司或公司中的部门) 保留它自己的信息数据库，并运行一个服务 器程序供i n t e r n e t 上的其他系统( 客户程序) 查询。这些主机名建立了一个反方 向的逻辑树形结构，称之为域名空间( d o m a i nn a m es p a c e ) 。可以形象地说，域 名空间就是由i n t e r n e t 上众多的d n s 服务器中的数据记录组成。 2 2 2 顶级域( t o pl e v e ld o m a i n ) d n s 的根域( r o o t d o m a i n ) 是由n i c 统一管理，它也负责分派全球范围内的域 名。在根域下面的予域，类似与c o m ，o r g ，e d u 等，就称为顶级域。 2 2 3 正向映射和反向映射空间 在上面提到了d n s 有正向映射和反向映射两种功能，这两种功能导致了两 个命名空间：一个正向映射空间首先分为c o m ，e d u 等顶级域，它们可以划分成各 个不同的子域，子域又可以继续分成下一层子域，等等，它们负责从域名到口 地址的映射；另一个反向映射空间中，所有的i p 组成一个叫做a r p a i n a d d r 的顶 级域，然后再层层细分。要注意的是：负责正向映射和反向映射的机器不一定是 同一部；域名和i p 并不是一一对应的，因为一台机器可能有多个i p ，这也就为 什么有时候需要把域名空间划分为正向映射空间和反向映射空间的原因。 2 2 4 域( d o m a i n ) 域名空间中每一个节点以及节点下面的树枝构成了一个域，也就是说，域名 空间中一棵逻辑子树称为域( d o m a i n ) 。而每一个节点或者域都可以细分为多个子 域( s u b d o m a i n ) ，也就是多条树枝。一般来说，一个d o m a i n 中的映射关系是由一 北京邮电大学硕士论文 台主机服务器负责。 2 2 5 区域( z o n e ) 一般来说域名空间的一部分如果存有数据库记录并且这些记录是由一个特 殊的区域文件管理，这一部分域名空间就可以称为一个区域( z o n e ) 。简单来讲， 一个区域( z o n e ) 就是一棵独立管理的域名空间的子树。精确点来说，每个z o n e 由 一个名字服务器负责。对于z o n e 和d o m a i n 的关系，可以这么理解：一个d o m a i n 除去分派给子域负责的那部分，剩下的部分就成为z o n 。因此，具体的对域中 的主机信息进行管理以及地址映射的功能可以从z o n e 来考虑。因此它是一个具 体的管理实体，而d o m a i n 基本上是一个逻辑上的划分。 2 2 6 名字服务器( n a m es e r v e r ) 一个d n s 服务器可以同时作为多个域的主域名服务器和辅域名服务器，也 可以只作为主，或只作为辅，或者做任何域的授权服务器而只使用自己的c a c h e 来提供查询解析。m a s t e r 服务器也经常叫做p r i m a r y ，s l a v e 服务器也经常叫做 s e c o n d a r y 。不论是m a s t e r p r i m a r y 主一级域名服务器，还是s l a v e s e c o n d a r y 辅 二级域名服务器，都是这个域的授权服务器。 所有的服务器都会将数据保存在缓存( c a c h e ) 中，直到针对这些数据的t t l ( t i l i l e t o l i v e ) 值过期。 1 主域名服务器 主域名服务器( 研m a r y m a s t e rs e r v e r ) 是一个d o m a i n 信息的最根本的来源。 它是所有辅域名服务器进行域传输的源。主域名服务器是从本地硬盘文件中读取 域的数据。 2 辅域名服务器( 次级域名服务器) 辅域名服务器( s l a v e s e c o n d a r ys e r v e r ) 使用一个叫做域转输的复制过程，调 入其它服务器中域的内容。通常情况下，数据是直接从主服务器上传输过来的， 但也可能是从本地磁盘上的c a c h e 中读到的。辅域名服务器可以提供必需的冗余 服务。所有的辅域名服务器都应该写在这个域的n s 记录中。 3 隐藏服务器 隐藏服务器( s t e a l t hs e r v e r ) 可以针对一个域的查询返回授权的记录，但是 它并没有列在这个域的n s 记录里。隐藏服务器可以用来针对一个域进行集中分 发，这样可以不用在远程服务器上手工编辑这个域的信息了。在这种方式中，一 个域的m a s t e r 文件在隐藏服务器上存储的位置，经常叫做“h i d d e np r i m a r y ”配 置。隐藏服务器也可以将域文件在本地做一个拷贝，从而可以在所有官方的域名 北京邮电大学硕士论文 服务器都不能访问的情况下，也能更快地读取域的记录。 4 高速缓存域名服务器( c a c h i n go n l ys e r v e r ) 缓存服务器可以将它收到的信息存储下来，并再将其提供给其它的用户进行 查询，直到这些信息过期。它的配置中没有任何本地的授权域的配置信息。它可 以响应用户的请求，并询问其它授权的域名服务器，从而得到回答用户请求的信 息。 5 转发服务器( f o r w a r d i n gs e r v e r ) 一台缓存名服务器本身不能进行完全的递归查询。相反，它能从缓存向其它 的缓存服务器转发一部分或是所有不能满足的查询，一般被称作转发服务器。 可能会有一个或多个转发服务器，它们会按照顺序进行请求，直到全部穷尽 或者请求得到回答为止。转发服务器一般用于用户不希望站点内的服务器直接和 外部服务器通讯的情况下。一个特定的情形是许多d n s 服务器和一个网络防火 墙。服务器不能透过防火墙传送信息，它就会转发给可以传送信息的服务器，那 台服务器就会代表内部服务器询问因特网d n s 服务器。使用转发功能的另一个 好处是中心服务器得到了所有用户都可以利用的更加完全的信息缓冲。 2 2 7 资源记录( r e s o u r c er e c o r d s ，r r s ) 该组件规范了和名称相关联的数据的格式。在d n s 名字服务器中，一条信 息就是一个资源记录( r r ) ，每一个资源记录都有一种与之相关联的类型，描述了 它所表示的数据。名字服务器中所有的信息都是以r r 格式保存，该格式被用在 d n s 报文中传送信息。是d n s 报文的关键组成部分。 2 2 8 解析器( r e s o l v e r s ) 简单来说，解析器就是一个位于服务器和客户端的中介程序，它从名字服 务器取得信息来响应客户端的d n s 请求。这里有一个重要的概念需要说明， r e s o l v e r s 和s t u br e s o l v e r s 是不同的概念。s t u br e s o l v e r s 是客户端的一个程序库 ( 例如u n i x 下的g e t h o s t b y n a m e ，g e t h o s t b y a d d r 函数) ，客户端如果需要访问 d n s ，通过它向r e s o l v e r s 发送d n s 请求。而r e s o v l e r s 一般位于d n s 服务器端 并且为一组s t u br e s o l v e r s 提供服务，r e s o v l e r s 收到s t u br e s o l v e r s 请求后，根 据该d n s 请求的内容向名字服务器查询，然后把查询结果返回给s t u br e s o l v e r s 2 2 9 授权( d e l e g a t i o n ) 每个z o n e 都有一个p r i m a r y m a s t e rs e r v e r ( 或就叫p r i m a r ys e r v e r ) ，中文翻译 北京邮电大学硕士论文 为主域名服务器，它会从手工编辑的本地文件中读取z o n e 的全部内容。同时， z o d e 还可以有多个s l a v e s e c o n d a r ys e n ，e r ，中文翻译叫二级域名服务器，或辅域 名服务器。它会使用d n s 协议( 辅域名服务器使用t c p 和主域名服务器联系， 并获得z o n e 的数据) 来读取z o n e 的信息。所有这些服务器( 包括p r i m a r y 和所 有的s e c o n d a r y ) 都应该列在上级域的n s 记录中，这样才能形成一个正式的授权。 同时，这些服务器也应该列在自己主机中的域文件中，通常是在 下面， 指的 是当前域的顶级( 不是整个域名树型结构的顶层) 。用户可以列出本域的项层( 功 中n s 记录里的所有服务器，尽管他们可能没有注册在上级域的n s 记录中，但 是不能列出虽然注册在上级域中，却没有出现在本地域的 中的服务器。 任何列在h i s 记录中的服务器就必须配置成那个域的授权域名服务器 ( a u t h o r i t a t i v es e r w r ) 。当用户查询这个域的信息时，这台授权的服务器就会提 供授权的信息，也就是在返回包中设置了a a 位( a u t h o r i t a t i v e a n s w g r ) 。一台服 务器可以是多个域的授权服务器。一个域的授权数据由所有的r r ( r e s o u r c e r e c o r d s ) 组成。 当将一个域配置为m a s t e r 或s l a v e 时，就是让服务器返回有关这个域的授 权信息。如果服务器可以正确地将这个域调入内存中，则在回答有关这个域的查 询请求时将会设置a a 位。a a 位的信息在r f c l 0 3 4 和r f c l 0 3 5 中有详细描述。 图2 - 2 授权域图例 2 2 1 0 区和域的不同 整个的域名空间可以被分成多个区域，叫z o l l 。它开始于一个顶级d o m a i n ， 北京邮电大学硕士论文 一直到一个子d o m a i n 或是其它d o m a i n 的开始。z o n e 通常表示管理界限的划分。 实际上，z o n e 就是d n s 树状结构上的一个标识的点。一个z o n e 包含了那些相邻 的域名树结构的部分，并具有此部分的全部信息，并且它是真正授权的。它包含 了这个节点下的所有域名，但不包括其它域里已经制定的。每个树状结构里的节 点，在上级域中都有一个或多个n s 记录。它们是和这个域中的n s 记录相同的。 为了能正确地运行一台域名服务器，理解z o n e 和d o m a i n 的区别就非常重要。 如图2 3 结构所示，有一个d o m a i n 叫h p c o m ，它可以包含h o s t a a a h p t o m 和 h o s t b b b h p t o m 这些名字，但是它的z o n e 文件中却只有2 个z o n e 的记录 a a a h p c o l n 和b b b h p c o m 。z o n e 就是一个一级的d o m a i n ，也可以是一个多级 d o m a i n 的一部分。这个d o m a i n 中的其它z o n e ，可以指向其它的域名服务器。 d n s 树型结构中的每个名字都是一个d o m a i n ，当然它也可以是一个没有子域的、 最术端的节点。每个子域( s u b d o m a i n ) 也是一个d o m a i n ，每个d