【摘要】　DNS作为互联网服务的重要基础设施，存在着严重的安全漏洞，近年来针对这些安全漏洞的网络攻击给DNS和互联网带来了巨大损失。基于此，本文讨论了DNS安全扩展协议问题。文中首先对DNS的安全漏洞进行了分析，然后详细介绍了DNSSEC，主要从技术原理、实施过程、验证方法等方面进行了探讨；最后，对当前全球DNSSEC部署情况及发展趋势进行了总结和预测。 
　　【关键词】　DNSSEC系统；DNS系统；域名解析；域名安全 
　　1 引言 
　　随着互联网的飞速发展，域名系统DNS（Domain　Name　System）已成为互联网服务的重要基础设施，但它存在着严重的安全漏洞。特别是近年来，域名系统已成为公共互联网上恶意攻击的重要目标，此类攻击成功后引发的连锁后果也日益严重，给DNS和互联网带来了巨大损失。DNSSEC（DNS　Security　Extension，即DNS安全扩展），为DNS提供了安全扩展功能，支持对数据源及事务和请求的认证功能，从而在一定程度上遏制了针对域名系统的网络攻击。最近时期，国际上对DNSSEC的研究已成为一个热点问题，各个国家例如美国、俄罗斯、瑞典等，都在积极探索DNSSEC，并进行部署实施。我国国家域名“.CN”和“.中国”还未实施DNSSEC，且其他域名注册服务机构对DNSSEC的研究甚少。 
　　本文在分析了DNS的主要安全漏洞后，详细介绍了DNSSEC的技术原理、实施过程和验证方法，并给出了DNSSEC全球部署状况及应用前景分析。 
　　2 DNS主要安全问题 
　　1983年，由牛津网络学院的Paul　Mockapetris和Jon　Postel启动了世界上第一台自动分发的域名服务系统DNS，这标志着DNS系统的诞生。正如互联网早期的许多协议一样，DNS协议在设计时并没有考虑到安全问题。所以，安全性在DNS中无法保证，事实证明DNS在其不断发展和应用过程中暴漏了许多安全漏洞，并出现了一些有针对性的DNS安全攻击。 
　　其实早在1985年，贝尔实验室的一个人就发表了一篇文章指出DNS存在的安全漏洞，并给出了如何通过对DNS的攻击来控制一台主机操作的详细步骤，但当时处于对互联网安全的考虑，这篇文章在1995年后才被公开。2008年7月，美国IOActive网络安全公司著名的计算机安全研究专家Dan　Kaminsky公布了DNS系统的一个非常严重的漏洞，该漏洞会导致攻击者轻松地伪造像银行、Google、Gamil等任何一个网站，黑客利用该DNS漏洞可能在10秒之内发起一个“DNS　Cache　Posion”（DNS缓存中毒）攻击，利用被攻击的DNS服务器能够将用户引导到恶意网站，这就是著名的“Kaminsky事件”。随后，全球一些知名公司和信息安全专家也纷纷公布了大量的DNS缓存中毒攻击事件。分析总结，DNS的安全漏洞主要如下几类，在域名服务系统的各环节存在漏洞示意如图1所示。 
　　（1）　DNS缓存污染（DNS　Cache　Poisoning）； 
　　（2）　DNS放大攻击（DNS　Amplification　Attack）； 
　　（3）　DNS客户洪泛攻击（Client　Flooding）； 
　　（4）　DNS动态更新攻击（DNS　Dynamic　Update　Vulnerabilities）； 
　　（5）　域名欺诈（Domain　name　Phishing）。 
　　3 DNSSEC技术原理及实施 
　　3.1 技术原理 
　　3.3 实施验证 
　　递归和权威域名服务器DNSSEC生效后，选择一个信任锚中有的区或者它下一级的域名，在递归服务器上用dig测试验证是否生效，例如： 
　　dig　@218.241.108.18　example.cn　+dnssec或 
　　dig　@218.241.108.18　test1.example.cn　+dnssec 
　　如果配置正确，应该返回解析结果和相应的RRSIG记录，以及flag字段中应有AD字段标识位，标识DNSSEC相关的数字签名验证是成功。 
　　4 DNSSEC应用状况 
　　自2010年以来，全球域名DNSSEC的实施工作逐步加快，域名根服务器和各通用顶级域纷纷实施DNSSEC。但考虑到域名系统在互联网基础资源中的重要地位，大规模的DNSSEC部署仍然非常谨慎，整个域名服务体系全部实施DNSSEC在近期还不可能完成。 
　　根实施DNSSEC是ICANN联合Verisign，并在美国商务部支持下历时8个月时间，于2011年7月15日正式公布DNSSEC信任描点，完成部署工作；截止2012年10月份，全球顶级域名共有316个，其中实施DNSSEC的有104个。从图4可以看出来，全球DNSSEC在顶级域的部署正在有序增长。 
　　5 结束语 
　　针对当前域名服务系统的安全缺陷，互联网工程技术领域普遍认为实施DNSSEC是一个比较有效的方法。DNSSEC自上世纪90年代诞生以来，经过十几年的技术积累，固有缺陷得到逐步弥补，技术体系基本完善；特别是近两年全球根域名服务器及各互联网发达国家DNSSEC的部署，为其他国家或域名托管机构DNSSEC的实施提供有利的经验和技术参考。设想在不久的将来，全球域名体系全部实施DNSSEC，互联网基础资源中的域名解析服务将得到有效保障。 
　　参考文献 
　　[1]　Ron　Aitchison.　Pro　DNS　and　BIND.　Springer-Verlag　New　York　Inc.　July　2005. 
　　[2]　Cricket　Liu　and　Paul　Albitz.　DNS　and　BIND，Fifth　Edition.　O’Reilly　Media，　Inc.　2006. 
　　[3]　Arno　Meulenkamp.　Welcome　to　the　DNSSEC.　RIPE　NCC.　2005. 
　　[4]　Alan　Clegg.　DNSSEC　in　6　minutes　Internet　Systems　Consortium.　2008. 
　　[5]　Jelte　Jansen.　DNSSEC　Key　Maintenance　Analysis.　NLnet　Labs　document　2008-002　version　1.0.　September　11，2008. 
　　[6]　Arends，R.，Austein，R.，Larson，M.，　Massey，D.，　and　S.Rose，"DNS　Security　Introduction　and　Requirements"，　RFC　4033，　March　2005. 
　　[7]　Arends，R.，Austein，R.，Larson，M.，　Massey，D.，　and　S.Rose，"Resource　Records　for　DNS　Security　Extensions"，　RFC　4034，　March　2005. 
　　[8]　Arends，R.，Austein，R.，Larson，M.，　Massey，D.，　and　S.Rose，"Protocol　Modification　for　the　DNS　Security　Extensions"，　RFC　4035，　March　2005. 
　　[9]　杨永，薛琴.DNS服务器攻击与防范技术研究.攻防技术研究，2010年12月17-19.