DNSSEC

DNS（域名系统）是互联网的基础设施之一，每天处理着数以万亿计的查询请求。当一个用户在浏览器中输入一个域名时，背后发生的一系列复杂操作远超大多数人的想象。这不是一个简单的「查表」过程，而是一场涉及全球分布式系统、缓存策略、安全验证和算法博弈的技术交响曲。 ...

2011年11月，巴西数百万互联网用户在访问Google、Gmail、YouTube时被重定向到一个要求安装"Google Defence"软件的页面。这个所谓的安全软件实际上是一个银行木马。攻击者并未入侵Google的服务器——他们只是修改了几家ISP的DNS缓存记录。这个事件揭示了DNS缓存投毒攻击的恐怖之处：攻击者不需要攻破目标服务器，只需要欺骗DNS解析器。 ...

2025年10月22日，互联网系统联盟（ISC）披露了一个影响BIND 9 DNS服务器的严重漏洞（CVE-2025-40778）。攻击者无需网络访问权限，即可向递归解析器的缓存中注入伪造的DNS记录，将用户流量重定向到恶意服务器。这是自2008年Kaminsky漏洞以来，DNS缓存投毒攻击再次成为头条新闻。 ...

1983年，Paul Mockapetris在RFC 882和883中定义了Domain Name System（DNS）。这个协议的核心目标简单明确：将人类可读的域名映射为机器可读的IP地址。在那个只有几百台联网主机的ARPANET时代，Mockapetris和他的同事们做了一个影响至今的设计决策——DNS查询和响应不需要任何形式的身份验证。 ...

2016年10月21日，美国东海岸发生了一次大规模互联网中断。Twitter、Netflix、Reddit、Spotify等众多知名网站同时无法访问。数百万用户盯着浏览器上的"DNS_PROBE_FINISHED_NXDOMAIN"错误发呆。问题根源是一家DNS服务提供商遭到了DDoS攻击——DNS解析服务瘫痪，整个互联网仿佛被切断了电话线。 ...