DNS全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務(wù)器Domain Name Server也簡(jiǎn)稱為DNS。

　　域名系統(tǒng)是因特網(wǎng)的一項(xiàng)內(nèi)核服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。DNS是具有樹(shù)型結(jié)構(gòu)的名字空間，核心功能是完成域名到IP地址的轉(zhuǎn)換，使用TCP和UDP端口53。

　　通俗地說(shuō)，DNS幫助用戶在互聯(lián)網(wǎng)上尋找路徑。在互聯(lián)網(wǎng)上的每一個(gè)計(jì)算機(jī)都擁有一個(gè)唯一的地址，稱作“IP地址”（即互聯(lián)網(wǎng)協(xié)議地址）。由于IP地址（為一串?dāng)?shù)字）不方便記憶，DNS允許用戶使用一串常見(jiàn)的字母（即“域名”）取代。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中，通過(guò)用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時(shí)，DNS服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如IP地址。因?yàn)?，你在上網(wǎng)時(shí)輸入的網(wǎng)址，是通過(guò)域名解析系解析找到相對(duì)應(yīng)的IP地址，這樣才能上網(wǎng)。其實(shí)，域名的最終指向是IP。

　　雖然域名系統(tǒng)后便于人們記憶，但網(wǎng)絡(luò)中的計(jì)算機(jī)之間只能互相認(rèn)識(shí)IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名服務(wù)器（Domain Name Server）來(lái)完成，這里的DNS就是域名服務(wù)器。

　　DNS最早于1983年由保羅·莫卡派喬斯（Paul Mockapetris）發(fā)明；原始的技術(shù)規(guī)范在882號(hào)因特網(wǎng)標(biāo)準(zhǔn)草案（RFC 882）中發(fā)布。1987年發(fā)布的第1034和1035號(hào)草案修正了DNS技術(shù)規(guī)范，并廢除了之前的第882和883號(hào)草案。在此之后對(duì)因特網(wǎng)標(biāo)準(zhǔn)草案的修改基本上沒(méi)有涉及到DNS技術(shù)規(guī)范部分的改動(dòng)。

　　早期的域名必須以英文句號(hào)“.”結(jié)尾,當(dāng)用戶訪問(wèn)wiki.mbalib.com的HTTP服務(wù)時(shí)必須在址欄中輸入：http://wiki.mbalib.com. ，這樣DNS才能夠進(jìn)行域名解析。如今DNS服務(wù)器已經(jīng)可以自動(dòng)補(bǔ)上結(jié)尾的句號(hào)。

　　當(dāng)前，對(duì)于域名長(zhǎng)度的限制是63個(gè)字符，包括www.和.com或者其他的擴(kuò)展名。域名同時(shí)也僅限于ASCII字符的一個(gè)子集，這使得很多其他語(yǔ)言無(wú)法正確表示他們的名字和單詞?；赑unycode碼的IDNA系統(tǒng)，可以將Unicode字符串映射為有效的DNS字符集，這已經(jīng)通過(guò)了驗(yàn)證并被一些注冊(cè)機(jī)構(gòu)作為一種變通的方法所采納。

　　1、技術(shù)角度看

• DNS解析是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實(shí)際尋址方式；
• 域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應(yīng)用，豐富了互聯(lián)網(wǎng)應(yīng)用和協(xié)議。

　　2、資源角度看

• 域名是互聯(lián)網(wǎng)上的身份標(biāo)識(shí)，是不可重復(fù)的唯一標(biāo)識(shí)資源；
• 互聯(lián)網(wǎng)的全球化使得域名成為標(biāo)識(shí)一國(guó)主權(quán)的國(guó)家戰(zhàn)略資源。

　　1、針對(duì)域名系統(tǒng)的惡意攻擊：DDOS攻擊造成域名解析癱瘓。

　　2、域名劫持：修改注冊(cè)信息、劫持解析結(jié)果。

　　3、國(guó)家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。

　　Internet域名系統(tǒng)是一個(gè)樹(shù)型結(jié)構(gòu)，其形式如下：

　　com(企業(yè))、net(網(wǎng)絡(luò)運(yùn)行服務(wù)機(jī)構(gòu))、gov(政府機(jī)構(gòu))、org(非營(yíng)利性組織)、edu(教育)域由InterNic管理，其注冊(cè)、運(yùn)行工作目前由Network Solution公司負(fù)責(zé)。

　　7個(gè)新的頂級(jí)域名分別是：firm(公司企業(yè))、shop(商店)、web(希望突出萬(wàn)維網(wǎng)活動(dòng)的實(shí)體)、arts(主要從事娛樂(lè)文化活動(dòng)的實(shí)體 )、rec(主要從事娛樂(lè)文化實(shí)體)、info(主要從事信息服務(wù)實(shí)體)、nom(一些希望在互聯(lián)網(wǎng)上發(fā)布個(gè)人信息的人)將于1998年啟動(dòng)，這些域名的注冊(cè)服務(wù)由多家機(jī)構(gòu)承擔(dān)，CNNIC也有幸成為注冊(cè)機(jī)構(gòu)之一。

　　按照ISO－3166標(biāo)準(zhǔn)制定的國(guó)家域名，一般由各國(guó)的NIC(Network Information Center，網(wǎng)絡(luò)信息中心 )負(fù)責(zé)運(yùn)行。

　　我國(guó)域名體系分為類別域名和行政區(qū)域名兩套。

　　類別域名是指圖中最下面一行前面的六個(gè)域名，分別依照申請(qǐng)機(jī)構(gòu)的性質(zhì)依次分為：AC－科研機(jī)構(gòu)；COM－工、商、金融等專業(yè)；EDU－教育機(jī)構(gòu)；GOV－政府部門； NET－互聯(lián)網(wǎng)絡(luò)、接入網(wǎng)絡(luò)的信息中心和運(yùn)行中心；ORG－各種非盈利性的組織。

　　行政區(qū)域名是按照我國(guó)的各個(gè)行政區(qū)劃分而成的，其劃分標(biāo)準(zhǔn)依照國(guó)家技術(shù)監(jiān)督局發(fā)布的國(guó)家標(biāo)準(zhǔn)而定，包括“行政區(qū)域名”34個(gè)，適用于我國(guó)的各省、自治區(qū)、直轄市，分別為：BJ－北京市；SH－上海市；TJ－天津市；CQ－重慶市；HE－河北??；SX－山西??；NM－內(nèi)蒙古自治區(qū)；LN－遼寧??；JL－吉林??；HL－黑龍江?。籎S－江蘇?。籞J－浙江?。籄H－安徽；FJ－福建??；JX－江西省；SD－山東省；HA－河南省；HB－湖北省；HN－湖南省；GD－廣東省；GX－廣西壯族自治區(qū)；HI－海南??；SC－四川?。籊Z－貴州?。籝N－云南??；XZ－西藏自治區(qū)；SN－陜西??；GS－甘肅??；QH－青海?。籒X－寧夏回族自治區(qū)；XJ－新疆維吾爾自治區(qū)；TW－臺(tái)灣；HK－香港；MO－澳門。

　　CN域名除edu.cn由CernNic(教育網(wǎng))運(yùn)行外，其他均由CNNIC運(yùn)行。

　　事件一：

　　2010年1月12日，搜索引擎網(wǎng)站百度（http://www.baidu.com ）7時(shí)左右突然無(wú)法打開(kāi)。與此同時(shí)，百度旗下貼吧域名（www.tieba.com）也無(wú)法正常訪問(wèn)。11時(shí)左右，百度故障依然沒(méi)有修復(fù)，百度公司向騰訊科技發(fā)來(lái)公告，稱域名遭非法篡改，公司正在積極處理。12時(shí)左右，全國(guó)各地訪問(wèn)百度首頁(yè)陸續(xù)恢復(fù)正常。^[1]安全專家分析認(rèn)為，此次攻擊黑客利用了DNS記錄篡改（DNS劫持）的方式^[2]。

　　DNS劫持是安全界常見(jiàn)的一個(gè)名詞，劫持了DNS服務(wù)器，意思是通過(guò)某些手段取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對(duì)該域名的訪問(wèn)由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對(duì)特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址，從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的^[2]。

　　通常在三種情況下會(huì)遇到DNS劫持的問(wèn)題^[2]：

　　1、用戶計(jì)算機(jī)感染病毒，病毒在操作系統(tǒng)中的HOSTS文件中添加了虛假的DNS解析記錄。Windows中HOSTS文件的優(yōu)先級(jí)高于DNS服務(wù)器，操作系統(tǒng)在訪問(wèn)某個(gè)域名時(shí)，會(huì)先檢測(cè)HOSTS文件，然后再查詢DNS服務(wù)器。

　　2、用戶試圖訪問(wèn)的網(wǎng)站被惡意攻擊。這種情況下，你可能訪問(wèn)到的是一個(gè)欺騙性網(wǎng)站，也有可能被定向到其它網(wǎng)站。

　　3、用戶在瀏覽器中輸入了錯(cuò)誤的域名，導(dǎo)致DNS查詢不存在的記錄。以前遇到這種情況，瀏覽器通常會(huì)返回一個(gè)錯(cuò)誤提示。而最近，這種情況下用戶會(huì)看到ISP設(shè)置的域名糾錯(cuò)系統(tǒng)提示。

　　DNS劫持的基本原理是把域名翻譯成IP地址，以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

　　由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

　　如果知道該域名的真實(shí)IP地址，則可以直接用此IP代替域名后進(jìn)行訪問(wèn)，從而繞開(kāi)域名劫持(但如果網(wǎng)頁(yè)儲(chǔ)存公司使用虛擬主機(jī)存放網(wǎng)頁(yè)的話就不能簡(jiǎn)單如此配置，因?yàn)橐粋€(gè)IP可連去多個(gè)域名)。

　　專家表示，黑客入侵大型網(wǎng)站本身越來(lái)越難，因此通過(guò)劫持DNS“黑”大型網(wǎng)站會(huì)越來(lái)越流行。

　　事件二：

　　2013年8月25日凌晨，“ .CN”域名經(jīng)歷驚魂一夜，部分.CN域名在當(dāng)日凌晨出現(xiàn)無(wú)法解析的問(wèn)題。域名解析服務(wù)商DNSPod創(chuàng)始人吳洪聲在稱，故障發(fā)生是由于當(dāng)時(shí).CN域名的根服務(wù)器受到攻擊，授權(quán)DNS陷入全線故障，多家網(wǎng)站及新浪微博客戶端無(wú)法登錄。

　　距這次事故發(fā)生一個(gè)月后，CNNIC和工信部終于揪出了本次攻擊事件的始作俑者：一名來(lái)自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn)，該黑客本意是要攻擊一個(gè)游戲私服網(wǎng)站，使其癱瘓，后來(lái)他為了更快達(dá)到這個(gè)目的，直接對(duì).CN的根域名服務(wù)器進(jìn)行了DDoS攻擊，發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬(據(jù)工信部數(shù)據(jù)：攻擊時(shí)峰值流量較平常激增近1000倍，近15G)，致使.CN根域名服務(wù)器的解析故障，使得大規(guī)模的.CN域名無(wú)法正常訪問(wèn)。