DNS 協(xié)議分析與安全檢測吳海濤，郭麗紅（南京工程學(xué)院 通信工程學(xué)院， 江蘇 南京 211167）摘 要:DNS 是Internet 上解決網(wǎng)上機器命名的一種系統(tǒng)。在Internet 上，當(dāng)一臺主機

DNS 協(xié)議分析與安全檢測

吳海濤，郭麗紅

（南京工程學(xué)院 通信工程學(xué)院， 江蘇 南京 211167）

摘 要:DNS 是Internet 上解決網(wǎng)上機器命名的一種系統(tǒng)。在Internet 上，當(dāng)一臺主機要訪問另外一臺主機時，必須首先獲知其地址，這就是DNS 所要解決的問題。在對DNS 的報文格式詳細分析的基礎(chǔ)上，研究了DNS 服務(wù)及應(yīng)用所面臨的安全問題及存在的漏洞，最后提出了一些防范措施和相關(guān)建議。關(guān)鍵詞: 域名系統(tǒng)；資源記錄；DNS安全

The Protocol Analysis and Security Detection of DNS

WU Hai-tao GUO Li-hong

(School of Communications Engineering, Nanjing Institute of Technology, Nanjing，jiangsu 211167, China)

Abstract: DNS is a kind of system that solves the machine’s name in internet. When a machine wants to visite another machine in internet ,it must know another machine’s address at first .this article analyses the DNS’s message format in detail.In this basis,researches the security and loophole of DNS，at last,gives some defanding means and corresponding advice.Key words: domain name system； resource record；DNS Security

域名系統(tǒng)（DN S）是一種用于T C P /I P 的分布式數(shù)據(jù)庫，它是多種Internet 應(yīng)用的基礎(chǔ)，如E-mail、www、t e l n e t 等，DN S 的應(yīng)用極為廣泛而且非常重要。近幾年來，DNS遭受到了一系列的攻擊，導(dǎo)致Internet 的通信受到嚴重影響。在某些嚴重的情況下導(dǎo)致數(shù)據(jù)被騙取，造成一些公司、機構(gòu)等遭受巨大損失。因此，眾多業(yè)內(nèi)人士開始關(guān)注D N S 的安全問題, 并且D N S 的安全已經(jīng)成為互聯(lián)網(wǎng)安全研究的焦點。本文在分析D N S 報文格式基礎(chǔ)上，著重討論了D N S 的安全問題，并且在綜合運用多種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上提出了一系列的安全解決方案。

資源記錄是與名字相關(guān)的一些數(shù)據(jù)。從概念上說，每個結(jié)點和域名空間樹的葉子結(jié)點都有一定的信息，而查詢是要查詢出一些與之相關(guān)的特定信息。

(2) 域名服務(wù)器是服務(wù)器程序，它保留域名樹結(jié)構(gòu)和相應(yīng)的信息，它可以緩沖各種數(shù)據(jù)，保存域名樹中的任何部分，但是通常它保存域名空間的一個子集，如果需要查詢其他信息, 可以通過指向其他域名服務(wù)器的地址尋找。這個域名服務(wù)器是這一部分的認證權(quán)威，所有的認證信息組成一個單元稱為區(qū)，這些區(qū)可以分布于不同的服務(wù)器上以保證數(shù)據(jù)的冗余。

(3) resolver 是向域名服務(wù)器提出查詢請求并將結(jié)果返回給客戶的程序，它必須可以訪問至少一個域名服務(wù)器，并將結(jié)果直接返回給用戶或向別的域名服務(wù)器進行查詢。

1 DNS基本信息

1.1 DNS的概念

所謂DNS，是Domain Name System 的英文縮寫，又稱域名系統(tǒng)，它是一種組織成層次結(jié)構(gòu)的計算機和網(wǎng)絡(luò)服務(wù)的命名系統(tǒng)。DN S 命名用于T C P /I P 網(wǎng)絡(luò)，如I n t e r n e t，用來通過用戶友好的名稱（比如"www.enanshan.com"）代替難記的IP 地址（比如"202.101.139.188"），以定位計算機和服務(wù)。

[1]

1.3 DNS服務(wù)器的工作原理

客戶機將域名查詢請求發(fā)送到本地D N S 服務(wù)器，D N S 服務(wù)器將在本地數(shù)據(jù)庫中查找客戶機要求的映射；如果本地D N S 服務(wù)器不能在本地找到客戶機查詢的信息，則將客戶機請求發(fā)送到根域名DNS 服務(wù)器。根域名DNS 服務(wù)器負責(zé)解析客戶機請求的根域部分，它將包含下一級域名信息的D N S 服務(wù)器地址返回給客戶機的D N S 服務(wù)器；客戶機的D N S 服務(wù)器利用根域名服務(wù)器解析的地址

1.2 DNS的組成

(1) 域名空間和資源記錄，域名空間是一種樹狀結(jié)構(gòu)，

訪問下一級DNS 服務(wù)器，得到維護再下一級域名的DNS 服務(wù)器地址；按照上述遞歸方法逐級接近查找目標(biāo)，最后在維護有目標(biāo)域名的DNS 服務(wù)器上找到相應(yīng)的IP 地址信息；客戶機的本地D N S 服務(wù)器將遞歸查詢結(jié)果返回客戶機；客戶機利用從本地DNS 服務(wù)器查詢得到的IP 地址訪問目標(biāo)主機。

2 DNS報文分析

D N S 定義了兩種報文[2]，一種為查詢報文；另一種是對查詢報文的響應(yīng)，稱為響應(yīng)報文。

2.1 查詢報文格式

查詢報文格式如圖1所示。

圖1 DNS查詢報文格式

2.2 響應(yīng)報文格式

響應(yīng)報文格式如圖2所示。

圖2 DNS響應(yīng)報文格式

2.3報文細節(jié)分析

無論是查詢報文還是響應(yīng)報文，都有12個字節(jié)的頭和查詢問題。

(1)標(biāo)識：占兩個字節(jié)，同一個問題的查詢和響應(yīng)標(biāo)識必須相同。

(2)標(biāo)志：占兩個字節(jié)，表示如圖3所示。

圖3 DNS報文標(biāo)志

Q R：這一位是查詢和響應(yīng)報文的標(biāo)志，0表示查詢報文，1表示響應(yīng)報文；Opcode：操作碼占4 bit， 值為

萬方數(shù)據(jù)

0表示標(biāo)準查詢，值為1表示反向查詢，值為2表示服務(wù)器狀態(tài)請求。標(biāo)準查詢是給出主機名查詢其對應(yīng)的I P；反向查詢是給出IP 查詢其對應(yīng)的主機名；AA：占1 bit，表示該域名服務(wù)器是否是授權(quán)給該域的，1表示授權(quán)，0表示未授權(quán)；TC：占1 b i t，表示是否可截斷。當(dāng)使用UDP 時，若此位為1，表示當(dāng)響應(yīng)報文的總長度超過512字節(jié)時，只返回前512個字節(jié)，是可截斷的；RD：占1 b i t，表示是否期望遞歸。為1時表示查詢方式是遞歸查詢；如果該位為0，且被請求的域名服務(wù)器沒有一個授權(quán)回答，則查詢方式為迭代查詢；RA：占1 bit，表示是否可用遞歸。如果域名服務(wù)器支持遞歸查詢，則在響應(yīng)中將該比特設(shè)置為1，大多數(shù)名字服務(wù)器都提供遞歸查詢，除了某些根服務(wù)器；隨后的3 b i t 字段必須為0；Rc o d e：結(jié)果代碼占4 b i t，值為0表明沒有差錯，值為1表明報文格式出錯，值為2表明服務(wù)器查詢失敗，值為3表明名字出錯。

(3) 問題數(shù)、回答資源記錄數(shù)、授權(quán)資源記錄數(shù)、附

加資源記錄數(shù)分別描述各自的記錄數(shù)目。對于查詢報文，問題數(shù)通常是1，而其他三項則均為0。響應(yīng)報文隨問題不同而變化。

(4)查詢問題：由查詢名、查詢類型、查詢類三部分組成。查詢名是要查找的名字，它是一個或多個標(biāo)識符的序列，它的存儲方法是先存儲每個子域的字符數(shù)，再存儲相應(yīng)的字符，依次存儲，最后填寫一個0字節(jié)；查詢類型占兩個字節(jié)，常用的有（A，1）代表I P 地址、（NS，2）代表名字服務(wù)器、（PT R，12）代表指針記錄；查詢類占兩個字節(jié)，通常為（IN，1），指互聯(lián)網(wǎng)地址。

(5)資源記錄：只出現(xiàn)在響應(yīng)報文中，它們有一種統(tǒng)一的格式如圖4所示。

圖4 資源記錄格式

2.4 DNS報文解析

下面分析一個正向解析

[3，4]的查詢和響應(yīng)報文：即已

知主機名

www.safepro.com.cn 查詢其對應(yīng)的IP 值。查詢報文（用嗅探器抓的包），如圖5所示。

圖5 DNS查詢報文實例

DNS 查詢報文

header： Opcode=standard query, query question： qname= www.safepro.com.cn，qtype= A， qclass=IN

響應(yīng)報文：

header： Opcode=standard query, responsequestion： qname= www.safepro.com.cn, qtype= A,qclass=IN

answer： www.safepro.com.cn 8093 IN A 211.154.170.7

authority1：safepro.com.cn 23343 IN NS ns1.cendata.net

authority2：safepro.com.cn 23343 IN NS ns2.cendata.net

additional1：ns1.cendata.net 98296 A 211.154.160.4

a d d i t o n a l2：ns2. c e n d a t a. n e t 159916 A 211.154.168.4

響應(yīng)報文中的回答資源記錄列出了查詢結(jié)果，即www.safepro.com.cn 對應(yīng)的IP 為211.154.170.7；授權(quán)資源記錄列出了該主機名所屬域由ns1.cendata.net 和ns2.cendata.net 這兩個域名服務(wù)器來進行管理；附加資源記錄列出了這兩個域名服務(wù)器所對應(yīng)的I P 地址，也就說執(zhí)行主機名www.safepro.com.cn 查詢的可以是這兩個域名服務(wù)器之一。

3 DNS安全問題及解決方案

3.1 DNS安全問題

D N S 安全一直是人們關(guān)注的焦點。但是直到今天，大部分的D N S 服務(wù)器還沒有采取足夠的措施來防止這一類的D N S 攻擊，惡意的攻擊者可以很容易地通過D N S 欺騙取得用戶的賬號密碼、個人信息、商務(wù)機密等等資料。

D N S 系統(tǒng)目前遭受到的最主要的攻擊手段，主要包括拒絕服務(wù)攻擊、誤導(dǎo)目的地址和DNS 緩存中毒。

(1)拒絕服務(wù)攻擊(Denial of Service)

D N S 采用層次化的樹狀結(jié)構(gòu)，由樹葉走向樹根就可以形成一個全資格域名。每個全資格域名都是惟一的。D N S 的網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖6所示：DN S 服務(wù)器A2為網(wǎng)絡(luò)節(jié)點a、b、c、d工作，如果A2不能正常工作，則其

所轄的所有節(jié)點都無法通過域名連接到網(wǎng)絡(luò)，A2成為該子網(wǎng)的瓶頸，存在單點故障風(fēng)險問題。并且A2不能正常工作時，其所管轄的子域都無法解析域名，僅能通過難以記憶的I P 地址訪問網(wǎng)絡(luò)，對多數(shù)網(wǎng)絡(luò)用戶而言，無法接入網(wǎng)絡(luò)，甚至還會被利用來對其他主機進行反彈式攻擊。

圖6 DNS網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖

(2)誤導(dǎo)目的地址

當(dāng)用戶需要取得D N S 服務(wù)時，被攻擊者提供了一條虛假D N S 響應(yīng)，讓解析器認為是來自本地D N S 名字服務(wù)器的正確響應(yīng)，于是用戶得到的I P 地址是一個偽造的地址。接著，用戶在客戶端輸入賬號密碼，攻擊者輕易地得到了該用戶的賬號密碼。這類攻擊的發(fā)生，主要在于目前的路由器沒有能力禁止錯誤的源地址，因此，只要攻擊者能夠路由到你的主機，他就能夠偽造一個看起來像是從一個值得信賴的名字服務(wù)器返回的響應(yīng)報文。在上述例子中，攻擊者只需要采用D o S 攻擊名字服務(wù)器，使得名字服務(wù)器不能回應(yīng)給客戶的請求，而攻擊者這時候偽造響應(yīng)報文就很容易得手了。

(3)DNS緩存中毒(DNS Cache Poisoning)

D N S 為了提高查詢的效率, 普遍采用了高速緩存技術(shù), 這項技術(shù)能夠帶來查詢的高效率，但是也給攻擊者提供了一個良好的場所。具體過程：在D N S 的緩存數(shù)據(jù)還沒有過期之前, 如果D N S 的緩存區(qū)中已存在的記錄一旦被客戶查詢,DNS 服務(wù)器將把緩存區(qū)中的記錄直接返回給客戶。DNS緩存區(qū)中毒就是利用了

DNS

的緩存機制，在緩存區(qū)中存入錯誤的數(shù)據(jù)使其被其他查詢客戶所獲得。在緩存數(shù)據(jù)的生存期內(nèi)，緩存區(qū)中毒的機器又可能將錯誤的

數(shù)據(jù)傳播出去，導(dǎo)致更多的服務(wù)器緩存中毒。如果減少緩存數(shù)據(jù)的生存期，可以減少緩存中毒的影響范圍，但過于頻繁的緩存數(shù)據(jù)更新將大大增加服務(wù)器的負擔(dān)。

3.2 DNS安全解決方案

3.2.1 采用DNSSEC 技術(shù)保護DNS 系統(tǒng)

針對DNS 的安全特點，IETF于1999年3月發(fā)布了DNSSEC，它是一個DNS 協(xié)議的擴展。DNSSEC并不是針對DNS 協(xié)議本身的補丁，而是一個DNS 的安全協(xié)議[5]。從對D N S 幾種攻擊方法的分析中知道，DN S 系統(tǒng)之所以容易受到欺騙的一個最根本原因就是D N S 服務(wù)器或者解析器無法分辨出D N S 報文來源的真?zhèn)我约盁o法分辨出DNS 報文是否被修改過。所以對于DNS 系統(tǒng)，最主要的是需要保護數(shù)據(jù)包的完整性和數(shù)據(jù)源的合法性。DNSSEC的根本目標(biāo)就是保護D N S 查詢報文的數(shù)據(jù)完整性和數(shù)據(jù)源的正確性。它主要采用的機制是非對稱加密機制和數(shù)字簽名機制，DN S S E C 采用非對稱加密算法中的公鑰加密機制以及基于Hash 函數(shù)的數(shù)字簽名技術(shù)，在某些特殊情況下，DN S S E C 也采用共享密鑰和M A C 機制來保證消息完整性。

3.2.2 利用主機的cookie 緩存功能

對一臺主機而言，利用瀏覽器本身的緩存能力，可以做到保存經(jīng)常訪問的網(wǎng)站的c o o k i e 記錄, 當(dāng)下次訪問時即可快速訪問, 僅當(dāng)與W e b 站點建立初次連接時需要進行DNS 查詢。所以，即使DNS 服務(wù)器暫時不能提供服務(wù)，主機也可以通過c o o k i e 記錄訪問到經(jīng)常訪問的網(wǎng)站, 并通過Web 站點的超鏈接訪問Web 站點內(nèi)容。擴展主機的cookie 緩存功能, 即相當(dāng)于為DNS 服務(wù)器提供了一條旁路。此方法采用弱化D N S 功能的策略，將D N S 所承擔(dān)的單點故障風(fēng)險分散到網(wǎng)絡(luò)的各個層次，包括主機、其他服務(wù)器、路由器等。它主要是利用主機的c o o k i e 緩存功能, 采用網(wǎng)狀延伸的辦法將D N S 體系單點故障的風(fēng)險大大降低, 改變了原有的主機只能通過查詢固定D N S 服務(wù)器訪問Internet 的單路徑結(jié)構(gòu), 增加了旁路, 同時減小了DNS 服務(wù)器的負荷。

3.2.3 通過D N S 服務(wù)器本身的配置以及與防火墻等的合作來加強DNS 的安全性

(1)包過濾防護[6]

：限制訪問D N S 服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包的類型，實施包過濾的依據(jù)主要是端口、IP、流量。端口過濾指僅允許對53端口的訪問；IP 地址限制指只允許具有合法I P 地址的用戶訪問該I D S 服務(wù)器；流量限制指

萬方數(shù)據(jù)

對每個IP 地址的DNS 請求加以流量限制，正常用戶數(shù)據(jù)包的長度應(yīng)不大于512字節(jié)。

(2)防火墻保護：該技術(shù)把D N S 系統(tǒng)劃分為內(nèi)部和外部兩部分，外部D N S 負責(zé)對外的正常解析工作；內(nèi)部D N S 系統(tǒng)則專門負責(zé)解析內(nèi)部網(wǎng)絡(luò)的主機。僅當(dāng)內(nèi)部主機要查詢Internet 上的域名，而內(nèi)部DNS 上沒有緩存記錄時，內(nèi)部DNS 才將查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS 服務(wù)器上，由外部D N S 服務(wù)器完成查詢?nèi)蝿?wù)，以保護內(nèi)部服務(wù)器免受攻擊，同時減少了信息泄漏。

(3)網(wǎng)絡(luò)拓撲限制：為了減少單點故障的威脅，從網(wǎng)

絡(luò)拓撲結(jié)構(gòu)角度應(yīng)避免將D N S 服務(wù)器置于無旁路的環(huán)境下，不應(yīng)將所有的D N S 服務(wù)器置于同一子網(wǎng)、同一租用鏈路、同一路由器、同一自治域甚至同一物理位置。

4 結(jié)束語

本文在介紹DNS 的基本概念、工作原理、DNS協(xié)議的工作流程基礎(chǔ)上，研究了D N S 服務(wù)及應(yīng)用所面臨的安全問題及存在的漏洞，同時給出了一些保護D N S 安全的措施。在DNS 應(yīng)用極為廣泛的今天有一定的現(xiàn)實意義。

參考文獻：

[1]Mockapetris P. Domain names-concepts and facilities. STD13,RFC 1034,November 1987.

[2]Mockapetris.P. Domain names-implementation and specification. STD13,RFC 1035,November 1987.

[3] Eastlake D,Kaufman C. Domain name system security extensions. RFC 2535,March 1999.

[4]Douglas E. Comer. TCP/IP網(wǎng)絡(luò)互聯(lián)技術(shù)(卷1)[M]. 北京：清華大學(xué)出版社, 2002.

[5]Rob Scrimger 等著. TCP/IP寶典[M]. 北京：電子工業(yè)出版社, 2002.

[6]鐘樂海. D N S :域名系統(tǒng)分析與研究[J ]. 計算機科學(xué),2002,29(8):54-56.

作者簡介：吳海濤（1974-），男，碩士，講師，研究方向：數(shù)據(jù)安全與計算機網(wǎng)絡(luò)。收稿日期：2008-09-20

DNS協(xié)議分析與安全檢測

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

引用次數(shù)：吳海濤， 郭麗紅， WU Hai-tao， GUO Li-hong南京工程學(xué)院通信工程學(xué)院,江蘇,南京,211167計算機安全NETWORK AND COMPUTER SECURITY2009，(4)0次

參考文獻(6條)

1. Mockapetris P Domain names-concepts and facilities.STD13 1987

2. Mockapetris P Domain names-implementation and specification.STD13 1987

3. Eastlake D. Kaufman C Domain name system security extensions 1999

4. Douglas E Comer TCP/IP網(wǎng)絡(luò)互聯(lián)技術(shù) 2002

5. Rob Scrimger TCP/IP寶典 2002

6. 鐘樂海 DNS:域名系統(tǒng)分析與研究[期刊論文]-計算機科學(xué) 2002(8)

相似文獻(8條)

1.期刊論文 劉立杰. LIU Lijie 域名系統(tǒng)協(xié)議分析 -吉林農(nóng)業(yè)科技學(xué)院學(xué)報2008,17(2)

DNS是Internet上解決網(wǎng)上機器命名的一種系統(tǒng).在Internet上,當(dāng)一臺主機要訪問另外一臺主機時,必須首先獲知其地址,這就是DNS所要解決的問題.本文介紹了DNS的概念、DNS的組成并對DNS的查詢報文和響應(yīng)報文作了詳細分析,從而進一步了解DNS的工作原理.

2.期刊論文 林曼筠. Lin Manyun 域名服務(wù)器的安全保護 -網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2001(1)

域名系統(tǒng)使用域名空間中便于人們理解和記憶的名稱來代替枯燥而難以記憶的數(shù)字--IP地址來定位Internet中的資源,它所提供的名字解析服務(wù),是目前多種Internet服務(wù)正常運轉(zhuǎn)、實施的基礎(chǔ).本文介紹了域名系統(tǒng)及其工作原理,從系統(tǒng)設(shè)計、軟件實現(xiàn)和系統(tǒng)配置等方面對其安全脆弱性進行分析,強調(diào)保護其核心設(shè)施--域名服務(wù)器安全的重要性,并在此基礎(chǔ)上指出域名服務(wù)器的安全保護措施.

3.期刊論文 盧曉軒. 王順曄. LU Xiaoxuan. WANG Shunye ENUM體系中NAPTR資源記錄的研究 -科學(xué)技術(shù)與工程2006,6(3)

下一代網(wǎng)絡(luò)是一個融合的網(wǎng)絡(luò),要實現(xiàn)網(wǎng)絡(luò)的融合,網(wǎng)絡(luò)標(biāo)識和尋址技術(shù)是至關(guān)重要的.ENUM就是作為電信網(wǎng)和互聯(lián)網(wǎng)的尋址技術(shù)出現(xiàn)的.ENUM是DDDS算法的一個具體應(yīng)用,采用DNS系統(tǒng)中的NAPTR類型存儲算法規(guī)則庫.介紹了ENUM體系的功能原理,就其功能范圍進行了討論.然后分析了DDDS算法,詳細闡述了NAPTR資源記錄,根據(jù)定義給出了更加嚴格的enumservice服務(wù)分類.

4.會議論文 劉晨光. 秦華 基于P2P的下一代互聯(lián)網(wǎng)域名系統(tǒng)節(jié)點管理和功能設(shè)計 2009

域名系統(tǒng)是Internet的基礎(chǔ)。IPv6網(wǎng)絡(luò)的新特性，要求基于IPv6的域名系統(tǒng)提供動態(tài)高效的域名服務(wù)。鑒于傳統(tǒng)的域名系統(tǒng)模型使得DNS服務(wù)器容易成為網(wǎng)絡(luò)的瓶頸和攻擊目標(biāo)，提出了采用P2P對等網(wǎng)絡(luò)思想構(gòu)建動態(tài)高效的IPv6 DNS域名系統(tǒng)，著重討論了系統(tǒng)中的節(jié)點管理策略，并針對超節(jié)點選擇、資源記錄存儲、域名注冊、域名更新、域名解析等關(guān)鍵問題提出了解決方案。最后分析并指出了今后的研究方向。

5.期刊論文 張愛華. 鄭雪峰. 靳鳳榮 IPv6 協(xié)議下域名系統(tǒng)的擴展與實現(xiàn) -微機發(fā)展2004,14(7)

為了實現(xiàn)對IPv6協(xié)議的支持,需要對現(xiàn)有IPv4協(xié)議下的域名系統(tǒng)進行相應(yīng)的擴展,以使其能在IPv6協(xié)議下正確地進行IP地址與域名的正向或反向解析.域名系統(tǒng)的擴展主要包括以下兩方面:一是增加了兩個新的資源記錄AAAA和A6來存儲IPv6地址,以實現(xiàn)域名到IPv6地址的正向解析;二是增加了兩個新域:ip6.int和ip6.arpa,以實現(xiàn)IPv6地址到域名的反向解析.文中以著名的域名系統(tǒng)軟件BIND為對象,以Linux操作系統(tǒng)Redhat 9作為實驗平臺,詳細介紹了基于Linux平臺的域名系統(tǒng)對IPv6協(xié)議的擴展與實現(xiàn),從而為實現(xiàn)IPv4到IPv6的平穩(wěn)過渡打下了堅實基礎(chǔ).

6.期刊論文 鄒臣嵩 在WINDOWS 2003 SERVER下配置DNS服務(wù)器 -科技資訊2007(11)

DNS是網(wǎng)絡(luò)建設(shè)中首要解決的問題之一,是實現(xiàn)Internet應(yīng)用的基礎(chǔ),其作用是實現(xiàn)域名與IP地址之間的轉(zhuǎn)換.本文介紹了DNS的基本概念、應(yīng)用范圍,并分步說明如何在WindowsServer 2003產(chǎn)品中為域名系統(tǒng)(DNS)配置Internet訪問.

7.期刊論文 郭麗楠 支持IPv6地址聚合和重編號的DNS擴展 -平原大學(xué)學(xué)報2004,21(3)

本文檔定義了對域名系統(tǒng)的修改以支持可重編號和可聚合IPv6尋址.這些修改包括用一種加速網(wǎng)絡(luò)重編號和修改已有查詢類型定義的方式,以一種新的資源記錄類型來存儲IPv6地址,這些已有的查詢類型返回Internet地址作為部分附加開銷.

8.學(xué)位論文 楊水根 主機標(biāo)識協(xié)議的移動性管理研究 2008

在傳統(tǒng)互聯(lián)網(wǎng)的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）體系中，IP地址既代表節(jié)點的位置標(biāo)識，又代表節(jié)點的主機標(biāo)識：網(wǎng)絡(luò)層使用IP地址作為節(jié)點在網(wǎng)絡(luò)中的位置標(biāo)識，用于路由；傳輸層使用IP地址作為節(jié)點的主機標(biāo)識，用于建立傳輸層的連接。當(dāng)節(jié)點由于發(fā)生移動而改變其IP地址時，傳輸層連接中斷，需要重新建立連接。因此，傳統(tǒng)互聯(lián)網(wǎng)的TCP/IP協(xié)議體系不利于支持節(jié)點的移動。 @@ 解決傳統(tǒng)互聯(lián)網(wǎng)移動性問題的關(guān)鍵在于把IP地址的主機標(biāo)識和位置標(biāo)識進行分離。由互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）和互聯(lián)網(wǎng)研究任務(wù)組（Internet Research Task Force，IRTF）聯(lián)合提出的主機標(biāo)識協(xié)議（Host IdentityProtocol，HIP）通過在網(wǎng)絡(luò)層和傳輸層之間增加新的主機標(biāo)識層，以及引入經(jīng)過加密的主機標(biāo)識標(biāo)簽作為節(jié)點的主機標(biāo)識，把IP地址的雙重功能分離，從而可以較好地支持移動性。本文對HIP的移動性管理機制，包括HIP的位置管理機制和切換管理機制，進行了深入的研究，取得如下研究成果： @@ 1． 設(shè)計一種支持HIP的域名系統(tǒng)（Domain NameSystem，DNS）資源記錄，用于解析節(jié)點的域名、主機標(biāo)識標(biāo)簽和IP地址三者之間的映射關(guān)系。在此基礎(chǔ)上，建立一種基于DNS的HIP位置管理機制。該機制將互聯(lián)網(wǎng)劃分成多個區(qū)域網(wǎng)絡(luò)，使用集合服務(wù)點管理每個區(qū)域網(wǎng)絡(luò)中節(jié)點的主機標(biāo)識標(biāo)簽和IP地址之間的映射關(guān)系，使用DNS管理節(jié)點的主機標(biāo)識標(biāo)簽和對應(yīng)集合服務(wù)點的IP地址之間的映射關(guān)系。 @@

2．提出一種基于動態(tài)層次位置管理的HIP微移動性支持機制。該機制引入網(wǎng)關(guān)集合服務(wù)點將區(qū)域網(wǎng)絡(luò)劃分成多個自治域，引入本地集合服務(wù)點將每個自治域劃分成多個注冊域，形成三層的層次體系結(jié)構(gòu)，從而將節(jié)點移動時的位置更新消息限制在一定的位置管理域內(nèi)。另外，節(jié)點根據(jù)自己的移動速度和會話到達速度，動態(tài)地選取注冊域并計算該注冊域的最佳范圍。性能分析表明，當(dāng)節(jié)點的移動速度大于會話到達速度時，該機制可以顯著降低總的信令開銷，從而較好的支持節(jié)點的微移動性。 @@ 3．針對移動節(jié)點能量受限的問題，對基于動態(tài)層次位置管理的HIP微移動性支持機制進行尋呼功能的擴展，提出支持尋呼的HIP位置管理機制。該機制將網(wǎng)絡(luò)中的移動節(jié)點分成處于激活狀態(tài)的移動節(jié)點和處于空閑狀態(tài)的移動節(jié)點兩類，通過減少處于空閑狀態(tài)移動節(jié)點的位置注冊和位置更新消息數(shù)量，降低了網(wǎng)絡(luò)中的冗余信令，同時也節(jié)省了移動節(jié)點的能量消耗。性能分析表明，該機制可 以降低總的信令開銷，并且支持大量移動節(jié)點的位置管理。@@ 4．對傳統(tǒng)端到端的HIP機制進行擴展，引入支持HIP機制的移動路由器，并在此基礎(chǔ)上提出一種基于HIP的子網(wǎng)移動性支持機制。在該機制中，移動路由器給每個移動子網(wǎng)節(jié)點分配一個私有IP地址，保存移動子網(wǎng)節(jié)點的主機標(biāo)識標(biāo)簽及其私有IP地址之間的映射關(guān)系，并對移動子網(wǎng)節(jié)點和通信節(jié)點之間的數(shù)據(jù)報文進行相應(yīng)的IP地址替換。當(dāng)節(jié)點在移動子網(wǎng)內(nèi)移動時，只需要在移動路由器中進行位置更新。性能分析表明，和基于移動IPv6的子網(wǎng)移動性支持機制相比，基于HIP的子網(wǎng)移動性支持機制可以顯著降低總的信令開銷。 @@ 5． 提出一種基于HIP和會話初始協(xié)議（Session Initiation Protocol，SIP）的跨層切換管理機制，使用通信雙方的主機標(biāo)識標(biāo)簽建立SIP會話連接，并利用HIP快速感知底層網(wǎng)絡(luò)狀況變換的能力以及HIP的位置更新機制，進行節(jié)點移動時的切換管理。性能分析表明，該機制可以降低節(jié)點移動時的切換時延、報文丟失個數(shù)以及切換阻塞率。 @@關(guān)鍵詞：主機標(biāo)識協(xié)議；移動性管理；位置管理；切換管理；尋呼

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dzzwyjc200904008.aspx

下載時間：2010年4月21日