DNS协议存在的安全问题

　　DNS 是一个分布式的域名解析系统，它通过缓存技术、树状分层授权结构实现域名与IP 地址及邮件服务等的相互转换，但DNS 服务与域名解析服务器之间采用无连接的UDP 协议，无法确认数据来源及是否被篡改，存在较大的安全隐患，使得DNS 服务器经常遭受各种攻击。

　　目前DNS主要存在数据包截取、ID猜测、缓存中毒、DDoS分布式拒绝服务攻击、缓存区漏洞溢出攻击、域名无效攻击、不安全的动态更新和信息泄漏等多种安全威胁。

　　目前有一些非DNSSEC 安全措施能缓解部分DNS 安全问题：
　　1)限制ZONE 区域数据传送；
　　2)服务地址限制；
　　3)关闭域名服务器递归查询功能；
　　4)Split DNS；
　　5)TSIG机制。

　　但这些安全措施仅从局部缓解DN S 部分安全问题，没有对DNS报文数据进行源身份认证和数据完整性检查，没有从DNS 内部根本解决安全问题。

　　DNS安全扩展协议(DNSSEC)

　　公钥机制

　　公钥机制(非对称加密算法)是一种强安全性的加密技术，其优点是密钥管理方便，可实现数字签名和身份认证等功能。

　　公钥机制首先生成一个公钥/私钥对，公钥公开，私钥自己保留。如典型的RSA公钥技术是一种基于大质数的因式分解的分组密码系统，其中的明文和密文都是对于某个n的从0到n-l之间的整数，主要是求模运算。

图1 公钥加密流程

　　图1 为公钥加密主要流程，其中发送方使用私钥对明文进行加密，接收方利用公钥对密文进行解密得到明文，经公钥加密技术加密的明文能且只能通过其对应的另一密钥进行解密。