從域名解析過程可以看出,當本地域名服務器緩存不能直接提供域名對應的IP地址時,解析過程必須經過域名根服務器或其鏡像服務器。而所有輔根服務器及其鏡像需定期從主根服務器同步更新全球域名信息。從技術上看,只需刪除主根域名服務器的相關記錄,使其國家頂級域名失效,即可實現讓一個國家從互聯網上消失。
當前,全球互聯網域名系統中,唯一的主根服務器設在美國,美國政府授權ICANN(The Internet Corporation for Assigned Names and Numbers,互聯網名稱與數字地址分配機構)進行控制;12個輔根服務器中9個設在美國,其他3個分別設在英國、瑞典和日本。由于其他根服務器及鏡像的域名信息均復制于主根服務器,因此美國事實上控制了全球所有國家和地區的域名解析,具備將一個國家從互聯網上“抹去”的能力和條件。
一旦與某國發生沖突,美國在技術上完全可以停止對該國域名的解析,使其網站無法被外界訪問。據報道,伊拉克戰爭期間,美國終止了伊拉克國家頂級域名。IQ的解析[2];在塔利班政權統治阿富汗時期,美國將阿富汗國家頂級域名。AF的管理權授予前流亡政府;2004年4月,由于對頂級域名管理權問題發生分歧,導致利比亞國家頂級域名。LY癱瘓[4],利比亞從互聯網上“消失”了3天。
當前針對域名系統的攻擊手段多種多樣,總結起來主要包括以下三類:
一是分布式拒絕服務攻擊(DDOS)。由于域名系統協議存在體系開放、無認證、無連接和無狀態等特點,使其更易受到分布式拒絕服務攻擊。針對域名系統的分布式拒絕服務攻擊主要采用基于正常域名請求、反彈式、大流量阻塞等三種途徑。
二是DNS欺騙攻擊,通過技術手段向緩存域名服務器注入非法域名解析記錄,當用戶向被攻擊的緩存域名服務器提交域名請求時,將會返回攻擊者預先設定的IP地址。
三是域名劫持攻擊[3],攻擊者控制域名管理密碼和域名管理郵箱后,將該域名的NS紀錄指向到攻擊者可以控制的DNS服務器,然后通過在該DNS服務器上配置相應域名紀錄,使用戶訪問該域名時,實際指向攻擊者預先設定的主機。
京公網安備 11010502049343號