DNS全稱Domain Name System，Domain Name被譯為域名，中文名為域名系統(tǒng)，也稱為域名解析系統(tǒng)；另外域名服務(wù)器Domain Name Server也簡稱為DNS。

　　域名系統(tǒng)是因特網(wǎng)的一項內(nèi)核服務(wù)，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS是具有樹型結(jié)構(gòu)的名字空間，核心功能是完成域名到IP地址的轉(zhuǎn)換，使用TCP和UDP端口53。

　　通俗地說，DNS幫助用戶在互聯(lián)網(wǎng)上尋找路徑。在互聯(lián)網(wǎng)上的每一個計算機都擁有一個唯一的地址，稱作“IP地址”（即互聯(lián)網(wǎng)協(xié)議地址）。由于IP地址（為一串?dāng)?shù)字）不方便記憶，DNS允許用戶使用一串常見的字母（即“域名”）取代。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時，DNS服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如IP地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系解析找到相對應(yīng)的IP地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP。

　　雖然域名系統(tǒng)后便于人們記憶，但網(wǎng)絡(luò)中的計算機之間只能互相認(rèn)識IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名服務(wù)器（Domain Name Server）來完成，這里的DNS就是域名服務(wù)器。

　　DNS最早于1983年由保羅·莫卡派喬斯（Paul Mockapetris）發(fā)明；原始的技術(shù)規(guī)范在882號因特網(wǎng)標(biāo)準(zhǔn)草案（RFC 882）中發(fā)布。1987年發(fā)布的第1034和1035號草案修正了DNS技術(shù)規(guī)范，并廢除了之前的第882和883號草案。在此之后對因特網(wǎng)標(biāo)準(zhǔn)草案的修改基本上沒有涉及到DNS技術(shù)規(guī)范部分的改動。

　　早期的域名必須以英文句號“.”結(jié)尾,當(dāng)用戶訪問wiki.mbalib.com的HTTP服務(wù)時必須在址欄中輸入：http://wiki.mbalib.com. ，這樣DNS才能夠進(jìn)行域名解析。如今DNS服務(wù)器已經(jīng)可以自動補上結(jié)尾的句號。

　　當(dāng)前，對于域名長度的限制是63個字符，包括www.和.com或者其他的擴(kuò)展名。域名同時也僅限于ASCII字符的一個子集，這使得很多其他語言無法正確表示他們的名字和單詞?；赑unycode碼的IDNA系統(tǒng)，可以將Unicode字符串映射為有效的DNS字符集，這已經(jīng)通過了驗證并被一些注冊機構(gòu)作為一種變通的方法所采納。

　　1、技術(shù)角度看

• DNS解析是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實際尋址方式；
• 域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應(yīng)用，豐富了互聯(lián)網(wǎng)應(yīng)用和協(xié)議。

　　2、資源角度看

• 域名是互聯(lián)網(wǎng)上的身份標(biāo)識，是不可重復(fù)的唯一標(biāo)識資源；
• 互聯(lián)網(wǎng)的全球化使得域名成為標(biāo)識一國主權(quán)的國家戰(zhàn)略資源。

　　1、針對域名系統(tǒng)的惡意攻擊：DDOS攻擊造成域名解析癱瘓。

　　2、域名劫持：修改注冊信息、劫持解析結(jié)果。

　　3、國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。

　　Internet域名系統(tǒng)是一個樹型結(jié)構(gòu)，其形式如下：

　　com(企業(yè))、net(網(wǎng)絡(luò)運行服務(wù)機構(gòu))、gov(政府機構(gòu))、org(非營利性組織)、edu(教育)域由InterNic管理，其注冊、運行工作目前由Network Solution公司負(fù)責(zé)。

　　7個新的頂級域名分別是：firm(公司企業(yè))、shop(商店)、web(希望突出萬維網(wǎng)活動的實體)、arts(主要從事娛樂文化活動的實體 )、rec(主要從事娛樂文化實體)、info(主要從事信息服務(wù)實體)、nom(一些希望在互聯(lián)網(wǎng)上發(fā)布個人信息的人)將于1998年啟動，這些域名的注冊服務(wù)由多家機構(gòu)承擔(dān)，CNNIC也有幸成為注冊機構(gòu)之一。

　　按照ISO－3166標(biāo)準(zhǔn)制定的國家域名，一般由各國的NIC(Network Information Center，網(wǎng)絡(luò)信息中心 )負(fù)責(zé)運行。

　　我國域名體系分為類別域名和行政區(qū)域名兩套。

　　類別域名是指圖中最下面一行前面的六個域名，分別依照申請機構(gòu)的性質(zhì)依次分為：AC－科研機構(gòu)；COM－工、商、金融等專業(yè)；EDU－教育機構(gòu)；GOV－政府部門； NET－互聯(lián)網(wǎng)絡(luò)、接入網(wǎng)絡(luò)的信息中心和運行中心；ORG－各種非盈利性的組織。

　　行政區(qū)域名是按照我國的各個行政區(qū)劃分而成的，其劃分標(biāo)準(zhǔn)依照國家技術(shù)監(jiān)督局發(fā)布的國家標(biāo)準(zhǔn)而定，包括“行政區(qū)域名”34個，適用于我國的各省、自治區(qū)、直轄市，分別為：BJ－北京市；SH－上海市；TJ－天津市；CQ－重慶市；HE－河北??；SX－山西?。籒M－內(nèi)蒙古自治區(qū)；LN－遼寧??；JL－吉林??；HL－黑龍江?。籎S－江蘇?。籞J－浙江??；AH－安徽；FJ－福建?。籎X－江西?。籗D－山東??；HA－河南??；HB－湖北??；HN－湖南省；GD－廣東??；GX－廣西壯族自治區(qū)；HI－海南省；SC－四川省；GZ－貴州?。籝N－云南??；XZ－西藏自治區(qū)；SN－陜西?。籊S－甘肅??；QH－青海??；NX－寧夏回族自治區(qū)；XJ－新疆維吾爾自治區(qū)；TW－臺灣；HK－香港；MO－澳門。

　　CN域名除edu.cn由CernNic(教育網(wǎng))運行外，其他均由CNNIC運行。

　　事件一：

　　2010年1月12日，搜索引擎網(wǎng)站百度（http://www.baidu.com ）7時左右突然無法打開。與此同時，百度旗下貼吧域名（www.tieba.com）也無法正常訪問。11時左右，百度故障依然沒有修復(fù)，百度公司向騰訊科技發(fā)來公告，稱域名遭非法篡改，公司正在積極處理。12時左右，全國各地訪問百度首頁陸續(xù)恢復(fù)正常。^[1]安全專家分析認(rèn)為，此次攻擊黑客利用了DNS記錄篡改（DNS劫持）的方式^[2]。

　　DNS劫持是安全界常見的一個名詞，劫持了DNS服務(wù)器，意思是通過某些手段取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對該域名的訪問由原IP地址轉(zhuǎn)入到修改后的指定IP，其結(jié)果就是對特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址，從而實現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的^[2]。

　　通常在三種情況下會遇到DNS劫持的問題^[2]：

　　1、用戶計算機感染病毒，病毒在操作系統(tǒng)中的HOSTS文件中添加了虛假的DNS解析記錄。Windows中HOSTS文件的優(yōu)先級高于DNS服務(wù)器，操作系統(tǒng)在訪問某個域名時，會先檢測HOSTS文件，然后再查詢DNS服務(wù)器。

　　2、用戶試圖訪問的網(wǎng)站被惡意攻擊。這種情況下，你可能訪問到的是一個欺騙性網(wǎng)站，也有可能被定向到其它網(wǎng)站。

　　3、用戶在瀏覽器中輸入了錯誤的域名，導(dǎo)致DNS查詢不存在的記錄。以前遇到這種情況，瀏覽器通常會返回一個錯誤提示。而最近，這種情況下用戶會看到ISP設(shè)置的域名糾錯系統(tǒng)提示。

　　DNS劫持的基本原理是把域名翻譯成IP地址，以便計算機能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

　　由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

　　如果知道該域名的真實IP地址，則可以直接用此IP代替域名后進(jìn)行訪問，從而繞開域名劫持(但如果網(wǎng)頁儲存公司使用虛擬主機存放網(wǎng)頁的話就不能簡單如此配置，因為一個IP可連去多個域名)。

　　專家表示，黑客入侵大型網(wǎng)站本身越來越難，因此通過劫持DNS“黑”大型網(wǎng)站會越來越流行。

　　事件二：

　　2013年8月25日凌晨，“ .CN”域名經(jīng)歷驚魂一夜，部分.CN域名在當(dāng)日凌晨出現(xiàn)無法解析的問題。域名解析服務(wù)商DNSPod創(chuàng)始人吳洪聲在稱，故障發(fā)生是由于當(dāng)時.CN域名的根服務(wù)器受到攻擊，授權(quán)DNS陷入全線故障，多家網(wǎng)站及新浪微博客戶端無法登錄。

　　距這次事故發(fā)生一個月后，CNNIC和工信部終于揪出了本次攻擊事件的始作俑者：一名來自山東青島的黑客。據(jù)調(diào)查發(fā)現(xiàn)，該黑客本意是要攻擊一個游戲私服網(wǎng)站，使其癱瘓，后來他為了更快達(dá)到這個目的，直接對.CN的根域名服務(wù)器進(jìn)行了DDoS攻擊，發(fā)出的攻擊流量堵塞了.CN根服務(wù)器的出口帶寬(據(jù)工信部數(shù)據(jù)：攻擊時峰值流量較平常激增近1000倍，近15G)，致使.CN根域名服務(wù)器的解析故障，使得大規(guī)模的.CN域名無法正常訪問。