为什么DNS也能被投毒
时间 : 2020-09-16编辑 : DNS智能解析专家
DNS(Domain Name System),顾名思义可以知道这是一个跟域名解析相关的网络服务系统。要搞清楚DNS的作用,我们必须先要知道我们访问网络的过程。稍有网络知识的朋友都知道,每一台计算机在网络中是以IP地址来识别的,但是,在现实使用中大多数人并没有记住想要访问的那些服务器的IP地址——毕竟我们实在是不擅长记忆这种数字串——而是通过一个字符串来访问的,比如“baidu.com”。这个字符串就是“域名”,我们对域名的记忆能力就强得多,毕竟跟日常的自然语言是一样的。
那么,网络是如何通过域名来访问目标服务器的呢?这时就需要DNS登场了。我们在访问一个目标网络时需要从DNS服务器中查询域名对应的IP地址,使用查询到的IP地址对目标服务器发起访问。除了不需记忆繁多的IP地址,这种做法还有一个好处,那就是更换服务器后只需修改DNS映射即可,而不需要用户关心这种操作。或许还有一个好处,那就是一个域名可以对应多个IP,在一定程度上可以起到负载均衡的作用,也就是避免单台服务器压力过大。正是因为有这么多的好处,DNS服务已经成为了互联网的基本服务。
很多人都知道互联网有13个根DNS服务器集群,此外还有1000多个镜像的DNS服务器集群,正是这些服务器扛住了全球互联网这么大的访问压力。在一些具有行业约束的地区,这些DNS服务器是可以被信任的,即可以根据域名查询到正确的服务器IP地址。相反,从逻辑上来说,也就存在了篡改DNS服务器中域名与IP地址的映射关系的可能。
篡改DNS服务器中的映射,使得域名对应到错误的IP地址这种情况就被称作“DNS投毒”,也称“DNS污染”,英文名是“DNS Poisoning”。