DNS 協(xié)議分析與安全檢測(cè)吳海濤，郭麗紅（南京工程學(xué)院 通信工程學(xué)院， 江蘇 南京 211167）摘 要:DNS 是Internet 上解決網(wǎng)上機(jī)器命名的一種系統(tǒng)。在Internet 上，當(dāng)一臺(tái)主機(jī)

DNS 協(xié)議分析與安全檢測(cè)

吳海濤，郭麗紅

（南京工程學(xué)院 通信工程學(xué)院， 江蘇 南京 211167）

摘 要:DNS 是Internet 上解決網(wǎng)上機(jī)器命名的一種系統(tǒng)。在Internet 上，當(dāng)一臺(tái)主機(jī)要訪問(wèn)另外一臺(tái)主機(jī)時(shí)，必須首先獲知其地址，這就是DNS 所要解決的問(wèn)題。在對(duì)DNS 的報(bào)文格式詳細(xì)分析的基礎(chǔ)上，研究了DNS 服務(wù)及應(yīng)用所面臨的安全問(wèn)題及存在的漏洞，最后提出了一些防范措施和相關(guān)建議。關(guān)鍵詞: 域名系統(tǒng)；資源記錄；DNS安全

The Protocol Analysis and Security Detection of DNS

WU Hai-tao GUO Li-hong

(School of Communications Engineering, Nanjing Institute of Technology, Nanjing，jiangsu 211167, China)

Abstract: DNS is a kind of system that solves the machine’s name in internet. When a machine wants to visite another machine in internet ,it must know another machine’s address at first .this article analyses the DNS’s message format in detail.In this basis,researches the security and loophole of DNS，at last,gives some defanding means and corresponding advice.Key words: domain name system； resource record；DNS Security

域名系統(tǒng)（DN S）是一種用于T C P /I P 的分布式數(shù)據(jù)庫(kù)，它是多種Internet 應(yīng)用的基礎(chǔ)，如E-mail、www、t e l n e t 等，DN S 的應(yīng)用極為廣泛而且非常重要。近幾年來(lái)，DNS遭受到了一系列的攻擊，導(dǎo)致Internet 的通信受到嚴(yán)重影響。在某些嚴(yán)重的情況下導(dǎo)致數(shù)據(jù)被騙取，造成一些公司、機(jī)構(gòu)等遭受巨大損失。因此，眾多業(yè)內(nèi)人士開(kāi)始關(guān)注D N S 的安全問(wèn)題, 并且D N S 的安全已經(jīng)成為互聯(lián)網(wǎng)安全研究的焦點(diǎn)。本文在分析D N S 報(bào)文格式基礎(chǔ)上，著重討論了D N S 的安全問(wèn)題，并且在綜合運(yùn)用多種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上提出了一系列的安全解決方案。

資源記錄是與名字相關(guān)的一些數(shù)據(jù)。從概念上說(shuō)，每個(gè)結(jié)點(diǎn)和域名空間樹(shù)的葉子結(jié)點(diǎn)都有一定的信息，而查詢是要查詢出一些與之相關(guān)的特定信息。

(2) 域名服務(wù)器是服務(wù)器程序，它保留域名樹(shù)結(jié)構(gòu)和相應(yīng)的信息，它可以緩沖各種數(shù)據(jù)，保存域名樹(shù)中的任何部分，但是通常它保存域名空間的一個(gè)子集，如果需要查詢其他信息, 可以通過(guò)指向其他域名服務(wù)器的地址尋找。這個(gè)域名服務(wù)器是這一部分的認(rèn)證權(quán)威，所有的認(rèn)證信息組成一個(gè)單元稱(chēng)為區(qū)，這些區(qū)可以分布于不同的服務(wù)器上以保證數(shù)據(jù)的冗余。

(3) resolver 是向域名服務(wù)器提出查詢請(qǐng)求并將結(jié)果返回給客戶的程序，它必須可以訪問(wèn)至少一個(gè)域名服務(wù)器，并將結(jié)果直接返回給用戶或向別的域名服務(wù)器進(jìn)行查詢。

1 DNS基本信息

1.1 DNS的概念

所謂DNS，是Domain Name System 的英文縮寫(xiě)，又稱(chēng)域名系統(tǒng)，它是一種組織成層次結(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)的命名系統(tǒng)。DN S 命名用于T C P /I P 網(wǎng)絡(luò)，如I n t e r n e t，用來(lái)通過(guò)用戶友好的名稱(chēng)（比如"www.enanshan.com"）代替難記的IP 地址（比如"202.101.139.188"），以定位計(jì)算機(jī)和服務(wù)。

[1]

1.3 DNS服務(wù)器的工作原理

客戶機(jī)將域名查詢請(qǐng)求發(fā)送到本地D N S 服務(wù)器，D N S 服務(wù)器將在本地?cái)?shù)據(jù)庫(kù)中查找客戶機(jī)要求的映射；如果本地D N S 服務(wù)器不能在本地找到客戶機(jī)查詢的信息，則將客戶機(jī)請(qǐng)求發(fā)送到根域名DNS 服務(wù)器。根域名DNS 服務(wù)器負(fù)責(zé)解析客戶機(jī)請(qǐng)求的根域部分，它將包含下一級(jí)域名信息的D N S 服務(wù)器地址返回給客戶機(jī)的D N S 服務(wù)器；客戶機(jī)的D N S 服務(wù)器利用根域名服務(wù)器解析的地址

1.2 DNS的組成

(1) 域名空間和資源記錄，域名空間是一種樹(shù)狀結(jié)構(gòu)，

訪問(wèn)下一級(jí)DNS 服務(wù)器，得到維護(hù)再下一級(jí)域名的DNS 服務(wù)器地址；按照上述遞歸方法逐級(jí)接近查找目標(biāo)，最后在維護(hù)有目標(biāo)域名的DNS 服務(wù)器上找到相應(yīng)的IP 地址信息；客戶機(jī)的本地D N S 服務(wù)器將遞歸查詢結(jié)果返回客戶機(jī)；客戶機(jī)利用從本地DNS 服務(wù)器查詢得到的IP 地址訪問(wèn)目標(biāo)主機(jī)。

2 DNS報(bào)文分析

D N S 定義了兩種報(bào)文[2]，一種為查詢報(bào)文；另一種是對(duì)查詢報(bào)文的響應(yīng)，稱(chēng)為響應(yīng)報(bào)文。

2.1 查詢報(bào)文格式

查詢報(bào)文格式如圖1所示。

圖1 DNS查詢報(bào)文格式

2.2 響應(yīng)報(bào)文格式

響應(yīng)報(bào)文格式如圖2所示。

圖2 DNS響應(yīng)報(bào)文格式

2.3報(bào)文細(xì)節(jié)分析

無(wú)論是查詢報(bào)文還是響應(yīng)報(bào)文，都有12個(gè)字節(jié)的頭和查詢問(wèn)題。

(1)標(biāo)識(shí)：占兩個(gè)字節(jié)，同一個(gè)問(wèn)題的查詢和響應(yīng)標(biāo)識(shí)必須相同。

(2)標(biāo)志：占兩個(gè)字節(jié)，表示如圖3所示。

圖3 DNS報(bào)文標(biāo)志

Q R：這一位是查詢和響應(yīng)報(bào)文的標(biāo)志，0表示查詢報(bào)文，1表示響應(yīng)報(bào)文；Opcode：操作碼占4 bit， 值為

萬(wàn)方數(shù)據(jù)

0表示標(biāo)準(zhǔn)查詢，值為1表示反向查詢，值為2表示服務(wù)器狀態(tài)請(qǐng)求。標(biāo)準(zhǔn)查詢是給出主機(jī)名查詢其對(duì)應(yīng)的I P；反向查詢是給出IP 查詢其對(duì)應(yīng)的主機(jī)名；AA：占1 bit，表示該域名服務(wù)器是否是授權(quán)給該域的，1表示授權(quán)，0表示未授權(quán)；TC：占1 b i t，表示是否可截?cái)?。?dāng)使用UDP 時(shí)，若此位為1，表示當(dāng)響應(yīng)報(bào)文的總長(zhǎng)度超過(guò)512字節(jié)時(shí)，只返回前512個(gè)字節(jié)，是可截?cái)嗟?；RD：占1 b i t，表示是否期望遞歸。為1時(shí)表示查詢方式是遞歸查詢；如果該位為0，且被請(qǐng)求的域名服務(wù)器沒(méi)有一個(gè)授權(quán)回答，則查詢方式為迭代查詢；RA：占1 bit，表示是否可用遞歸。如果域名服務(wù)器支持遞歸查詢，則在響應(yīng)中將該比特設(shè)置為1，大多數(shù)名字服務(wù)器都提供遞歸查詢，除了某些根服務(wù)器；隨后的3 b i t 字段必須為0；Rc o d e：結(jié)果代碼占4 b i t，值為0表明沒(méi)有差錯(cuò)，值為1表明報(bào)文格式出錯(cuò)，值為2表明服務(wù)器查詢失敗，值為3表明名字出錯(cuò)。

(3) 問(wèn)題數(shù)、回答資源記錄數(shù)、授權(quán)資源記錄數(shù)、附

加資源記錄數(shù)分別描述各自的記錄數(shù)目。對(duì)于查詢報(bào)文，問(wèn)題數(shù)通常是1，而其他三項(xiàng)則均為0。響應(yīng)報(bào)文隨問(wèn)題不同而變化。

(4)查詢問(wèn)題：由查詢名、查詢類(lèi)型、查詢類(lèi)三部分組成。查詢名是要查找的名字，它是一個(gè)或多個(gè)標(biāo)識(shí)符的序列，它的存儲(chǔ)方法是先存儲(chǔ)每個(gè)子域的字符數(shù)，再存儲(chǔ)相應(yīng)的字符，依次存儲(chǔ)，最后填寫(xiě)一個(gè)0字節(jié)；查詢類(lèi)型占兩個(gè)字節(jié)，常用的有（A，1）代表I P 地址、（NS，2）代表名字服務(wù)器、（PT R，12）代表指針記錄；查詢類(lèi)占兩個(gè)字節(jié)，通常為（IN，1），指互聯(lián)網(wǎng)地址。

(5)資源記錄：只出現(xiàn)在響應(yīng)報(bào)文中，它們有一種統(tǒng)一的格式如圖4所示。

圖4 資源記錄格式

2.4 DNS報(bào)文解析

下面分析一個(gè)正向解析

[3，4]的查詢和響應(yīng)報(bào)文：即已

知主機(jī)名

www.safepro.com.cn 查詢其對(duì)應(yīng)的IP 值。查詢報(bào)文（用嗅探器抓的包），如圖5所示。

圖5 DNS查詢報(bào)文實(shí)例

DNS 查詢報(bào)文

header： Opcode=standard query, query question： qname= www.safepro.com.cn，qtype= A， qclass=IN

響應(yīng)報(bào)文：

header： Opcode=standard query, responsequestion： qname= www.safepro.com.cn, qtype= A,qclass=IN

answer： www.safepro.com.cn 8093 IN A 211.154.170.7

authority1：safepro.com.cn 23343 IN NS ns1.cendata.net

authority2：safepro.com.cn 23343 IN NS ns2.cendata.net

additional1：ns1.cendata.net 98296 A 211.154.160.4

a d d i t o n a l2：ns2. c e n d a t a. n e t 159916 A 211.154.168.4

響應(yīng)報(bào)文中的回答資源記錄列出了查詢結(jié)果，即www.safepro.com.cn 對(duì)應(yīng)的IP 為211.154.170.7；授權(quán)資源記錄列出了該主機(jī)名所屬域由ns1.cendata.net 和ns2.cendata.net 這兩個(gè)域名服務(wù)器來(lái)進(jìn)行管理；附加資源記錄列出了這兩個(gè)域名服務(wù)器所對(duì)應(yīng)的I P 地址，也就說(shuō)執(zhí)行主機(jī)名www.safepro.com.cn 查詢的可以是這兩個(gè)域名服務(wù)器之一。

3 DNS安全問(wèn)題及解決方案

3.1 DNS安全問(wèn)題

D N S 安全一直是人們關(guān)注的焦點(diǎn)。但是直到今天，大部分的D N S 服務(wù)器還沒(méi)有采取足夠的措施來(lái)防止這一類(lèi)的D N S 攻擊，惡意的攻擊者可以很容易地通過(guò)D N S 欺騙取得用戶的賬號(hào)密碼、個(gè)人信息、商務(wù)機(jī)密等等資料。

D N S 系統(tǒng)目前遭受到的最主要的攻擊手段，主要包括拒絕服務(wù)攻擊、誤導(dǎo)目的地址和DNS 緩存中毒。

(1)拒絕服務(wù)攻擊(Denial of Service)

D N S 采用層次化的樹(shù)狀結(jié)構(gòu)，由樹(shù)葉走向樹(shù)根就可以形成一個(gè)全資格域名。每個(gè)全資格域名都是惟一的。D N S 的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖6所示：DN S 服務(wù)器A2為網(wǎng)絡(luò)節(jié)點(diǎn)a、b、c、d工作，如果A2不能正常工作，則其

所轄的所有節(jié)點(diǎn)都無(wú)法通過(guò)域名連接到網(wǎng)絡(luò)，A2成為該子網(wǎng)的瓶頸，存在單點(diǎn)故障風(fēng)險(xiǎn)問(wèn)題。并且A2不能正常工作時(shí)，其所管轄的子域都無(wú)法解析域名，僅能通過(guò)難以記憶的I P 地址訪問(wèn)網(wǎng)絡(luò)，對(duì)多數(shù)網(wǎng)絡(luò)用戶而言，無(wú)法接入網(wǎng)絡(luò)，甚至還會(huì)被利用來(lái)對(duì)其他主機(jī)進(jìn)行反彈式攻擊。

圖6 DNS網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

(2)誤導(dǎo)目的地址

當(dāng)用戶需要取得D N S 服務(wù)時(shí)，被攻擊者提供了一條虛假D N S 響應(yīng)，讓解析器認(rèn)為是來(lái)自本地D N S 名字服務(wù)器的正確響應(yīng)，于是用戶得到的I P 地址是一個(gè)偽造的地址。接著，用戶在客戶端輸入賬號(hào)密碼，攻擊者輕易地得到了該用戶的賬號(hào)密碼。這類(lèi)攻擊的發(fā)生，主要在于目前的路由器沒(méi)有能力禁止錯(cuò)誤的源地址，因此，只要攻擊者能夠路由到你的主機(jī)，他就能夠偽造一個(gè)看起來(lái)像是從一個(gè)值得信賴的名字服務(wù)器返回的響應(yīng)報(bào)文。在上述例子中，攻擊者只需要采用D o S 攻擊名字服務(wù)器，使得名字服務(wù)器不能回應(yīng)給客戶的請(qǐng)求，而攻擊者這時(shí)候偽造響應(yīng)報(bào)文就很容易得手了。

(3)DNS緩存中毒(DNS Cache Poisoning)

D N S 為了提高查詢的效率, 普遍采用了高速緩存技術(shù), 這項(xiàng)技術(shù)能夠帶來(lái)查詢的高效率，但是也給攻擊者提供了一個(gè)良好的場(chǎng)所。具體過(guò)程：在D N S 的緩存數(shù)據(jù)還沒(méi)有過(guò)期之前, 如果D N S 的緩存區(qū)中已存在的記錄一旦被客戶查詢,DNS 服務(wù)器將把緩存區(qū)中的記錄直接返回給客戶。DNS緩存區(qū)中毒就是利用了

DNS

的緩存機(jī)制，在緩存區(qū)中存入錯(cuò)誤的數(shù)據(jù)使其被其他查詢客戶所獲得。在緩存數(shù)據(jù)的生存期內(nèi)，緩存區(qū)中毒的機(jī)器又可能將錯(cuò)誤的

數(shù)據(jù)傳播出去，導(dǎo)致更多的服務(wù)器緩存中毒。如果減少緩存數(shù)據(jù)的生存期，可以減少緩存中毒的影響范圍，但過(guò)于頻繁的緩存數(shù)據(jù)更新將大大增加服務(wù)器的負(fù)擔(dān)。

3.2 DNS安全解決方案

3.2.1 采用DNSSEC 技術(shù)保護(hù)DNS 系統(tǒng)

針對(duì)DNS 的安全特點(diǎn)，IETF于1999年3月發(fā)布了DNSSEC，它是一個(gè)DNS 協(xié)議的擴(kuò)展。DNSSEC并不是針對(duì)DNS 協(xié)議本身的補(bǔ)丁，而是一個(gè)DNS 的安全協(xié)議[5]。從對(duì)D N S 幾種攻擊方法的分析中知道，DN S 系統(tǒng)之所以容易受到欺騙的一個(gè)最根本原因就是D N S 服務(wù)器或者解析器無(wú)法分辨出D N S 報(bào)文來(lái)源的真?zhèn)我约盁o(wú)法分辨出DNS 報(bào)文是否被修改過(guò)。所以對(duì)于DNS 系統(tǒng)，最主要的是需要保護(hù)數(shù)據(jù)包的完整性和數(shù)據(jù)源的合法性。DNSSEC的根本目標(biāo)就是保護(hù)D N S 查詢報(bào)文的數(shù)據(jù)完整性和數(shù)據(jù)源的正確性。它主要采用的機(jī)制是非對(duì)稱(chēng)加密機(jī)制和數(shù)字簽名機(jī)制，DN S S E C 采用非對(duì)稱(chēng)加密算法中的公鑰加密機(jī)制以及基于Hash 函數(shù)的數(shù)字簽名技術(shù)，在某些特殊情況下，DN S S E C 也采用共享密鑰和M A C 機(jī)制來(lái)保證消息完整性。

3.2.2 利用主機(jī)的cookie 緩存功能

對(duì)一臺(tái)主機(jī)而言，利用瀏覽器本身的緩存能力，可以做到保存經(jīng)常訪問(wèn)的網(wǎng)站的c o o k i e 記錄, 當(dāng)下次訪問(wèn)時(shí)即可快速訪問(wèn), 僅當(dāng)與W e b 站點(diǎn)建立初次連接時(shí)需要進(jìn)行DNS 查詢。所以，即使DNS 服務(wù)器暫時(shí)不能提供服務(wù)，主機(jī)也可以通過(guò)c o o k i e 記錄訪問(wèn)到經(jīng)常訪問(wèn)的網(wǎng)站, 并通過(guò)Web 站點(diǎn)的超鏈接訪問(wèn)Web 站點(diǎn)內(nèi)容。擴(kuò)展主機(jī)的cookie 緩存功能, 即相當(dāng)于為DNS 服務(wù)器提供了一條旁路。此方法采用弱化D N S 功能的策略，將D N S 所承擔(dān)的單點(diǎn)故障風(fēng)險(xiǎn)分散到網(wǎng)絡(luò)的各個(gè)層次，包括主機(jī)、其他服務(wù)器、路由器等。它主要是利用主機(jī)的c o o k i e 緩存功能, 采用網(wǎng)狀延伸的辦法將D N S 體系單點(diǎn)故障的風(fēng)險(xiǎn)大大降低, 改變了原有的主機(jī)只能通過(guò)查詢固定D N S 服務(wù)器訪問(wèn)Internet 的單路徑結(jié)構(gòu), 增加了旁路, 同時(shí)減小了DNS 服務(wù)器的負(fù)荷。

3.2.3 通過(guò)D N S 服務(wù)器本身的配置以及與防火墻等的合作來(lái)加強(qiáng)DNS 的安全性

(1)包過(guò)濾防護(hù)[6]

：限制訪問(wèn)D N S 服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)包的類(lèi)型，實(shí)施包過(guò)濾的依據(jù)主要是端口、IP、流量。端口過(guò)濾指僅允許對(duì)53端口的訪問(wèn)；IP 地址限制指只允許具有合法I P 地址的用戶訪問(wèn)該I D S 服務(wù)器；流量限制指

萬(wàn)方數(shù)據(jù)

對(duì)每個(gè)IP 地址的DNS 請(qǐng)求加以流量限制，正常用戶數(shù)據(jù)包的長(zhǎng)度應(yīng)不大于512字節(jié)。

(2)防火墻保護(hù)：該技術(shù)把D N S 系統(tǒng)劃分為內(nèi)部和外部?jī)刹糠郑獠緿 N S 負(fù)責(zé)對(duì)外的正常解析工作；內(nèi)部D N S 系統(tǒng)則專(zhuān)門(mén)負(fù)責(zé)解析內(nèi)部網(wǎng)絡(luò)的主機(jī)。僅當(dāng)內(nèi)部主機(jī)要查詢Internet 上的域名，而內(nèi)部DNS 上沒(méi)有緩存記錄時(shí)，內(nèi)部DNS 才將查詢?nèi)蝿?wù)轉(zhuǎn)發(fā)到外部DNS 服務(wù)器上，由外部D N S 服務(wù)器完成查詢?nèi)蝿?wù)，以保護(hù)內(nèi)部服務(wù)器免受攻擊，同時(shí)減少了信息泄漏。

(3)網(wǎng)絡(luò)拓?fù)湎拗疲簽榱藴p少單點(diǎn)故障的威脅，從網(wǎng)

絡(luò)拓?fù)浣Y(jié)構(gòu)角度應(yīng)避免將D N S 服務(wù)器置于無(wú)旁路的環(huán)境下，不應(yīng)將所有的D N S 服務(wù)器置于同一子網(wǎng)、同一租用鏈路、同一路由器、同一自治域甚至同一物理位置。

4 結(jié)束語(yǔ)

本文在介紹DNS 的基本概念、工作原理、DNS協(xié)議的工作流程基礎(chǔ)上，研究了D N S 服務(wù)及應(yīng)用所面臨的安全問(wèn)題及存在的漏洞，同時(shí)給出了一些保護(hù)D N S 安全的措施。在DNS 應(yīng)用極為廣泛的今天有一定的現(xiàn)實(shí)意義。

參考文獻(xiàn)：

[1]Mockapetris P. Domain names-concepts and facilities. STD13,RFC 1034,November 1987.

[2]Mockapetris.P. Domain names-implementation and specification. STD13,RFC 1035,November 1987.

[3] Eastlake D,Kaufman C. Domain name system security extensions. RFC 2535,March 1999.

[4]Douglas E. Comer. TCP/IP網(wǎng)絡(luò)互聯(lián)技術(shù)(卷1)[M]. 北京：清華大學(xué)出版社, 2002.

[5]Rob Scrimger 等著. TCP/IP寶典[M]. 北京：電子工業(yè)出版社, 2002.

[6]鐘樂(lè)海. D N S :域名系統(tǒng)分析與研究[J ]. 計(jì)算機(jī)科學(xué),2002,29(8):54-56.

作者簡(jiǎn)介：吳海濤（1974-），男，碩士，講師，研究方向：數(shù)據(jù)安全與計(jì)算機(jī)網(wǎng)絡(luò)。收稿日期：2008-09-20

DNS協(xié)議分析與安全檢測(cè)

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：

引用次數(shù)：吳海濤， 郭麗紅， WU Hai-tao， GUO Li-hong南京工程學(xué)院通信工程學(xué)院,江蘇,南京,211167計(jì)算機(jī)安全NETWORK AND COMPUTER SECURITY2009，(4)0次

參考文獻(xiàn)(6條)

1. Mockapetris P Domain names-concepts and facilities.STD13 1987

2. Mockapetris P Domain names-implementation and specification.STD13 1987

3. Eastlake D. Kaufman C Domain name system security extensions 1999

4. Douglas E Comer TCP/IP網(wǎng)絡(luò)互聯(lián)技術(shù) 2002

5. Rob Scrimger TCP/IP寶典 2002

6. 鐘樂(lè)海 DNS:域名系統(tǒng)分析與研究[期刊論文]-計(jì)算機(jī)科學(xué) 2002(8)

相似文獻(xiàn)(8條)

1.期刊論文 劉立杰. LIU Lijie 域名系統(tǒng)協(xié)議分析 -吉林農(nóng)業(yè)科技學(xué)院學(xué)報(bào)2008,17(2)

DNS是Internet上解決網(wǎng)上機(jī)器命名的一種系統(tǒng).在Internet上,當(dāng)一臺(tái)主機(jī)要訪問(wèn)另外一臺(tái)主機(jī)時(shí),必須首先獲知其地址,這就是DNS所要解決的問(wèn)題.本文介紹了DNS的概念、DNS的組成并對(duì)DNS的查詢報(bào)文和響應(yīng)報(bào)文作了詳細(xì)分析,從而進(jìn)一步了解DNS的工作原理.

2.期刊論文 林曼筠. Lin Manyun 域名服務(wù)器的安全保護(hù) -網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2001(1)

域名系統(tǒng)使用域名空間中便于人們理解和記憶的名稱(chēng)來(lái)代替枯燥而難以記憶的數(shù)字--IP地址來(lái)定位Internet中的資源,它所提供的名字解析服務(wù),是目前多種Internet服務(wù)正常運(yùn)轉(zhuǎn)、實(shí)施的基礎(chǔ).本文介紹了域名系統(tǒng)及其工作原理,從系統(tǒng)設(shè)計(jì)、軟件實(shí)現(xiàn)和系統(tǒng)配置等方面對(duì)其安全脆弱性進(jìn)行分析,強(qiáng)調(diào)保護(hù)其核心設(shè)施--域名服務(wù)器安全的重要性,并在此基礎(chǔ)上指出域名服務(wù)器的安全保護(hù)措施.

3.期刊論文 盧曉軒. 王順曄. LU Xiaoxuan. WANG Shunye ENUM體系中NAPTR資源記錄的研究 -科學(xué)技術(shù)與工程2006,6(3)

下一代網(wǎng)絡(luò)是一個(gè)融合的網(wǎng)絡(luò),要實(shí)現(xiàn)網(wǎng)絡(luò)的融合,網(wǎng)絡(luò)標(biāo)識(shí)和尋址技術(shù)是至關(guān)重要的.ENUM就是作為電信網(wǎng)和互聯(lián)網(wǎng)的尋址技術(shù)出現(xiàn)的.ENUM是DDDS算法的一個(gè)具體應(yīng)用,采用DNS系統(tǒng)中的NAPTR類(lèi)型存儲(chǔ)算法規(guī)則庫(kù).介紹了ENUM體系的功能原理,就其功能范圍進(jìn)行了討論.然后分析了DDDS算法,詳細(xì)闡述了NAPTR資源記錄,根據(jù)定義給出了更加嚴(yán)格的enumservice服務(wù)分類(lèi).

4.會(huì)議論文 劉晨光. 秦華 基于P2P的下一代互聯(lián)網(wǎng)域名系統(tǒng)節(jié)點(diǎn)管理和功能設(shè)計(jì) 2009

域名系統(tǒng)是Internet的基礎(chǔ)。IPv6網(wǎng)絡(luò)的新特性，要求基于IPv6的域名系統(tǒng)提供動(dòng)態(tài)高效的域名服務(wù)。鑒于傳統(tǒng)的域名系統(tǒng)模型使得DNS服務(wù)器容易成為網(wǎng)絡(luò)的瓶頸和攻擊目標(biāo)，提出了采用P2P對(duì)等網(wǎng)絡(luò)思想構(gòu)建動(dòng)態(tài)高效的IPv6 DNS域名系統(tǒng)，著重討論了系統(tǒng)中的節(jié)點(diǎn)管理策略，并針對(duì)超節(jié)點(diǎn)選擇、資源記錄存儲(chǔ)、域名注冊(cè)、域名更新、域名解析等關(guān)鍵問(wèn)題提出了解決方案。最后分析并指出了今后的研究方向。

5.期刊論文 張愛(ài)華. 鄭雪峰. 靳鳳榮 IPv6 協(xié)議下域名系統(tǒng)的擴(kuò)展與實(shí)現(xiàn) -微機(jī)發(fā)展2004,14(7)

為了實(shí)現(xiàn)對(duì)IPv6協(xié)議的支持,需要對(duì)現(xiàn)有IPv4協(xié)議下的域名系統(tǒng)進(jìn)行相應(yīng)的擴(kuò)展,以使其能在IPv6協(xié)議下正確地進(jìn)行IP地址與域名的正向或反向解析.域名系統(tǒng)的擴(kuò)展主要包括以下兩方面:一是增加了兩個(gè)新的資源記錄AAAA和A6來(lái)存儲(chǔ)IPv6地址,以實(shí)現(xiàn)域名到IPv6地址的正向解析;二是增加了兩個(gè)新域:ip6.int和ip6.arpa,以實(shí)現(xiàn)IPv6地址到域名的反向解析.文中以著名的域名系統(tǒng)軟件BIND為對(duì)象,以Linux操作系統(tǒng)Redhat 9作為實(shí)驗(yàn)平臺(tái),詳細(xì)介紹了基于Linux平臺(tái)的域名系統(tǒng)對(duì)IPv6協(xié)議的擴(kuò)展與實(shí)現(xiàn),從而為實(shí)現(xiàn)IPv4到IPv6的平穩(wěn)過(guò)渡打下了堅(jiān)實(shí)基礎(chǔ).

6.期刊論文 鄒臣嵩 在WINDOWS 2003 SERVER下配置DNS服務(wù)器 -科技資訊2007(11)

DNS是網(wǎng)絡(luò)建設(shè)中首要解決的問(wèn)題之一,是實(shí)現(xiàn)Internet應(yīng)用的基礎(chǔ),其作用是實(shí)現(xiàn)域名與IP地址之間的轉(zhuǎn)換.本文介紹了DNS的基本概念、應(yīng)用范圍,并分步說(shuō)明如何在WindowsServer 2003產(chǎn)品中為域名系統(tǒng)(DNS)配置Internet訪問(wèn).

7.期刊論文 郭麗楠 支持IPv6地址聚合和重編號(hào)的DNS擴(kuò)展 -平原大學(xué)學(xué)報(bào)2004,21(3)

本文檔定義了對(duì)域名系統(tǒng)的修改以支持可重編號(hào)和可聚合IPv6尋址.這些修改包括用一種加速網(wǎng)絡(luò)重編號(hào)和修改已有查詢類(lèi)型定義的方式,以一種新的資源記錄類(lèi)型來(lái)存儲(chǔ)IPv6地址,這些已有的查詢類(lèi)型返回Internet地址作為部分附加開(kāi)銷(xiāo).

8.學(xué)位論文 楊水根 主機(jī)標(biāo)識(shí)協(xié)議的移動(dòng)性管理研究 2008

在傳統(tǒng)互聯(lián)網(wǎng)的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議（Transmission Control Protocol/Internet Protocol，TCP/IP）體系中，IP地址既代表節(jié)點(diǎn)的位置標(biāo)識(shí)，又代表節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)：網(wǎng)絡(luò)層使用IP地址作為節(jié)點(diǎn)在網(wǎng)絡(luò)中的位置標(biāo)識(shí)，用于路由；傳輸層使用IP地址作為節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)，用于建立傳輸層的連接。當(dāng)節(jié)點(diǎn)由于發(fā)生移動(dòng)而改變其IP地址時(shí)，傳輸層連接中斷，需要重新建立連接。因此，傳統(tǒng)互聯(lián)網(wǎng)的TCP/IP協(xié)議體系不利于支持節(jié)點(diǎn)的移動(dòng)。 @@ 解決傳統(tǒng)互聯(lián)網(wǎng)移動(dòng)性問(wèn)題的關(guān)鍵在于把IP地址的主機(jī)標(biāo)識(shí)和位置標(biāo)識(shí)進(jìn)行分離。由互聯(lián)網(wǎng)工程任務(wù)組（Internet Engineering Task Force，IETF）和互聯(lián)網(wǎng)研究任務(wù)組（Internet Research Task Force，IRTF）聯(lián)合提出的主機(jī)標(biāo)識(shí)協(xié)議（Host IdentityProtocol，HIP）通過(guò)在網(wǎng)絡(luò)層和傳輸層之間增加新的主機(jī)標(biāo)識(shí)層，以及引入經(jīng)過(guò)加密的主機(jī)標(biāo)識(shí)標(biāo)簽作為節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)，把IP地址的雙重功能分離，從而可以較好地支持移動(dòng)性。本文對(duì)HIP的移動(dòng)性管理機(jī)制，包括HIP的位置管理機(jī)制和切換管理機(jī)制，進(jìn)行了深入的研究，取得如下研究成果： @@ 1． 設(shè)計(jì)一種支持HIP的域名系統(tǒng)（Domain NameSystem，DNS）資源記錄，用于解析節(jié)點(diǎn)的域名、主機(jī)標(biāo)識(shí)標(biāo)簽和IP地址三者之間的映射關(guān)系。在此基礎(chǔ)上，建立一種基于DNS的HIP位置管理機(jī)制。該機(jī)制將互聯(lián)網(wǎng)劃分成多個(gè)區(qū)域網(wǎng)絡(luò)，使用集合服務(wù)點(diǎn)管理每個(gè)區(qū)域網(wǎng)絡(luò)中節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)標(biāo)簽和IP地址之間的映射關(guān)系，使用DNS管理節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)標(biāo)簽和對(duì)應(yīng)集合服務(wù)點(diǎn)的IP地址之間的映射關(guān)系。 @@

2．提出一種基于動(dòng)態(tài)層次位置管理的HIP微移動(dòng)性支持機(jī)制。該機(jī)制引入網(wǎng)關(guān)集合服務(wù)點(diǎn)將區(qū)域網(wǎng)絡(luò)劃分成多個(gè)自治域，引入本地集合服務(wù)點(diǎn)將每個(gè)自治域劃分成多個(gè)注冊(cè)域，形成三層的層次體系結(jié)構(gòu)，從而將節(jié)點(diǎn)移動(dòng)時(shí)的位置更新消息限制在一定的位置管理域內(nèi)。另外，節(jié)點(diǎn)根據(jù)自己的移動(dòng)速度和會(huì)話到達(dá)速度，動(dòng)態(tài)地選取注冊(cè)域并計(jì)算該注冊(cè)域的最佳范圍。性能分析表明，當(dāng)節(jié)點(diǎn)的移動(dòng)速度大于會(huì)話到達(dá)速度時(shí)，該機(jī)制可以顯著降低總的信令開(kāi)銷(xiāo)，從而較好的支持節(jié)點(diǎn)的微移動(dòng)性。 @@ 3．針對(duì)移動(dòng)節(jié)點(diǎn)能量受限的問(wèn)題，對(duì)基于動(dòng)態(tài)層次位置管理的HIP微移動(dòng)性支持機(jī)制進(jìn)行尋呼功能的擴(kuò)展，提出支持尋呼的HIP位置管理機(jī)制。該機(jī)制將網(wǎng)絡(luò)中的移動(dòng)節(jié)點(diǎn)分成處于激活狀態(tài)的移動(dòng)節(jié)點(diǎn)和處于空閑狀態(tài)的移動(dòng)節(jié)點(diǎn)兩類(lèi)，通過(guò)減少處于空閑狀態(tài)移動(dòng)節(jié)點(diǎn)的位置注冊(cè)和位置更新消息數(shù)量，降低了網(wǎng)絡(luò)中的冗余信令，同時(shí)也節(jié)省了移動(dòng)節(jié)點(diǎn)的能量消耗。性能分析表明，該機(jī)制可 以降低總的信令開(kāi)銷(xiāo)，并且支持大量移動(dòng)節(jié)點(diǎn)的位置管理。@@ 4．對(duì)傳統(tǒng)端到端的HIP機(jī)制進(jìn)行擴(kuò)展，引入支持HIP機(jī)制的移動(dòng)路由器，并在此基礎(chǔ)上提出一種基于HIP的子網(wǎng)移動(dòng)性支持機(jī)制。在該機(jī)制中，移動(dòng)路由器給每個(gè)移動(dòng)子網(wǎng)節(jié)點(diǎn)分配一個(gè)私有IP地址，保存移動(dòng)子網(wǎng)節(jié)點(diǎn)的主機(jī)標(biāo)識(shí)標(biāo)簽及其私有IP地址之間的映射關(guān)系，并對(duì)移動(dòng)子網(wǎng)節(jié)點(diǎn)和通信節(jié)點(diǎn)之間的數(shù)據(jù)報(bào)文進(jìn)行相應(yīng)的IP地址替換。當(dāng)節(jié)點(diǎn)在移動(dòng)子網(wǎng)內(nèi)移動(dòng)時(shí)，只需要在移動(dòng)路由器中進(jìn)行位置更新。性能分析表明，和基于移動(dòng)IPv6的子網(wǎng)移動(dòng)性支持機(jī)制相比，基于HIP的子網(wǎng)移動(dòng)性支持機(jī)制可以顯著降低總的信令開(kāi)銷(xiāo)。 @@ 5． 提出一種基于HIP和會(huì)話初始協(xié)議（Session Initiation Protocol，SIP）的跨層切換管理機(jī)制，使用通信雙方的主機(jī)標(biāo)識(shí)標(biāo)簽建立SIP會(huì)話連接，并利用HIP快速感知底層網(wǎng)絡(luò)狀況變換的能力以及HIP的位置更新機(jī)制，進(jìn)行節(jié)點(diǎn)移動(dòng)時(shí)的切換管理。性能分析表明，該機(jī)制可以降低節(jié)點(diǎn)移動(dòng)時(shí)的切換時(shí)延、報(bào)文丟失個(gè)數(shù)以及切換阻塞率。 @@關(guān)鍵詞：主機(jī)標(biāo)識(shí)協(xié)議；移動(dòng)性管理；位置管理；切換管理；尋呼

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_dzzwyjc200904008.aspx

下載時(shí)間：2010年4月21日