一、DNS 是啥？

DNS 是洋文“Domain Name System”的縮寫，直譯過來(lái)就是“域名系統(tǒng)”。

二、DNS 有啥用？

咱們每天打交道的這個(gè)互聯(lián)網(wǎng)，其底層的基石是“IP”。IP 是“Internet Protocol”的縮寫，中文就“互聯(lián)網(wǎng)協(xié)議”（光看名字就知道這玩意兒很重要）。咱們?nèi)粘Ｓ玫哪切┗ヂ?lián)網(wǎng)軟件（瀏覽器、聊天工具、下載工具、等等）在工作時(shí)，必須依靠【IP地址】才能進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)傳輸。

“IP地址”是設(shè)計(jì)給軟件用滴——雖然軟件很容易處理，但對(duì)于人類而言，卻很難記憶。于是，后來(lái)又發(fā)明了 DNS。有了 DNS，人類就不需要記住長(zhǎng)長(zhǎng)的一串 IP地址，而只需記住“域名”（域名通常更短，也更具有可讀性，例如www.g.cn）。

比如你上網(wǎng)的時(shí)候，只需在地址欄輸入網(wǎng)站的“域名”，而不用輸入網(wǎng)站的“IP地址”。然后電腦系統(tǒng)會(huì)利用 DNS 來(lái)把“域名”翻譯成“IP地址”。這個(gè)翻譯的過程術(shù)語(yǔ)叫“域名解析/DNS解析”。

三、域名的結(jié)構(gòu)是咋樣？

域名是按照“樹形結(jié)構(gòu)”組織的。不懂得啥是“樹形結(jié)構(gòu)”的同學(xué)，可以對(duì)照一下電腦硬盤上的目錄結(jié)構(gòu)。域名的結(jié)構(gòu)和目錄結(jié)構(gòu)很類似，目錄結(jié)構(gòu)是用“斜杠”作分隔符，而域名是用小數(shù)點(diǎn)作分隔符。兩者的主要區(qū)別在于：目錄結(jié)構(gòu)名稱的形式是從左到右（上級(jí)在左，下級(jí)在右），而域名是從右到左（上級(jí)在右，下級(jí)在左）。

以網(wǎng)易的域名為例：

3g.163.com 的上級(jí)域名是 .163.com

163.com 的上級(jí)域名是 .com

這里的 .com 就被稱為頂級(jí)域名（Top-Level Domain，簡(jiǎn)稱 TLD），跟 .com 類似的那些 .net .org .gov 也是頂級(jí)域名。還有那些以國(guó)家/地區(qū)的代碼命名的（比如 .cn .tw .hk .jp 等等）也是頂級(jí)域名。

 四、“域名解析”是咋實(shí)現(xiàn)？

如果你曾經(jīng)配置過電腦的網(wǎng)卡，應(yīng)該記得上面除了有IP地址、掩碼等設(shè)置，還有一項(xiàng)設(shè)置是“DNS服務(wù)器/域名服務(wù)器”。這項(xiàng)設(shè)置就是用來(lái)幫助你的電腦進(jìn)行域名解析的。你可以把這個(gè)“DNS服務(wù)器”想象成114查號(hào)臺(tái)。每當(dāng)電腦需要翻譯某個(gè)域名，就找這個(gè)域名服務(wù)器查詢，然后域名服務(wù)器會(huì)告訴你的電腦，要查詢的域名對(duì)應(yīng)的IP地址是啥。

下面簡(jiǎn)單說(shuō)一下，你的電腦進(jìn)行域名解析的過程。

為了敘述方便，以網(wǎng)易為例。當(dāng)你在瀏覽器的地址欄中輸入 www.163.com，然后敲回車，這時(shí)候電腦軟件會(huì)進(jìn)行如下一系列事情。

1. 首先根據(jù)輸入的網(wǎng)址，提取出域名（

2. 如果你在系統(tǒng)中配置了 Hosts 文件，那么電腦會(huì)先查詢 Hosts 文件，看這個(gè)www.163.com 否已經(jīng)在 Hosts 里面有了對(duì)應(yīng)的記錄。如果有，直接就可以拿到該記錄中的 IP地址，過程就結(jié)束了。

3. 如果 Hosts 里面沒有這個(gè)別名，那么電腦會(huì)看你有沒有設(shè)置域名服務(wù)器（DNS 服務(wù)器）。如果你的系統(tǒng)沒有設(shè)置域名服務(wù)器，那電腦就沒轍了，瀏覽器直接會(huì)報(bào)錯(cuò)，說(shuō)網(wǎng)站的域名無(wú)法解析。過程就結(jié)束了。

4. 如果你設(shè)置過“域名服務(wù)器”，那么電腦會(huì)向這個(gè)域名服務(wù)器發(fā)送一個(gè)域名查詢（DNS query）的請(qǐng)求，然后等候域名服務(wù)器的回應(yīng)。

5. 如果域名服務(wù)器始終沒有回應(yīng)（比如域名服務(wù)器掛了，或域名服務(wù)器的IP填錯(cuò)了，或請(qǐng)求被 攔截了），那么電腦還是沒轍（瀏覽器會(huì)報(bào)錯(cuò)）。

6. 如果域名服務(wù)器回應(yīng)了，那么你的電腦就可以根據(jù)域名服務(wù)器的應(yīng)答信息，得到該域名的 IP地址。之后瀏覽器就會(huì)向這個(gè) IP地址 對(duì)應(yīng)的 Web 端口發(fā)送 HTTP 請(qǐng)求。

通常情況下，電腦拿到的（DNS服務(wù)器）應(yīng)答信息是正確的——也就是說(shuō)，應(yīng)答中的 IP地址 確實(shí)對(duì)應(yīng)那個(gè)域名——這種情況下，你的網(wǎng)絡(luò)軟件就可以正常工作了。

但是在某些國(guó)家，例如CHAOXIAN,電腦拿到的 DNS 應(yīng)答有可能是【錯(cuò)的】。為啥會(huì)這樣捏，本文的后半部，俺會(huì)介紹一下“域名劫持”和“域名污染”。

 五、域名服務(wù)器如何知道這些信息？

（一）域名的緩存

大伙兒平時(shí)使用的域名服務(wù)器，技術(shù)術(shù)語(yǔ)叫“遞歸域名服務(wù)器”。“遞歸服務(wù)器”是面向普通網(wǎng)友的。剛才介紹“域名解析”的時(shí)候提到的服務(wù)器就是“遞歸服務(wù)器”。

“遞歸服務(wù)器”的內(nèi)部通常會(huì)有一個(gè) DNS記錄 的緩存——這個(gè)緩存是為了提高查詢效率的。當(dāng)某臺(tái)電腦向遞歸服務(wù)器發(fā)起域名查詢時(shí)，遞歸服務(wù)器首先看自己的緩存中有沒有該域名的記錄，如果有，直接就回復(fù)該記錄給查詢的電腦。

萬(wàn)一對(duì)方想要查詢的域名沒找到，咋辦捏？這時(shí)候就要進(jìn)行緩存的同步。

（二）緩存的同步

下面就拿網(wǎng)易的域名為例，說(shuō)說(shuō)這種情況的處理流程。

1. 對(duì)方查詢3g.163.com 這個(gè)域名，“遞歸服務(wù)器”發(fā)現(xiàn)自己的緩存中沒有

2. “遞歸服務(wù)器”會(huì)先去找“根域名服務(wù)器”幫忙，“根服務(wù)器”會(huì)告訴“遞歸服務(wù)器”說(shuō)：這個(gè)域名屬于 com 這個(gè)分支之下，你去找 com 這個(gè)域名的“權(quán)威服務(wù)器”，這個(gè)權(quán)威服務(wù)器的 IP地址 是 xxx。

3. 然后“遞歸服務(wù)器”根據(jù)拿到的這個(gè) xxx地址，又去找“com 域名的權(quán)威服務(wù)器”。“com 域名的權(quán)威服務(wù)器”告訴它：你應(yīng)該去找“163.com 域名的權(quán)威服務(wù)器”，這個(gè)權(quán)威服務(wù)器的 IP地址 是 yyy

4. 然后“遞歸服務(wù)器”又屁顛屁顛地去找“163.com 域名的權(quán)威服務(wù)器”。這時(shí)候“163.com 域名的權(quán)威服務(wù)器”才會(huì)告訴它，3g.163.com 這個(gè)域名的 IP地址 到底是多少。

大伙兒看到?jīng)]有？整個(gè)過程如同“踢皮球”，效率是很低的。所以俺前面提到，“遞歸域名服務(wù)器”必須得有一個(gè)緩存，以此來(lái)優(yōu)化效率（不用每次查詢都來(lái)一次“踢皮球”）。

（三）同步的周期

說(shuō)完了“域名的同步”，順便提一下“同步的周期”。

因?yàn)榛ヂ?lián)網(wǎng)上的域名信息是有可能發(fā)生變化的。比如增加了某個(gè)新域名，注銷了某個(gè)舊域名，或者某個(gè)域名對(duì)應(yīng)的 IP地址 變了。所以，“遞歸服務(wù)器”上保留的緩存中，每一條域名記錄都有一個(gè)生命周期（可能是幾分鐘，也可能是幾小時(shí)）。如果某條記錄的生命周期過了，就會(huì)被刪除，然后重新同步。

 六、啥是“域名劫持”？

剛才說(shuō)了，域名服務(wù)器上都會(huì)保存一大堆的域名記錄（每條記錄包含“域名”和“IP地址”）。當(dāng)收到域名查詢的時(shí)候，域名服務(wù)器會(huì)從這堆記錄中找到對(duì)方想要的，然后回應(yīng)給對(duì)方。

如果域名服務(wù)器上的某條記錄被【人為修改】了（改成錯(cuò)的），那么一旦要查詢這條記錄，得到的就是錯(cuò)誤的結(jié)果。這種情況稱之為“域名劫持”。

★誰(shuí)有“域名劫持”的企圖？

“域名劫持”通常是電信運(yùn)營(yíng)商（ISP）干的好事兒。很多寬帶用戶用的域名服務(wù)器就是 ISP 提供給你的。

舉例：

前幾年曾經(jīng)出現(xiàn)過：某個(gè) ISP 跟某網(wǎng)站勾結(jié)，把維基百科的流量重定向到XX。具體搞法是：該 ISP 篡改自己的域名服務(wù)器的記錄，把里面跟維基百科 相關(guān)的域名記錄的 IP地址 修改為XX的 IP地址。如此一來(lái)，假設(shè)你用的是這個(gè) ISP 的域名服務(wù)器，當(dāng)你在瀏覽器輸入 http://zh.wikipedia.org/的時(shí)候，你的電腦查詢到的 IP地址 其實(shí)是XX的 IP地址，所以瀏覽器打開的是“XX”的主頁(yè)。

★如何對(duì)付“域名劫持”？

剛才說(shuō)了，“域名劫持”的根源在于：域名服務(wù)器上的記錄被人給改了。要對(duì)付這種耍流氓，最直接的辦法就是不要使用這種流氓 ISP 提供的域名服務(wù)器，改用國(guó)外那些比較靠譜的。目前口碑最好的，大概是 Google 提供的兩個(gè)域名服務(wù)器，IP地址 分別是 8.8.8.8 和 8.8.4.4 ——這倆不光是地址好記，更重要的是，不會(huì)耍流氓。

 七、啥是“域名污染”？

先提醒一下：“域名污染”這個(gè)詞還有其它幾個(gè)別名，分別是“域名欺騙”、“域名緩存投毒”（洋文叫：DNS cache poisoning）。今后看到這幾個(gè)別名，要曉得是同一個(gè)意思。

“域名污染”的原理，簡(jiǎn)單說(shuō)來(lái)是這樣滴：當(dāng)你的電腦向域名服務(wù)器發(fā)送了“域名查詢”的請(qǐng)求，然后域名服務(wù)器把回應(yīng)發(fā)送給你的電腦，這之間是有一個(gè)時(shí)間差的。如果某個(gè)攻擊者能夠在域名服務(wù)器的“DNS應(yīng)答”還沒有到達(dá)你的電腦之前，先偽造一個(gè)錯(cuò)誤的“DNS應(yīng)答”發(fā)給你電腦。那么你的電腦收到的就是錯(cuò)誤的信息，并得到一個(gè)錯(cuò)誤的 IP地址。

★誰(shuí)有“域名污染”的企圖？

從技術(shù)上講，只要攻擊者能夠位于“你”和“域名服務(wù)器”的傳輸線路中間，那么攻擊者就有機(jī)會(huì)搞“域名污染”。能夠做到這點(diǎn)的，可能是一個(gè)黑客/駭客，也可能是 ISP。

★某國(guó)家防火墻的兩種“域名污染”

剛才俺解釋了“域名污染”的原理，那種形式不妨稱為“直接污染”。由于某國(guó)家防火墻的特殊性，它不但可以做到“直接污染”，還可以做到“間接污染”。而普通的駭客頂多只能做到“直接污染”，難以做到“大范圍的間接污染”。

那么這兩種污染有啥區(qū)別捏？且聽俺細(xì)細(xì)道來(lái)。

◇某國(guó)家防火墻部署在哪？

首先有必要先掃盲一下“某國(guó)家防火墻（其實(shí)是一種IDS，也就是入侵檢測(cè)系統(tǒng)）的部署位置”。X國(guó)互聯(lián)網(wǎng)只有少數(shù)幾個(gè)國(guó)際出口（名氣較大的是：A出口、B出口、C出口）。如果你要訪問國(guó)外網(wǎng)站，你的網(wǎng)絡(luò)數(shù)據(jù)流就必定會(huì)經(jīng)過其中的某個(gè)“國(guó)際出口”。

◇某國(guó)家防火墻的直接污染

因?yàn)槟硣?guó)家防火墻部署在國(guó)際出口。如果你用的是【國(guó)外的】域名服務(wù)器，你的“DNS請(qǐng)求”必定會(huì)經(jīng)過國(guó)際出口；同樣，域名服務(wù)器的“DNS應(yīng)答”必定也會(huì)經(jīng)過國(guó)際出口才能到你的電腦。這一來(lái)一回就給某國(guó)家防火墻 提供了機(jī)會(huì)。

這種污染就是俺所說(shuō)的“直接污染”。

◇某國(guó)家防火墻 的間接污染

剛才介紹了“使用國(guó)外域名服務(wù)器會(huì)被直接污染”。那如果你用的是【國(guó)內(nèi)的】域名服務(wù)器捏？就會(huì)被“間接污染”。過程如下：

1. 比方說(shuō)你用的是電信的 DNS服務(wù)器，然后你想要訪問某個(gè)被不受歡迎的網(wǎng)站。

2. 對(duì)于不受歡迎的網(wǎng)站，其網(wǎng)站服務(wù)器必定在國(guó)外，而且網(wǎng)站的域名肯定也不會(huì)使用 CN 之下的域名。所以，被封鎖的網(wǎng)站，其上級(jí)域名的“權(quán)威域名服務(wù)器”肯定也是在國(guó)外。

3. 當(dāng)你向“電信的DNS服務(wù)器”查詢反共網(wǎng)站的域名，這臺(tái)“電信的DNS服務(wù)器”就會(huì)去找這個(gè)不受歡迎的網(wǎng)站的上一級(jí)域名對(duì)應(yīng)的“權(quán)威域名服務(wù)器”去進(jìn)行“域名查詢”。

4. 因?yàn)槭菑膰?guó)外進(jìn)行域名查詢，相關(guān)的數(shù)據(jù)流必定要經(jīng)過國(guó)際出口。一旦經(jīng)過國(guó)際出口，就會(huì)被 某國(guó)家防火墻 污染。

5. 如此一來(lái)，“電信的域名服務(wù)器”拿到的是已經(jīng)被污染的域名記錄（里面的IP是錯(cuò)的）。而且“電信的域名服務(wù)器”會(huì)把這條錯(cuò)誤的記錄保存在自己的域名緩存中。

6. 下次如果有另一個(gè)網(wǎng)友也找這臺(tái)“電信的域名服務(wù)”查詢這個(gè)不受歡迎的網(wǎng)站，也會(huì)查到錯(cuò)誤的結(jié)果。

上述過程不斷重復(fù)，最終會(huì)導(dǎo)致：全國(guó)所有的域名服務(wù)器，它們的緩存中只要是包含了不受歡迎的網(wǎng)站的記錄，記錄中的 IP地址 必定是錯(cuò)的（這個(gè)錯(cuò)誤的 IP地址 也就是 某國(guó)家防火墻 偽造的那個(gè)）。所以說(shuō)“間接污染”是很牛逼的，可以把錯(cuò)誤的域名記錄擴(kuò)散到全國(guó)。

剛才俺說(shuō)了，“域名污染”也叫“域名緩存投毒”。“投毒”一詞真的非常形象——就好象在某條河流的源頭下毒，從而把整條河流的水都污染。“域名污染”直接破壞了互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。

最新評(píng)論