DNS是一个层次化的数据库,它包括一系列记录,描述了名称、IP地址和其他关于主机的信息。这些数据库驻留在DNS服务器中,DNS服务器和Internet或Intranet互连。简单地说,DNS就是为需要定位指定服务器的网络应用提供一个名称到地址的目录服务。例如,用户每发送一个电子邮件或者访问一个Web网页,都必须有一个DNS名。
问题在于用户无法知道DNS应答的来源是否正确或者是否包含正确的数据。只要稍微学习一下,甚至一个十几岁的黑客都可以用错误数据来破坏DNS服务器,而Web客户机却识别不出错误数据。这样就带来很大的麻烦,因为DNS经常被用作默认的认证系统。
例如,当一个用户在浏览器上点击一家报纸的网站时,他期望看到的网页是那家报纸的。但是,DNS协议并不包含任何可以证明该网页正确的机制,即该网页确实是他期望的那家报纸的网页。还会有一种更危险的情况出现,某些组织为了达到某种目的,把毫无防范的用户引导到一个对该报纸进行批评、或者蓄意篡改该报纸内容甚至以诽谤的方式对事件进行错误报道的Web 服务器上。
为了解决这一问题,IETF正在着手在DNS协议里加入安全扩展协议,也就是所谓的域名系统的安全协议(Domain Name System SECurity,DNSSEC)。
DNS的产生
在DNS之前,每个新的主机都必须添加到位于斯坦福研究院的网络信息中心(Stanford Reseach Institute's Network Information Center,SRI-NIC)的中央存储设备里。直到90年代初,一直由该中心负责维护这些信息。SRI-NIC经常发布主机信息的文件,Arpanet(Internet的前身)上的所有主机就拷贝这些文件。这种机制在Internet上只有少量主机时是可以运作的,但是随着Internet的增长,这种机制就不稳定了。
