域名解析錯誤是指在應(yīng)用程序調(diào)用解析器向域名服務(wù)器發(fā)起域名解析請求����,經(jīng)過域名服務(wù)器在域名空間中檢索后向解析器發(fā)回了客觀上不正確的最終結(jié)果之狀態(tài)。
舉例:
加入某個網(wǎng)民通過一臺連接了互聯(lián)網(wǎng)的電腦���,在瀏覽器地址欄中輸入譽名網(wǎng)的域名地址即:http://zj7180.cn \r\n后���,網(wǎng)頁瀏覽器應(yīng)當(dāng)將該域名解析請求通過解析器發(fā)往域名服務(wù)器���,經(jīng)過解析后得到結(jié)果“14.18.205.241”并發(fā)回給網(wǎng)頁瀏覽器,瀏覽器獲得這個地址后再向該地址發(fā)出網(wǎng)頁內(nèi)容的請求�。最終來自該服務(wù)器向網(wǎng)頁瀏覽器下傳來譽名網(wǎng)的網(wǎng)頁代碼與其他數(shù)據(jù),經(jīng)過轉(zhuǎn)換后變成了平??吹降捻撁妫@是一個域名正常解析過程�����,反之就是域名解析失敗出現(xiàn)錯誤�����。而域名解析出現(xiàn)錯誤則是在這個過程某個環(huán)節(jié)出現(xiàn)了問題�。下面譽名網(wǎng)就和大家逐一分析:
域名解析錯誤的成因
域名解析的過程中,設(shè)計三個階段(或部分):
1�����、客戶端�����;
2��、互聯(lián)網(wǎng)服務(wù)提供商(ISP)�;
3、域名服務(wù)器����。
其中客戶端是域名解析請求的起點與最終答案的接收終點,ISP是解析請求及答案的運輸管道環(huán)節(jié)���,而域名服務(wù)器則是解析請求的終點與最終答案發(fā)送的起點�����。在分析解析錯誤的原因中�,將這一系統(tǒng)做結(jié)構(gòu)性的分析是必要的�。
一、錯誤定義資源記錄
域名的數(shù)據(jù)存放在資源記錄(Resource \r\nRecord)當(dāng)中����,可依據(jù)數(shù)據(jù)種類的不同將記錄分成多種類型(type)。以定義IPv4地址的A記錄為例����,資源記錄是用來定義域名與IP地址對應(yīng)關(guān)系的,若網(wǎng)絡(luò)管理員錯誤刪改了以上數(shù)據(jù)的地址就會導(dǎo)致域名解析錯誤,如刪除了A記錄的IP地址會導(dǎo)致該域名不能與IP地址相互綁定從而無法訪問到該域名對應(yīng)的網(wǎng)站�����。
一旦遭到看惡意攻擊�,例如運用非法手段獲取了域名管理權(quán)限后篡改了A記錄,將某特點網(wǎng)站首頁的IP地址替換成仿冒的網(wǎng)站首頁�,當(dāng)不知情的用戶被引導(dǎo)到錯誤的網(wǎng)站首頁進(jìn)行搜索或進(jìn)行帳號登錄等敏感操作時,敏感或隱私信息就會遭到泄漏�����。
二�����、域名服務(wù)器故障
域名服務(wù)器��,是儲存域名空間信息并提供域名解析服務(wù)的計算機�����,是解析服務(wù)的核心���。分布式的數(shù)據(jù)庫結(jié)構(gòu)便于管理與多重備份以提高整個系統(tǒng)的可靠性���,但這種接力賽式的查詢方式也意味著這需要龐大而復(fù)雜的域名系統(tǒng)有效地開展運作���。早在1997年7月��,根域名服務(wù)器之間交換了一份空白的因特網(wǎng)地址分配總清單����,這一人為失誤造成的后果是出現(xiàn)了嚴(yán)重的局部服務(wù)中斷,受影響的客戶端數(shù)天內(nèi)無法訪問網(wǎng)頁�����,無法收發(fā)郵件�����。2002年10月21日����,13臺邏輯根域名服務(wù)器收到短暫的分布式拒絕服務(wù)攻擊,導(dǎo)致其中9臺邏輯根服務(wù)器無法正常運行��。由于持續(xù)時間短以及采取的措施恰當(dāng)�����,整個網(wǎng)絡(luò)并未受到太大的影響。但如果攻擊事件延續(xù)或者消解方法不得當(dāng)���,則后果不堪設(shè)想��。
三���、DNS劫持
DNS劫持,是指對域名服務(wù)器的資源記錄進(jìn)行篡改�,將該域名本應(yīng)指向的IP地址改為其他的IP地址,從而改變了正常的 \r\n解析結(jié)果��,由此導(dǎo)致無法訪問或錯誤訪問特定的網(wǎng)站或網(wǎng)絡(luò)服務(wù)的行為����。
一些網(wǎng)絡(luò)運營商出于商業(yè)目的,對其控制的域名服務(wù)器數(shù)據(jù)記錄進(jìn)行人為的修改���,導(dǎo)致訪問該被控制域名服務(wù)器的訪問者無法通過域名解析出正確的IP地址����。正常情況下�����,根域名服務(wù)器或權(quán)威域名服務(wù)器的數(shù)據(jù)記錄不會遭到篡改。由于根域名服務(wù)器或權(quán)威域名服務(wù)器數(shù)據(jù)記錄是全局性的�����,其一旦被篡改則顯示出全局性的被篡改�,該網(wǎng)絡(luò)運營商控制范圍以外的其他網(wǎng)絡(luò)運營商與訪問者都會受到劫持的危害�����,這很容易被域名權(quán)利人所察覺��,而且后果也不可控��。而僅針對其有效控制范圍內(nèi)的網(wǎng)絡(luò)進(jìn)行劫持�����,往往因為所涉及的面相對較小��,則不易被域名權(quán)利人發(fā)覺����,其后果也可控�,因此該類劫持較為常見����。
還有一種DNS劫持的方式,就是用戶計算機受到病毒感染后被篡改了計算機的HOSTS系統(tǒng)文件��。HOSTS與域名服務(wù)器功能類似.它為計算機提供靜態(tài)的域名解析�,計算機在向外發(fā)起域名解析請求前會查詢HOSTS中是否包含了被查詢的域名,如果存在則直接調(diào)用HOSTS中的值����,而不再向外請求解析,如果該域名不存在才按照正常的程序調(diào)用解析器��。一旦 \r\nHOSTS被病毒感染而發(fā)生篡改�����,當(dāng)用戶請求的域名與被篡改后的HOSTS的值一致時就會被劫持到無效的頁面���,更有甚者會被劫持到錯誤的頁面�,例如釣魚網(wǎng)站�����。
四、DNS污染
DNS污染則是另一種直接由ISP所為的導(dǎo)致解析錯誤的原因�。它是利用解析器向域名服務(wù)器發(fā)送的域名解析請求數(shù)據(jù)包缺乏認(rèn)證機制的特點,在解析器與域名服務(wù)器之間部署一套人侵檢測系統(tǒng)(IDS), \r\nIDS截獲該解析請求數(shù)據(jù)包后偽裝成域名服務(wù)器向解析器返回錯誤的解析結(jié)果�����。憑借距離上解析器至IDS永遠(yuǎn)短于域名解析服務(wù)器的優(yōu)勢與解析器只接受鼓先回傳的解析結(jié)果數(shù)據(jù)包之特點�����,解析器將首先接收到偽裝成域名服務(wù)器的IDS回傳的錯誤結(jié)果后就以為完成了解析��,對后面真正來自域名服務(wù)器的解析結(jié)果會全數(shù)忽略����,這樣解析器就被IDS欺騙了�����。這是一種在協(xié)議層面上對域名解析請求進(jìn)行干擾的手段��。
相關(guān)閱讀:
域名解析的具體流程
什么是DNS域名解析����,有什么作用���?
什么是域名CNAME解析
