域名与域名系统.doc

域名的概念 IP地址是用数字来代表主机的地址，域名地址的意义就是以一组英文简写来代替难记的数字。为了便于网络地址的分层管理和分配，互联网采用了域名管理系统DNS，域名系统的数据库结构类似于UNIX系统的文件系统结构，为一个倒立的树形结构，下设.com、.edu、.gov、.mil、.priv等分支，顶部是根，每个结点代表域名系统的域，域又可以进一步分成子域，每个域都有一个域名。在DNS中，域名是由不同级别的标记字符依次组成的，标记之间用“.”分隔。对于入网的每台计算机都有类似结构的域名，即：计算机主机名机构名网络名最高层域名，如。DNS采用Client/Server模式。由于域名是分层次的名字，它为Internet互联网上宿主机提供了便于调节，扩充的命名模式。 Internet对某些通用性的域名作了规定。例如，com是工商界域名，edu是教育界域名，gov是政府部门域名等等。此外，国家和地区的域名常用两个字母表示。例如，fr表示法国，jp表示日本，us表示美国，uk表示英国，cn表示中国，等等。由于Internet最初是在美国发源的，因此最早的域名并无国家标识，国际互联网络信息中心最初设计了六类域名，它们分别以不同的后缀结尾，代表不同的类型。 .com商业公司 .org组织、协会等 .net网络服务 .edu教育机构 .gov政府部门 .mil军事领域 1998年1月开始，又启用7个新的顶级域名： arts艺术机构 firm商业公司 info提供信息的机构 nom个人或个体 rec消遣机构 store商业销售机构 web与WWW相关的机构 通常，我们有国内域名和国际域名的说法，其区别在于域名后面是否加有“cn”。随着Internet向全世界的发展，除了edu、gov、mil一般只在美国专用外，另外三个大类com、org、net则成为全世界通用，因此这三大类域名通常称为国际域名。 互联网不同主机要进行通信，每个宿主机都要求一个惟一的IP地址。因此，必须通过域名服务器DNS将域名地址解析成IP地址。域名地址由域名系统（DNS）管理。每个连到Internet的网络中都有至少一个DNS服务器，其中存有该网络中所有主机的域名和对应的IP地址，通过与其他网络的DNS服务器相连就可以找到其他站点。每个DNS地址包含有几部分，每部分都用点隔开，地址的每一部分称之为域。 一般大的机构都不止一台计算机或一个本地网与Internet相连，此时所有设备都可使用相同的主要域名，例如，在此主要域名下每个设备有它自己所独有的域名（例如）。如果需要，在地址前面加一个域名来进一步扩展，例如。通常，域名按层次排列，地址最前面的是最小的域，依次排出其他区域，然而，需要指出的是，不是必须有许多子域名，例如，许多大公司如和联机服务如等都是许多用户使用同一域名。域名系统地址后带有一个端口数字，是一条软件指令，用于自动启动远方计算机上的某一具体程序。为了获取存在远处计算机或Internet上的资源，该指令可以是远处计算机的地址，并将计算机用作远程终端。如果想将信息通过某设备送给某人，只要在地址上加上接收者的名字，即用户的名字写在地址开始的最左边，用符号与域名隔开。域名系统（DNS） Internet的前身是诞生于1969年由美国高级研究计划署资助的ARPAnet，首批建立四个节点形成一个实验网络。在整个70年代，ARPAnet对主机的定位，或者更确切地说是主机名到主机地址的映射，是通过SRI（StanfordResearchInstitute）网络信息中心主机上维护一个数据文件hosts.txt实现的，网络上所有其他主机通过下载该文件获得关于主机定位的最新信息。直到1981年8月，ARPAnet的主机表上还只有213条记录。但之后，由于支持TCP/IP协议簇的UNIX操作系统所取得的成功，连接到ARPAnet的主机数目开始以较快的速度增长，“主机表”定位主机方式暴露出明显的缺点：首先，发布新版本“主机表”占用的网络带宽与主机数目的平方成正比，即使通过多级（或多台）主机提供主机表备份，主机下载文件造成的负载增长也将是不可忍受的；其次，网络上增加的主机越来越多的是局域网的工作站，由组织机构内部管理主机名和分配地址，却要报告SRI网络信息中心，等待变动“主机表”数据，相当不便。通过对这个问题解决方案的研究，引入了当前应用的DNS标准。 1.DNS设计目标 （1）为访问网络资源提供一致的名字空间，然后通过名字就能看出网络资源的类别； （2）从数据库容量和更新频率方面考虑，必须实施分散的管理，通过DNS的分类，更好的使用本地缓存来提高性能； （3）在获取数据的代价、数据更新的速度和缓存的准确性等方面折中； （4）名字空间适用于不同协议和管理办法，不依赖于通讯系统，人们只要考虑DNS就行了，不用去考虑系统使用的硬件； （5）具有各种主机的适用性，从个人机到大型主机都适用DNS。 2.DNS服务 DNS服务是计算机网络上最常使用的服务之一。通过DNS，实现从主机数字IP地址与名字之间的相互转换，以及对特定IP地址或名字的路由解析与寻找。 要进行名字解析，就需要从域名的后面向前，一级级的查找这个域名。因此Internet上就有一些DNS服务器为Internet的顶级域提供解析服务，这些DNS服务器称为根DNS服务器。知道了根DNS服务器的地址，就能按级查找任何具有DNS域名的主机名字，BIND代码中就包括了这些根DNS服务器的地址。 除了从名字查找主机的IP地址这种正向的查找方式之外，另外还有从IP地址反查主机域名的解析方式。很多情况下网络中使用这种反向解析来确定主机的身份，因此也很重要。查找名字的反向解析是从前面的网络地址向后面的节点地址逐级查找，因此IP地址zone是IP地址的前面部分。然而由于一个主机的域名可以任意设置，并不一定与IP地址相关，因此正向查找和反向查找是两个不同的查找过程，需要配置不同的zone。（名字服务使用zone的概念来表示一个域内的主机，zone只是域的一部分，而不是整个域。因为zone中不包括域下的子域，例如域名的域为，这是一个独立的zone。这个域下可由子域组成，例如就属于其子域，子域也是一个独立的zone，并不包括在这个zone之内，作为域的中就包括子域）。 3.DNS组成和原理 根据上述设计目标，DNS设计包含三个主要组成部分： （1）域名空间（NameSpace）和资源记录（ResourceRecord） 域名空间被设计成树状层次结构，类似于UNIX的文件系统结构，最高级的节点称为“根”（Root），根以下是顶层子域，再以下是第二层、第三层每一个子域，或者说是树状图中的节点都有一个标识（Label），标识可以包含英文大小写字母、数字和下划线，允许长度为063字节，同一节点的子节点不可以用同样的标识，而长度为0的标识，即空标识是为根保留的。通常标识是取特定英文名词的缩写，例如顶层子域包括以下标识com、edu、net、org、gov、mil、int，分别表示商业组织、大学等教育机构、网络组织、非商业组织、政府机构、军事单位和国际组织；而美国以外的顶层子域，一般是以国家名的两字母缩写表示，如中国cn，英国ck，日本jp等等。节点的域名是由该节点到根的所经节点的标识顺序排列而成，从左往右，列出离根最远到最近的节点标识，中间以“”分隔，例如是福州的用户服务器主机的域名，它的顶层域名是cn，第二层域名是，第三层域名是，是绝对域名。域名空间的管理是分布式的，每个域名空间节点的域名管理者可以把自己管理域名的下一级域名代理给其他管理者管理，通常域名管理边界与组织机构的管理权限相符。 资源记录是与名字相关联的数据，域名空间的每一个节点包含一系列的资源信息，查询操作就是要抽取有关节点的特定类型信息。资源记录存在形式是运行域名服务主机上的主文件（MasterFile）中的记录项，可以包含以下类型字段：Owner，资源记录所属域名；Type，资源记录的资源类型，A表示主机地址，NS表示授权域名服务器等；Class，资源记录协议类型，IN表示Internet类型；TTL，资源记录的生存期；RDATA，相对于Type和Class的资源记录数据。 （2）名字服务器（NameServer） 用以提供域名空间结构及信息的服务器程序。名字服务器可以缓存域名空间中任一部分的结构和信息，但通常特定的域名服务器包含域名空间中一个子集的完整信息和指向能用以获得域名空间其他任一部分信息名字服务器的指针。名字服务器分为几种类型，常用的是：主名字服务器（PrimaryServer），存放所管理域的主文件数据；备份（辅）名字服务器（SecondaryServer），提供主名字服务器的备份，定期从主名字服务器读取主文件数据进行本地数据刷新；缓存服务器（Cache-OnlyServer），缓存从其他名字服务器获得的信息，加速查询操作。几种类型的服务器可以并存于一台主机，每台域名服务主机（也称为域名服务器）都包含缓存服务器。 （3）解析器（Resolver） 作用是应客户程序的要求从名字服务器抽取信息。解析器必须能够存取一个名字服务器，直接由它获取信息或是利用名字服务器提供的参照，向其他名字服务器继续查询。解析器一般是用户应用程序可以直接调用的系统例程，不需要附加任何网络协议。 4.DNS的安全性问题 由于几乎所有的网络应用程序设计都具有时代的烙印，而在早期的网络安全并不是一个非常重要的课题，因此，在设计DNS时自然也未将安全问题考虑进去。于是，现在便有一些黑客利用特殊程序进入DNS的资料库，找寻他们感兴趣的东西。 现在每一个domainzone（域名区）的DNSserver（域名服务器）几乎都有两个，其中一个通常是该zone（区域）的primaryDNSserver（主域名服务器），其他的大多为secondaryDNSserver（从域名服务器）。一个secondaryDNSserver通常通过UDP包、利用端口53来向primaryDNSserver更新该区域的资料，这个过程称为“zonetransfer（区域传送）”。在zonetransfer中，TCP的连接是由primaryDNSserver负责建立的，有些黑客便利用这种zonetransfer的方式，从SoA（StartofAuthority）取得各种机密资料。因此，一些比较机灵的管理员会将zonetransfer设定在secondaryDNSserver上，这样外来者就不容易取得primaryDNSserver的资料了。 保护主机的另一个方法，就是将你的主机名以不规则名称命名或是用乱数命名。例如你可以将你的HPUNIXserver命名为th25231，这样即使黑客取得了zone资料，也不知道哪一个主机才是值得攻击的。但是管理员必须要有一本账来记住哪一个主机用哪一个主机名，大多数企业都不愿意这样做因为这种做法会增加管理的困难，假如有一天网络管理员离职了，新任管理员必然对这些主机感到非常头痛。 现在一些比较新版的应用程序可以杜绝黑客利用zonetransfer来读取区域主机的资料，例如BIND8.1.2（forUNIX）就可以对一些zone的列表存取设下限制。不过如果你有防火墙的话，就可以利用防火墙对DNS做更多补充措施，例如保护内部网络比较重要的主机不随便被外界存取，甚至不允许外界直接存取，并把一些比较重要的内部网络地址隐藏起来。但是要这样做之前，你必须要先确认一下该防火墙是否支持NAT（NetworkAddressTranslation）的功能。如果你的防火墙是包过滤且不支援NAT的话，那这种防火墙将无法保护你的DNS信息因为它采取TCP的连接方式，所以当你和Internet上任一部其他主机连线时，你的DNS信息就可以被任一个系统读取。 并不是每一个防火墙供应商都能好好地处理有关DNS方面的问题，甚至有些防火墙还未把DNS的安全问题考虑进去，因此在选购防火墙时要特别注意这一点。一般说来，53端口是给DNS使用的，但如果你的系统不用作DNSservice，那你可以将此端口转给其他服务器使调用，这就成为了黑客攻击的途径对那些没有考虑DNS安全的防火墙来说，53端口就相当于防火墙的后门。某些防火墙就允许各种包自由通过此端口。而要预防53端口成为黑客进入的通道有两个简单的方法：其一是阻断此端口，改由其他受保护的端口进行服务，二是设下存取DNS的条件。有一种被称为“port