现在看来，Internet基础结构之一的域名系统（DNS）是一个不安全的协议，因此也就导致了Internet上域名安全问题逐渐为人们所重视。

　　DNS是一个层次化的数据库，它包括一系列记录，描述了名称、IP地址和其他关于主机的信息。这些数据库驻留在DNS服务器中，DNS服务器和Internet或Intranet互连。简单地说，DNS就是为需要定位指定服务器的网络应用提供一个名称到地址的目录服务。例如，用户每发送一个电子邮件或者访问一个Web网页，都必须有一个DNS名。

　　问题在于用户无法知道DNS应答的来源是否正确或者是否包含正确的数据。只要稍微学习一下，甚至一个十几岁的黑客都可以用错误数据来破坏DNS服务器，而Web客户机却识别不出错误数据。这样就带来很大的麻烦，因为DNS经常被用作默认的认证系统。

　　例如，当一个用户在浏览器上点击一家报纸的网站时，他期望看到的网页是那家报纸的。但是，DNS协议并不包含任何可以证明该网页正确的机制，即该网页确实是他期望的那家报纸的网页。还会有一种更危险的情况出现，某些组织为了达到某种目的，把毫无防范的用户引导到一个对该报纸进行批评、或者蓄意篡改该报纸内容甚至以诽谤的方式对事件进行错误报道的Web 服务器上。

　　为了解决这一问题，IETF正在着手在DNS协议里加入安全扩展协议，也就是所谓的域名系统的安全协议（Domain Name System SECurity，DNSSEC）。

　　DNS的产生

　　在DNS之前，每个新的主机都必须添加到位于斯坦福研究院的网络信息中心（Stanford Reseach Institute's Network Information Center，SRI-NIC）的中央存储设备里。直到90年代初，一直由该中心负责维护这些信息。SRI-NIC经常发布主机信息的文件，Arpanet（Internet的前身）上的所有主机就拷贝这些文件。这种机制在Internet上只有少量主机时是可以运作的，但是随着Internet的增长，这种机制就不稳定了。

　　此外，这种机制中域名管理的结构非常简单。因此，每一个在SRI-NIC注册的主机名都必须是惟一的。例如，那时侯在Internet上，无论在哪里都不可能有2个主机同时叫做www。后来，SRI-NIC终于让位给DNS。

　　DNS对Internet最重要的贡献之一就是它可以在全球范围内把可以识别的主机名惟一地映射成IP地址，即所谓的前向映射。DNS还有一些其他功能，包括反向映射（IP地址到主机名的解析）、邮件交换信息（给一个给定主机或者域确定一个邮件交换器）以及规范命名（系统化的命名方案）。

　　DNS的结构和缺陷

　　DNS采用层次化结构，使得主机名可以惟一化。DNS的结构为反向树结构，由树叶走向树根就可以形成一个全资格域名（Fully Qualified Domain Name，FQDN），每个FQDN是惟一的。在树中，由根到叶给出主机名查询结果，以便于找到属于这台主机的IP地址。对于反向映射也有类似的树存在，在树中检索查询IP地址的目的是为了找到属于这个IP地址的主机名或者FQDN。

　　反向树的顶端是DNS的根，通常以

[1] [2] [3] 下一页