DNS全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務器Domain Name Server也簡稱為DNS。

　　域名系統(tǒng)是因特網的一項內核服務，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據庫，能夠使人更方便的訪問互聯(lián)網，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是具有樹型結構的名字空間，核心功能是完成域名到IP地址的轉換，使用TCP和UDP端口53。

　　通俗地說，DNS幫助用戶在互聯(lián)網上尋找路徑。在互聯(lián)網上的每一個計算機都擁有一個唯一的地址，稱作“IP地址”（即互聯(lián)網協(xié)議地址）。由于IP地址（為一串數(shù)字）不方便記憶，DNS允許用戶使用一串常見的字母（即“域名”）取代。DNS命名用于Internet等TCP/IP網絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入DNS名稱時，DNS服務可以將此名稱解析為與之相關的其他信息，如IP地址。因為，你在上網時輸入的網址，是通過域名解析系解析找到相對應的IP地址，這樣才能上網。其實，域名的最終指向是IP。

　　雖然域名系統(tǒng)后便于人們記憶，但網絡中的計算機之間只能互相認識IP地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名服務器（Domain Name Server）來完成，這里的DNS就是域名服務器。

　　DNS最早于1983年由保羅·莫卡派喬斯（Paul Mockapetris）發(fā)明；原始的技術規(guī)范在882號因特網標準草案（RFC 882）中發(fā)布。1987年發(fā)布的第1034和1035號草案修正了DNS技術規(guī)范，并廢除了之前的第882和883號草案。在此之后對因特網標準草案的修改基本上沒有涉及到DNS技術規(guī)范部分的改動。

　　早期的域名必須以英文句號“.”結尾,當用戶訪問wiki.mbalib.com的HTTP服務時必須在址欄中輸入：http://wiki.mbalib.com. ，這樣DNS才能夠進行域名解析。如今DNS服務器已經可以自動補上結尾的句號。

　　當前，對于域名長度的限制是63個字符，包括www.和.com或者其他的擴展名。域名同時也僅限于ASCII字符的一個子集，這使得很多其他語言無法正確表示他們的名字和單詞。基于Punycode碼的IDNA系統(tǒng)，可以將Unicode字符串映射為有效的DNS字符集，這已經通過了驗證并被一些注冊機構作為一種變通的方法所采納。

　　1、技術角度看

• DNS解析是互聯(lián)網絕大多數(shù)應用的實際尋址方式；
• 域名技術的再發(fā)展、以及基于域名技術的多種應用，豐富了互聯(lián)網應用和協(xié)議。

　　2、資源角度看

• 域名是互聯(lián)網上的身份標識，是不可重復的唯一標識資源；
• 互聯(lián)網的全球化使得域名成為標識一國主權的國家戰(zhàn)略資源。

　　1、針對域名系統(tǒng)的惡意攻擊：DDOS攻擊造成域名解析癱瘓。

　　2、域名劫持：修改注冊信息、劫持解析結果。

　　3、國家性質的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。

　　Internet域名系統(tǒng)是一個樹型結構，其形式如下：

　　com(企業(yè))、net(網絡運行服務機構)、gov(政府機構)、org(非營利性組織)、edu(教育)域由InterNic管理，其注冊、運行工作目前由Network Solution公司負責。

　　7個新的頂級域名分別是：firm(公司企業(yè))、shop(商店)、web(希望突出萬維網活動的實體)、arts(主要從事娛樂文化活動的實體 )、rec(主要從事娛樂文化實體)、info(主要從事信息服務實體)、nom(一些希望在互聯(lián)網上發(fā)布個人信息的人)將于1998年啟動，這些域名的注冊服務由多家機構承擔，CNNIC也有幸成為注冊機構之一。

　　按照ISO－3166標準制定的國家域名，一般由各國的NIC(Network Information Center，網絡信息中心 )負責運行。

　　我國域名體系分為類別域名和行政區(qū)域名兩套。

　　類別域名是指圖中最下面一行前面的六個域名，分別依照申請機構的性質依次分為：AC－科研機構；COM－工、商、金融等專業(yè)；EDU－教育機構；GOV－政府部門； NET－互聯(lián)網絡、接入網絡的信息中心和運行中心；ORG－各種非盈利性的組織。

　　行政區(qū)域名是按照我國的各個行政區(qū)劃分而成的，其劃分標準依照國家技術監(jiān)督局發(fā)布的國家標準而定，包括“行政區(qū)域名”34個，適用于我國的各省、自治區(qū)、直轄市，分別為：BJ－北京市；SH－上海市；TJ－天津市；CQ－重慶市；HE－河北??；SX－山西??；NM－內蒙古自治區(qū)；LN－遼寧??；JL－吉林?。籋L－黑龍江?。籎S－江蘇??；ZJ－浙江??；AH－安徽；FJ－福建省；JX－江西省；SD－山東??；HA－河南??；HB－湖北省；HN－湖南??；GD－廣東省；GX－廣西壯族自治區(qū)；HI－海南??；SC－四川??；GZ－貴州省；YN－云南省；XZ－西藏自治區(qū)；SN－陜西省；GS－甘肅??；QH－青海省；NX－寧夏回族自治區(qū)；XJ－新疆維吾爾自治區(qū)；TW－臺灣；HK－香港；MO－澳門。

　　CN域名除edu.cn由CernNic(教育網)運行外，其他均由CNNIC運行。

　　事件一：

　　2010年1月12日，搜索引擎網站百度（http://www.baidu.com ）7時左右突然無法打開。與此同時，百度旗下貼吧域名（www.tieba.com）也無法正常訪問。11時左右，百度故障依然沒有修復，百度公司向騰訊科技發(fā)來公告，稱域名遭非法篡改，公司正在積極處理。12時左右，全國各地訪問百度首頁陸續(xù)恢復正常。^[1]安全專家分析認為，此次攻擊黑客利用了DNS記錄篡改（DNS劫持）的方式^[2]。

　　DNS劫持是安全界常見的一個名詞，劫持了DNS服務器，意思是通過某些手段取得某域名的解析記錄控制權，進而修改此域名的解析結果，導致對該域名的訪問由原IP地址轉入到修改后的指定IP，其結果就是對特定的網址不能訪問或訪問的是假網址，從而實現(xiàn)竊取資料或者破壞原有正常服務的目的^[2]。

　　通常在三種情況下會遇到DNS劫持的問題^[2]：

　　1、用戶計算機感染病毒，病毒在操作系統(tǒng)中的HOSTS文件中添加了虛假的DNS解析記錄。Windows中HOSTS文件的優(yōu)先級高于DNS服務器，操作系統(tǒng)在訪問某個域名時，會先檢測HOSTS文件，然后再查詢DNS服務器。

　　2、用戶試圖訪問的網站被惡意攻擊。這種情況下，你可能訪問到的是一個欺騙性網站，也有可能被定向到其它網站。

　　3、用戶在瀏覽器中輸入了錯誤的域名，導致DNS查詢不存在的記錄。以前遇到這種情況，瀏覽器通常會返回一個錯誤提示。而最近，這種情況下用戶會看到ISP設置的域名糾錯系統(tǒng)提示。

　　DNS劫持的基本原理是把域名翻譯成IP地址，以便計算機能夠進一步通信，傳遞網址和內容等。

　　由于域名劫持往往只能在特定的被劫持的網絡范圍內進行，所以在此范圍外的域名服務器(DNS)能夠返回正常的IP地址，高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現(xiàn)對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

　　如果知道該域名的真實IP地址，則可以直接用此IP代替域名后進行訪問，從而繞開域名劫持(但如果網頁儲存公司使用虛擬主機存放網頁的話就不能簡單如此配置，因為一個IP可連去多個域名)。

　　專家表示，黑客入侵大型網站本身越來越難，因此通過劫持DNS“黑”大型網站會越來越流行。

　　事件二：

　　2013年8月25日凌晨，“ .CN”域名經歷驚魂一夜，部分.CN域名在當日凌晨出現(xiàn)無法解析的問題。域名解析服務商DNSPod創(chuàng)始人吳洪聲在稱，故障發(fā)生是由于當時.CN域名的根服務器受到攻擊，授權DNS陷入全線故障，多家網站及新浪微博客戶端無法登錄。

　　距這次事故發(fā)生一個月后，CNNIC和工信部終于揪出了本次攻擊事件的始作俑者：一名來自山東青島的黑客。據調查發(fā)現(xiàn)，該黑客本意是要攻擊一個游戲私服網站，使其癱瘓，后來他為了更快達到這個目的，直接對.CN的根域名服務器進行了DDoS攻擊，發(fā)出的攻擊流量堵塞了.CN根服務器的出口帶寬(據工信部數(shù)據：攻擊時峰值流量較平常激增近1000倍，近15G)，致使.CN根域名服務器的解析故障，使得大規(guī)模的.CN域名無法正常訪問。