|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
域名系统(DNS)是逐级授权的分布式数据查询系统,主要完成域名到IP地址的翻译转换功能。域名服务体系包括提供域名服务的所有域名系统,分为两大部分、四个环节,即递归域名服务系统,以及由根域名服务系统、顶级域名服务系统和其他各级域名服务系统组成的权威域名解析服务体系,如下图所示。
|
|
|
|
|
|
|
|
域名服务体系中,根域名服务系统由ICANN授权的十三家全球专业域名管理机构提供运营支持,顶级域名服务系统由ICANN签约的商业机构或各国政府授权的科研管理机构负责运行维护。二级及二级以下权威域名服务器分散在域名持有者手中,由政府、企事业单位、商业网站、终端网民自我运行或托管在第三方。递归域名服务器一般由各网络接入机构提供。
|
|
|
|
域名系统是网络空间的中枢神经系统,其安全性影响范围大。某公司曾因域名安全问题而暂停搜索服务。域名服务的常见安全风险阐述如下:
|
|
|
|
(1)域名信息篡改。域名解析系统与域名注册、WHOIS等系统相关,任一环节的漏洞都可能被黑客利用,导致域名解析数据被篡改。
|
|
|
|
(2)域名解析配置错误。权威域名解析服务的主服务器或辅服务器如配置不当,会造成权威解析服务故障。
|
|
|
|
(3)域名劫持。黑客通过各种攻击手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS记录指向黑客可以控制的服务器。
|
|
|
|
(4)域名软件安全漏洞。域名服务系统软件的漏洞导致域名服务受损。
|
|
|
|
DNS域名服务系统是网络正常运行的基础保障。针对DNS域名的安全问题。国内外安全厂商及DNS服务机构提出了安全解决方案。其中,互联网域名系统北京市工程研究中心有限公司提出了ZDNS Cloud解决方案,该方案提供DNS托管服务、DNS灾备服务、流量管理服务和抵抗大规模DDoS攻击和DNS劫持安全服务。绿盟科技发布了DNS域名安全防护产品。威瑞信(VeriSign)公司推出威瑞信可管理型DNS服务。
|
|
|
|
针对DNS严重的协议安全漏洞,IETF提出了DNSSEC安全扩展协议(DNS Security Extensions)方案,为DNS解析服务提供数据源身份认证和数据完整性验证。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
信息安全的5个基本要素为机密性、完整性、可用性、可控性和可审查性。
|
|
|
|
(1)机密性。确保信息不暴露给未受权的实体或进程。
|
|
|
|
(2)完整性。只有得到允许的人才能修改数据,并能够判别出数据是否已被篡改。
|
|
|
|
|
|
(4)可控性。可以控制授权范围内的信息流向及行为方式。
|
|
|
|
(5)可审查性。对出现的安全问题提供调查的依据和手段。
|
|
|
|
随着信息交换的激增,安全威胁所造成的危害越来越受到重视,因此对信息保密的需求也从军事、政治和外交等领域迅速扩展到民用和商用领域。所谓安全威胁,是指某个人、物、事件对某一资源的机密性、完整性、可用性或合法性所造成的危害。某种攻击就是威胁的具体实现。安全威胁分为两类:故意(如黑客渗透)和偶然(如信息发往错误的地址)。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IP地址用数字表示,使用时难以记忆和书写,因此在IP地址的基础上又发展出了一种符号化的地址方案,用来代替数字型的IP地址,这就是域名。
|
|
|
|
|
|
|
|
例如mail.yctc.edu.cn,其中en是顶级域名,表示中国,edu是二级域名,表示教育机构。各个分量代表不同级别的域名,级别最低的域名写在最左边,级别最高的顶级域名写在最右边,完整的域名不超过255个字符,但域名并不代表计算机所在的物理地点,它只是一个逻辑概念,使用域名有助于记忆。
|
|
|
|
域名的划分是在顶级域名的基础上注册二级域名,二级域名下还可以注册三级域名等。现在的顶级域名有以下三大类。
|
|
|
|
①国家顶级域名。国家顶级域名采用ISO 3166的规定制定各个国家的顶级域名。如cn表示中国,us表示美国,jp表示日本等。
|
|
|
|
②国际顶级域名。采用int,国际性的组织可在int下注册。
|
|
|
|
③通用顶级域名。常见的通用顶级域名如com表示公司,net表示网络服务机构,org表示非营利性组织,edu表示教育机构(美国专用),gov表示政府部门(美国专用),mil表示军事部门(美国专用),aero表示航空运输企业等。
|
|
|
|
在国家顶级域名下注册的二级域名由该国家自行确定,我国将二级域名划分为类别域名和行政区域名两大类。其中,类别域名有六个:ac表示科研机构,com表示工、商、金融等企业,edu表示教育机构,gov表示政府部门,net表示互联网络、接入网络的网络信息中心和运行中心,org表示各种非营利性组织。“行政区域名”共有34个,适用于各省、自治区、直辖市。
|
|
|
|
一般一个单位可以申请注册一个三级域名,一旦拥有一个域名,单位可以自行决定是否需要进一步划分子域,并且不需要向上级报告子域的划分情况。
|
|
|
|
当用户通过域名访问Internet上的某个主机时,其实是访问其IP地址,那么系统会如何识别哪个域名对应哪个IP地址呢?这是因为这个域名到IP地址的转换是由域名服务器DNS完成的。通过建立DNS数据库,域名服务器记录主机名称与IP地址的对应关系,并为所有访问Internet的客户机提供域名解析服务。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Internet中的域名地址与IP地址是等价的,它们之间是通过域名服务来完成映射变换的。实际上,DNS是一种分布式地址信息数据库系统,服务器中包含整个数据库的某部分信息,并供客户查询。DNS允许局部控制整个数据库的某些部分,但数据库的每一部分都可通过全网查询得到。
|
|
|
|
域名系统采用的是客户端/服务器模式,整个系统由解析器和域名服务器组成。解析器是客户方,它负责查询域名服务器、解释从服务器返回来的应答、将信息返回给请求方等工作。域名服务器是服务器方,它通常保存着一部分域名空间的全部信息,这部分域名空间称为区(zone)。一个域名服务器可以管理一个或多个区。域名服务器可以分为主服务器、Caching Only服务器和转发服务器(Forwarding Server)。
|
|
|
|
域名系统是一个分布式系统,其管理和控制也是分布式的。一个用户A在查找另一用户B时,域名系统的工作过程如下:
|
|
|
|
(1)解析器向本地域名服务器发出请求查阅用户B的域名。
|
|
|
|
(2)本地域名服务器向最高层域名服务器发出查询地址的请求。
|
|
|
|
(3)最高层域名服务器返回给本地域名服务器一个IP地址。
|
|
|
|
(4)本地域名服务器向组域名服务器发出查询地址的请求。
|
|
|
|
(5)组域名服务器返回给本地域名服务器一个IP地址。
|
|
|
|
(6)本地服务器向刚返回的域名服务器发出查询域名地址请求。
|
|
|
|
|
|
|
|
因此,本地域名服务器为了得到一个IP地址常常需要查询多个域名服务器。于是,在查询地址的同时,本地域名服务器也就得到了许多其他域名服务器的信息,像它们的IP地址、所负责的区域等。本地域名服务器将这些信息连同最终查询到的主机IP地址全部存放在它的Cache中,以便将来参考。当下次解析器再查询与这些域名相关的信息时,就可以直接引用。这样就大大减少了查询时间。
|
|
|
|
因此,访问主机的时候只需要知道域名,通过DNS服务器将域名变换为IP地址。DNS所用的是UDP端口,端口号为53。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
域表示一个区域或者范围。域内可以容纳许多主机,因此并非每一台接入因特网的主机都必须具有一个域名地址,但是每一台主机都必须属于某个域,即通过该域的服务器可以查询和访问到这台主机。通常,该域服务器称为域名服务器(DNS)。对应因特网的层次结构,域采用嵌套结构与之对应。域名地址由一系列"子域名"组成,子域名的个数通常不超过5个,并且子域名之间用句点"."分隔,从左到右子域的级别升高,高一级的子域包含低一级的子域。这种嵌套的域名结构形成一棵域名树,树中的子节点和树叶标识分别表示不同的域,树叶被其上级的子节点或者树根所包含。这种域名结构也十分类似常用的通信地址(仅和我国表示地址的顺序有所不同),符合人类表达的习惯。
|
|
|
|
因特网域名的取值遵守一定的规则。第一级域名通常分配给主干网节点,取值为国家名;第二级域名对应为次级节点,通常表示组网的部门或组织。二级域以下的域名由组网部门分配和管理。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
域名解析服务器主要负责将Web或其他服务器域名解析为相应的IP地址。选择适当的域名后,就可以到中国互联网络信息中心进行注册域名,并签订相应的域名注册协议。
|
|
|
|
|
|
网站发布之前需要准备Web服务器的相关信息,主要包括Web服务器协议、URL地址、服务器文件系统规则和服务器账号等。实施Web发布时,可以采用FTP工具将网站文件从本地传输到远程服务器上。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
移动IP通信的第二个阶段是注册。当移动主机已经移动到外地网络并且已经发现了外地代理后,就必须注册。关于注册涉及以下3点:
|
|
|
|
|
|
|
|
|
|
具体步骤是:移动主机把注册请求发送给外地代理,并把归属地址和归属地代理地址发送给外地代理。外地代理收到这些信息后,把这些信息转发给移动主机的归属地代理以认证上述信息,如果认证通过,那么移动主机就在外地代理这里注册成功。同时,移动主机的归属地代理也知道了外地代理的地址(转交地址)。
|
|
|
|
|
|
|
|
|
|
|
|
|
