DNS 開放協議存在哪些自身缺陷

DNS開放協議存在以下自身缺陷：

• 單點故障：DNS采用層次化的樹形結構，由樹葉走向樹根就可以形成一個完全合格域名（Fully Qualified Domain Name， FQDN），DNS服務器作為該FQDN唯一對外的域名數據庫和對內部提供遞歸域名查詢的系統，其安全和穩定就存在單點故障的風險。

• 無認證機制：DNS沒有提供認證機制，查詢者在收到應答時無法確認應答信息的真假，黑客可以將一個虛假的IP地址作為應答信息返回給請求者，從而引發DNS欺騙。

• DNS本身漏洞：DNS是域名軟件，它在提供高效服務的同時也存在許多安全性漏洞。現已證明在DNS版本4和版本8上存在缺陷，攻擊者利用這些缺陷能成功地進行DNS欺騙攻擊。

• 緩存中毒：DNS使用超高速緩存，當一個名稱服務器收到有關域名和IP的映射信息時，它會將該信息存放在高速緩存中。這種映射表是動態更新的，但刷新有一個周期，假冒者如果在下次更新之前成功修改了這個映射表，就可以進行DNS欺騙。

• 信息泄露：DNS的默認設置允許任何人進行區傳送（區傳送一般用于主服務器和輔服務器之間的數據同步），而區傳送可能會造成信息泄露。

• 不安全的動態更新：隨著DHCP的出現，客戶計算機由DHCP服務器動態分配IP地址，使原來手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動態更新，即DNS客戶端在IP地址或名稱出現更改的任何時候都可利用DNS服務器來注冊和動態更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務器信任的主機對區數據進行添加、刪除和替換。

回答所涉及的環境：聯想天逸510S、Windows 10。