昆明大學(xué)學(xué)報(bào)　　2006, 17(4):41～43　　Journal of K un m i ng Un iversityCN 53-1144/G 4域名服務(wù)安全及解決策略黃建業(yè), 王　鋒(昆明理工大

昆明大學(xué)學(xué)報(bào)　　2006, 17(4):41～43　　Journal of K un m i ng Un iversity

CN 53-1144/G 4

域名服務(wù)安全及解決策略

黃建業(yè), 王　鋒

(昆明理工大學(xué)信息工程與自動化學(xué)院, 云南昆明　650093)

摘　要:域名服務(wù)是i n t e rne t 最重要和最基本的服務(wù), DN S 的穩(wěn)定和安全直接關(guān)系到internet 的正常與否。本

文分析DNS 服務(wù)及應(yīng)用所面臨的安全問題, 重點(diǎn)探討了DNS 體系結(jié)構(gòu)的弱點(diǎn)。并提出相關(guān)建議和解決方案。關(guān)鍵詞:ACL ; TSI G ; FQDN ; DN SSEC ; 遞歸查詢; 數(shù)字簽名; 單點(diǎn)故障

[中圖分類號]TP 393. 08　[文獻(xiàn)標(biāo)識碼]A 　[文章編號]1671-2056(2006) 04-0041-03

請求查詢通常不加以驗(yàn)證, 網(wǎng)絡(luò)拓?fù)洹⒆泳W(wǎng)結(jié)構(gòu)等敏感信息容易泄漏, 導(dǎo)致增加了被攻擊的可能和降低了攻擊的難度。尤其是存在區(qū)傳送的情況下, 如果配置不當(dāng), 很容易導(dǎo)致敏感信息的泄漏。

1　引言

DNS (域名系統(tǒng)) 是一個多層次的分布式數(shù)據(jù)庫, 它主要完成域名解析(即I P 地址和域名的映射) 和資源定位服務(wù), 在interne t 上起著定位的作用, 是許多inte r ne t 服務(wù)(如www 、ft p 、e m ail 等) 的基礎(chǔ)。它通過客戶端———服務(wù)器的方式工作, 在服務(wù)器中存放域名信息, 允許客戶端訪問所需的數(shù)據(jù), 其數(shù)據(jù)庫的結(jié)構(gòu)為倒著的樹形結(jié)構(gòu), 每一個樹節(jié)點(diǎn)即為一個域, 每個域由不同的組織進(jìn)行管理, 每個域下有子節(jié)點(diǎn)構(gòu)成子域, 形成一個完整的分布式數(shù)據(jù)庫。如圖:

2. 2　DNS 結(jié)構(gòu)的單點(diǎn)故障

DNS 采用層次化的樹狀結(jié)構(gòu), 由樹葉走向樹根就可以形成一個全資格域名(full y qua lified do -m ain na m e , FQDN ), 每個FQDN 都是惟一的, 而DNS 服務(wù)器作為該FQDN 唯一對外的域名數(shù)據(jù)庫和對內(nèi)部提供遞歸域名查詢的系統(tǒng), DNS 服務(wù)器系統(tǒng)和DNS 服務(wù)的安全和穩(wěn)定就存在單點(diǎn)故障風(fēng)險(xiǎn)問題。2001年1月, 著名的微軟公司就是由于其權(quán)威名字服務(wù)器發(fā)生了單點(diǎn)故障從而導(dǎo)致了實(shí)際上的拒絕服務(wù)攻擊(DOS ) , 同時(shí)也給全球的DNS 流量增加了大量額外的負(fù)載和明顯的時(shí)延。而常見的解決辦法就是取了非常嚴(yán)密的安全防護(hù)措施, 使得其抵御故障和攻擊的能力大大增強(qiáng), 例如使用主從服務(wù)器并分布在不同網(wǎng)段來降低單點(diǎn)故障的風(fēng)/

險(xiǎn), 加固DNS 系統(tǒng)等。但是這樣同樣會帶來其它的安全問題, 如區(qū)傳送、區(qū)域數(shù)據(jù)的一致性等問題和DNS 系統(tǒng)性能、成本上的問題。

2. 3　DNS 系統(tǒng)軟件的漏洞

DNS 服務(wù)是internet 的基本支撐, 其安全問題具有舉足輕重的地位, 但是同其它TCP /IP 協(xié)議一樣, DNS 本身從開始設(shè)計(jì)就沒有考慮到安全性, 它既沒有在DNS 內(nèi)部對DNS 中的數(shù)據(jù)提供認(rèn)證機(jī)制和完整性檢查, 也不提倡對DNS 提供的服務(wù)進(jìn)行訪問控制和限制, 造成了很多安全漏洞并遭受到了各種各樣的安全攻擊, 對整個inte r ne t 的活動造成了巨大和深遠(yuǎn)的影響。

Inter net 上的DNS 系統(tǒng)絕大多數(shù)采用I SC 的BI ND (Ber ke l ey I nte r ne t Na m e Do m ain ) , 其它還有微軟自帶的DNS 、C isco N et wo r k Reg istrar 、Lucen t Q I P 、Foundation ANS 、VGRS ATL AS 等, 使用都不太廣泛。B I ND 提供高效服務(wù)的同時(shí)也存在著眾多的安全性漏洞, Ce rt2002年度報(bào)告中指出, BI ND 的安全漏洞成為當(dāng)年最具威脅的漏洞。構(gòu)成嚴(yán)重威脅DNS 的漏洞主要在下面幾方面:

(1) DNS 系統(tǒng)軟件所在的操作系統(tǒng)漏洞:DNS 系統(tǒng)需要操作系統(tǒng)的支持, 如W indow s 、Unix /L inux , 各種操作系統(tǒng)都存在不同程度安全漏洞和系統(tǒng)配置漏洞, 而操作系統(tǒng)的問題會直接導(dǎo)致DNS 系統(tǒng)的安全問題。

(2) DNS 緩沖區(qū)溢出漏洞:嚴(yán)重的可以使攻

2　DNS 存在的安全問題

2. 1　區(qū)域信息泄漏

DNS 服務(wù)器作為公開開放的數(shù)據(jù)庫, 對域名

收稿日期:2006-10-31

作者簡介:黃建業(yè)(1972-), 男, 云南永勝人, 碩士研究生, 昆明大學(xué)信息中心實(shí)驗(yàn)師, 主要從事網(wǎng)絡(luò)安全、系統(tǒng)

究.

42　　　　　　　　　　　　　　　昆明大學(xué)學(xué)報(bào)　　　　　　　　　　　　　　　　　　　　第17卷

免費(fèi)使用。B I ND 不斷增加新的安全功能, 填補(bǔ)以前的安全漏洞, 因此使用B I ND 的最新版本可以大大提高DNS 的安全性。但是隨著新漏洞的發(fā)現(xiàn), 最新版本也將成為不安全的舊版本。

保證足夠的容災(zāi)和容錯手段, 如硬件的冗余、多點(diǎn)網(wǎng)絡(luò)連接和建立M aster /Slave DNS 服務(wù)器, 防止單點(diǎn)故障的發(fā)生。

擊者在DNS 服務(wù)器上執(zhí)行任意指令, 如B I ND4和B I ND8中存在一個遠(yuǎn)程緩沖溢出缺陷(B I ND S I G Cached RR O ve rflo w DOS CAN -2002-1219) , 該缺陷使得攻擊者可以在DNS 服務(wù)器上運(yùn)行任意指令。

(3) DNS 拒絕服務(wù)(DoS ) 漏洞:受攻擊后DNS 服務(wù)器不能提供正常服務(wù), 使得其所轄的子網(wǎng)無法正常工作和導(dǎo)致該FQDN 對外的解析不能運(yùn)行。如B I ND S I G Exp iry T i m e DoS (CAN -2002-1221) 遞歸方式的B I ND 8服務(wù)程序會因?yàn)槭褂靡粋€無效空指針而突然中斷服務(wù)。

3. 2　對DNS 進(jìn)行安全配置(以BI N D9為基礎(chǔ))

3. 2. 1　訪問控制列表(ACL ) 進(jìn)行查詢控制

訪問控制列表(ACL s ) 是地址的匹配列表, 建立一個訪問地址列表并指定名稱, 在以后的al -lo w -no tify , a llo w -quer y , allo w -recursion , b lac k -ho le , all ow -transfe r 等配置里面使用。訪問控制列表可以對訪問域名服務(wù)器的I P 進(jìn)行良好的控制, 實(shí)現(xiàn)ACL s 來控制對服務(wù)器的訪問。對外部的用戶I P 地址來限制對服務(wù)器的訪問可以防止對域名服務(wù)器的欺騙和DoS 攻擊。下面是一個應(yīng)用ACLs 的例子:

　//創(chuàng)建一個名稱為”bogusnets ”的ACLs 來阻止經(jīng)常用于欺騙性攻擊的(RFC 1918) 地址空間

acl bogus nets {0. 0. 0. 0/8; 1. 0. 0. 0/8; 2. 0. 0. 0/8; 192. 0. 2. 0/24; 224. 0. 0. 0/3; 10. 0. 0. 0/8; 172. 16. 0. 0/12; };

acl our -ne ts {x . x . x . x /24; x . x . x . x /21; }; /創(chuàng)建一個名稱為/ou r -ne ts 的ACL , 并將其配置/為實(shí)際現(xiàn)網(wǎng)的/ip 地址

options {

　allo w -q uery {our -nets ; }; /允許內(nèi)部網(wǎng)絡(luò)進(jìn)行查詢/

　allo w -recursion {our -nets ; }; /允許內(nèi)部網(wǎng)絡(luò)進(jìn)行遞歸調(diào)用查詢/

　ve rsion “None o f your business ”; //B I ND 版本保護(hù), 隱藏版本信息

　…

　b lackho le {bogusne ts ; }; /不允許進(jìn)行查詢的網(wǎng)絡(luò)地址/

　…　};

　zone “exa m ple . co m ”{/權(quán)威區(qū)域名/

　t ype m aste r ; /主/DNS 服務(wù)器

　file “exa m ple . co m ”;

/權(quán)威區(qū)域正向解析數(shù)據(jù)庫文件/

　allo w -q uery {any ; }; /允許所有/I P 地址來對該權(quán)威區(qū)域進(jìn)行查詢

　}; 3. 2. 2　以最小權(quán)限運(yùn)行BI ND

以超級用戶的身份運(yùn)行像B I ND 這樣的網(wǎng)絡(luò)服務(wù)器是非常危險(xiǎn)的, 在UN I X 服務(wù)器中, 可以用“-t ”選項(xiàng)讓運(yùn)行在指定的環(huán)境中(chr oo t ()) , 這種方法可以提高系統(tǒng)的安全性, 主要是在系統(tǒng)遭到破壞時(shí)降低損失, 稱為“沙箱”。

I 在UN I X 2. 4　緩沖區(qū)中毒

DNS 為了提高查詢的效率, 采用緩存機(jī)制,

在DNS 的緩存數(shù)據(jù)還沒有過期之前, 在DNS 的緩存區(qū)中已存在的記錄一旦被客戶查詢, DNS 服務(wù)器將把緩存區(qū)中的記錄直接返回給客戶。利用DNS 的緩存機(jī)制, 在緩存區(qū)中存入錯誤的數(shù)據(jù)使其被其他查詢客戶所獲得, 在緩存數(shù)據(jù)的生存期(TTL ) 內(nèi), 緩存區(qū)中毒的機(jī)器又可能將錯誤的數(shù)據(jù)傳播出去, 導(dǎo)致更多的服務(wù)器緩存中毒。如果減少緩存數(shù)據(jù)的生存期, 可以減少緩存中毒的影響范圍, 但過于頻繁的緩存數(shù)據(jù)更新將大大增加服務(wù)器的負(fù)擔(dān)。

2. 5　不安全的DNS 動態(tài)更新

動態(tài)主機(jī)配置協(xié)議(DHCP ) 簡化了I P 地址管理。但是使更新A 記錄和PTR 記錄變得很困難, 因此RFC2136提出了DNS 動態(tài)更新, 使得DNS 客戶端在I P 地址或名稱出現(xiàn)更改的任何時(shí)候都可利用DNS 服務(wù)器來注冊和動態(tài)更新其資源記錄。盡管DNS 動態(tài)更新協(xié)議規(guī)定只有經(jīng)過授權(quán)的主機(jī)才能動態(tài)更新服務(wù)器的區(qū)文件(Zone F ile ), 但是攻擊者可以利用I P 欺騙偽裝成DNS 服務(wù)器信任的主機(jī)對區(qū)數(shù)據(jù)進(jìn)行添加、刪除和替換。

2. 6　域名欺騙

由于DNS 查詢是采用UDP 53端口明文傳輸, 攻擊者監(jiān)聽客戶機(jī)(cli ent ) 的域名解析器(r esolv -er ) 和域名服務(wù)器(s erver ) 之間的通信, 從而竊聽并篡改數(shù)據(jù)包, 欺騙resolve r 或ser ver , 最終使客戶機(jī)被誤引至“陷阱”網(wǎng)站或者使DNS 服務(wù)器得到錯誤信息。由此進(jìn)一步實(shí)施更為復(fù)雜的攻擊, 如名稱鏈攻擊、DoS 攻擊放大器、緩沖區(qū)中毒等。

DNS 根記錄文件篡改、根域名服務(wù)器和區(qū)權(quán)威服務(wù)器的欺騙都有可能導(dǎo)致大范圍的域名欺騙。而客戶端用戶受木馬、惡意代碼或者誘導(dǎo)連接也會產(chǎn)生域名欺騙。

3　DNS 安全解決策略

3. 1　增強(qiáng)DNS 系統(tǒng)的安全和可靠

盡量選擇安全、穩(wěn)定和可靠的硬件和操作系統(tǒng), 保證操作系統(tǒng)擁有的最小的服務(wù)和最高的安全等級, 保證系統(tǒng)的安全補(bǔ)丁更新、防病毒和防火墻的正確配置。

使用最新版本的的DNS 服務(wù)器軟件, I n ter net 上使用最廣泛的DNS 服務(wù)軟件是BI ND , 目前最新穩(wěn). 3, //. r g

第4期　　　　　　　　　　　　　　　黃建業(yè), 等:域名服務(wù)安全及解決策略將B I ND 的后臺程序以非特權(quán)用戶身份運(yùn)行。建議在以非特權(quán)用戶身份運(yùn)行B I ND 時(shí), 同時(shí)使用chroo t 的特性。

/usr/local /bin/nam ed -u na m ed -t /var/nam ed

上面的命令以用戶na m ed 運(yùn)行B I ND , 以/var/na m ed 為BI ND 服務(wù)的“根”目錄, 當(dāng)然要把B I ND 的所有必需文件放到/var/nam ed 下, 同時(shí)該目錄的擁有者是na m ed 用戶。

43

3. 3　拆分名字服務(wù)器并分離名字空間

名字服務(wù)器實(shí)際上有兩個主要功能:回答來自遠(yuǎn)程名字服務(wù)器的反復(fù)查詢, 并且回答來自本地解析器的遞歸查詢。如果分離這些功能, 將名字服務(wù)器的一部分專門用于回答反復(fù)查詢, 而另一部分則回答本區(qū)域內(nèi)部遞歸查詢, 這樣就能更有效地保護(hù)這些名字服務(wù)器的安全。當(dāng)然要實(shí)現(xiàn)該功能可以使用不同的DNS 服務(wù)器或者在同一臺服務(wù)器上使用ACLs 。

　V ie w our -nets {

　　m a tch -c lients {ou r -ne ts ; }; //建立內(nèi)部視圖

　　r ecursi on yes ; //打開遞歸查詢, 只允許該區(qū)域內(nèi)部用戶對外遞歸//查詢

　　　　z one “exa m ple . co m ”{//權(quán)威區(qū)域名

　type m aster ; //內(nèi)部主DNS 服務(wù)器

　　　　　file “exa m ple . co m . host ”; }; //內(nèi)部權(quán)威區(qū)域正向解析數(shù)據(jù)庫文件

　　…}; //省略建立權(quán)威區(qū)域?qū)?nèi)部的反向解析省略

　v ie w o t her {

　　m a tch -c lients {any ; }; //建立外部視圖

　　r ecursi on no ; //關(guān)閉遞歸查詢, 只允許該區(qū)域外部用戶對該權(quán)威//區(qū)域進(jìn)行查詢

　　zone “exa m ple . co m ”{//對外部解析的權(quán)威區(qū)域名

　　　type m aster ; //對外主DNS 服務(wù)器區(qū)域信息泄漏

　　file “exa m ple . co m . host -ex t ”;}; //對外部權(quán)威區(qū)域正向解析數(shù)據(jù)庫文件

　　…}; //省略建立權(quán)威區(qū)域?qū)ν獠康姆聪蚪馕鍪÷?/p>

通過ACLs 和視圖, 實(shí)現(xiàn)了名字服務(wù)器的拆分并分離了名字空間, 從而防止了區(qū)域信息對外部的泄漏, 還提高了DNS 服務(wù)對外的抗DoS 能力和性能。3. 4　TSI G 機(jī)制(Secret K ey Tran s action Au t h en -tication for DNS )

B I ND 使用了一種保護(hù)DNS 消息的新機(jī)制, 稱為“事務(wù)簽名”,簡寫成TSI G , 利用TSI G 實(shí)現(xiàn)保護(hù)查詢、響應(yīng)、區(qū)傳送和動態(tài)更新。TSI G 使用共享密鑰和單向散列函數(shù)來鑒別DNS 消息, 可以完成clien t 與s e r ver 、M aster 與Salve 雙向身份驗(yàn)證,

實(shí)現(xiàn)在DNS 動態(tài)更新中服務(wù)器對客戶機(jī)的認(rèn)證安

全和M aster 、Sa l ve DNS 服務(wù)器在區(qū)傳送的認(rèn)證安全, 也包括對交換數(shù)據(jù)的完整性認(rèn)證。

這種認(rèn)證是host -host 性質(zhì)的, 需要事先在host -ho st 兩方建立共享密鑰, 利用該密鑰通過HMAC -MD5算法生成簽名數(shù)據(jù), 利用TS I G RR 交換數(shù)據(jù), 實(shí)現(xiàn)雙方身份及數(shù)據(jù)認(rèn)證。其缺點(diǎn)是共享密鑰必須在線外傳遞這給使用者帶來很大不便; RFC2930中還提出利用TKEY RR 來交換密鑰, 但這需要雙方事先通過某種途徑對對方身份進(jìn)行確認(rèn)。

　Serve r 192. 168. 249. 1{keys {key . exa m ple . co m .; };

　　　ser ver 語句告訴本地名字服務(wù)器使用密鑰key . exa m ple . co m . 對所有發(fā)送給192. 168. 249. 1的請求進(jìn)行簽名。

　Zone “exa m ple . co m “{　　　　a ll o w -tr ansfer {key key . exa m ple . co m .; };

　　…}; 在192. 168. 249. 1上, 限制區(qū)傳送, 使之成為用key . exa m ple . co m . 密鑰簽名的區(qū)傳送。

3. 5　DNS 安全擴(kuò)展(DNSSEC )

TS I G 非常適合于保護(hù)兩臺名字服務(wù)器之間或更新者與名字服務(wù)器之間的通信安全, 而名字服務(wù)器與任意I nte r ne t 名字服務(wù)器之間的通信安全使用公共密鑰加密系統(tǒng)(pub lic key cryp t ography ) 來實(shí)現(xiàn), 即RFC2535中說明的DNS 安全擴(kuò)展(DNS Se -curity Extensions ) 。用公共密鑰加密系統(tǒng)使區(qū)管理員對其區(qū)數(shù)據(jù)進(jìn)行數(shù)字簽名, 從而證明數(shù)據(jù)的真實(shí)性。具體實(shí)現(xiàn)如下:

域名空間中的每一區(qū)域(ZONE ) 都有一私有密鑰, 只有區(qū)域所有者掌握, 與之配對的公開密鑰, 使用設(shè)立KEY RR 資源記錄, 用于存貯和發(fā)布公鑰。

區(qū)域所有者用自己的私鑰對各RR (資源記錄) 進(jìn)行簽名, 形成相應(yīng)的S I G 類型的RR , 但不含對該區(qū)域的子域的粘合記錄(g l ue RR ) 進(jìn)行簽名, 對區(qū)域的KEY RR 的簽名是由父域的私鑰完成的, 這樣如果用戶信任父域且有父域的公鑰, 就會解密且得到區(qū)域的公鑰, 并信任該區(qū)域。所以只要res o l ver 安全地獲得域根的公鑰, 就可認(rèn)證和信任域名空間所有被父域所簽名區(qū)域, 從而形成信任鏈。

當(dāng)res o lve r 查詢ser ver 時(shí), serve r 除作標(biāo)準(zhǔn)的響應(yīng)外, 還在Additiona l 區(qū)域附加相應(yīng)的S I G RR , s e r ver 用所查詢區(qū)域的公鑰對SI G RR 驗(yàn)證, 從而獲得數(shù)據(jù)完整性和數(shù)據(jù)來源認(rèn)證。同時(shí)設(shè)立NXT 類型記錄, 以提供授權(quán)的域名拒絕。

DNSSEC 實(shí)現(xiàn)了區(qū)域權(quán)威到用戶的完整性及來源認(rèn)證, 是一種端到端的安全解決方案。利用DNSSEC 可基本構(gòu)建安全的DNS 體系, 但不能防止服務(wù)器受DoS 攻擊或由其衍生出的攻擊形式, 甚至加重了這種攻擊效果, 而利用TSI G 可解決這個問題, 但TS I G 不是一種大規(guī)模實(shí)施的方案。

(下轉(zhuǎn)第54頁)

54　　　　　　　　　　　　　　　昆明大學(xué)學(xué)報(bào)　　　　　　　　　　　　　　　　　　　　第17卷

貴州大學(xué)學(xué)報(bào)(自然科學(xué)版), 2005(8) .

[3]　李樂山, Human -Computer Interac tion De sign 人機(jī)界面設(shè)計(jì)[M ]. 科學(xué)出版社, 2004.

[4]　楊曉波, 應(yīng)用軟件人機(jī)界面的設(shè)計(jì)原則[J ]. 甘肅高師學(xué)報(bào), 2005(2) .

[5]　邵家駿, 質(zhì)量功能展開[M ]. 北京:機(jī)械工業(yè)出

版社,

2004.

而達(dá)到設(shè)計(jì)效果顯著、節(jié)約經(jīng)費(fèi)、減少改進(jìn)時(shí)間、質(zhì)量得到保障, 為用戶提供完美的界面和更令人滿意的應(yīng)用軟件。

[參考文獻(xiàn)]

[1]　熊偉, 質(zhì)量機(jī)能展開[M ]. 北京:化學(xué)工業(yè)出版

社, 2005. [2]　溫希祝, 應(yīng)用軟件系統(tǒng)人機(jī)界面設(shè)計(jì)的探討[J ].

H u m an -Co mputer In teraction D esi gn Based on HOQ

LI U Yu -yan

(E lectron ic Info r ma tion andM echanica l Eng i neering D epart m ent of K un m i ng U niversit y , Y unnan K un m ing 650118, Ch i na )

Abst ract :Reasonable i n terac tion de signing m akes use rsm ore successful and satisfied , other w ise the failed interac -tion design i n g m akes use rs fr ustrated . U sing HOQ to w o r k out key -points o f hu m an co m puter interaction design is to point ou t the d irection o f designing satisfied hum an co mpu ter inte r action . K ey w ords :hum an -compu ter interaction ; house of qua lity ; i n t e raction design

(上接第43頁)

安全問題將有望獲得全面解決。目前我們能做的就是:在對安全的要求和實(shí)現(xiàn)代價(jià)之間尋求一種平衡。

4　結(jié)束語

域名系統(tǒng)安全是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個重要課題, 是關(guān)系到國家利益的重大問題, 本本文在分析DNS 安全漏洞的基礎(chǔ)上, 對DNS 網(wǎng)絡(luò)攻擊的起因做了深入分析。并以BI ND 9為探討重點(diǎn), 提出了一些安全防范策略和實(shí)現(xiàn)了DNS 的安全防范的一些基本方法。并初步探討了DNSSEC 的安全防范思想、工作原理, 最重要的一點(diǎn)是:DNSSEC 使DNS 不具有欺騙性。但是DNSSEC 還存在許多不足需要改進(jìn), 如簡化認(rèn)證機(jī)制、減少數(shù)字簽名的時(shí)間和系統(tǒng)的開銷等, 隨著DNSSEC 不斷完善,

DNS

[參考文獻(xiàn)]

[1]P au l A l b itz , C ricket L i u . DNS 與BI N D [M ](第四

版) . 雷迎春, 龔奕利, 譯. 北京:中國電力出版社, 2002.

[2]RFC 1304、RFC 2535、RFC 2845、RFC 2930、RFC

2833、RFC 3552htt p ://w ww.

ie t. f o rg /rfc/

The DNS Secur ity and Sol uti on Poli ces

HUANG Jian -ye , WANG Feng

1

2

(Facult y o f Inf o r m ati on Eng inee ri ng and A u t oma tion , K un m i ng Un i ve rsit y o f Sc ience and Te chno l ogy , K un m ing 650093, China )

Abst ract :The do m ain na m e syste m (DNS ) is the m ost i m po rtan t and basic se r v ice on the Inter ne. t S tab l e and se -cure DNS is a necessar y cond ition for Inter net to function no r m a lly . I n this paper , w e ana l y ze t h e secu rity pr oble m s

of DNS syste m and its app lica tion . W e a lso investigate t h e w eakness of DNS architect u r e and propo se a series o f solv i n g po licies . K ey w ords :ACL ; TSI G ; FQDN ; DNSSEC ; recu rsion search ; dig ital signa t u re ; sing le po i n t o f fa il u re