[科普中国]-DNS沉洞

DNS沉洞（DNS sinkhole），又名沉洞服务器、网络沉洞或者黑洞DNS指DNS服务器给出错误信息，从而防止访问特定域名。

操作过程一台沉洞服务器并不意味着一定是一台大型DNS服务器，其只需要存储于域名解析链中即可。

网络级禁止沉洞服务器是被配置为对于沉洞列表内域名分发不可路由地址的标准DNS服务器，这样所有使用此服务器作为DNS的主机将会无法访问真实的网站。DNS服务器所在的层级越高，被阻挡的主机就会越多。使用跨越整个互联网的TLD沉洞技术可以使得一些大型的僵尸网络无法使用。DNS沉洞技术在检测并阻挡有害流量、自动程序以及不需要的流量方面十分有用。1

主机级禁止存储于Windows、Unix和Linux等平台上的hosts文件可优先于DNS服务器进行解析，此技术同样可用于限制访问网站。1

应用沉洞技术既可以是建设性的，比如牵制WannaCry病毒的蔓延；也可以像DoS攻击中对DNS服务器进行攻击一样具有摧枯拉朽的威力。

它的其中一种应用方式是用于防止僵尸网络，具体为限制僵尸网络用于协调的DNS域名。基于hosts的方法则常用于屏蔽广告服务器与突破网络封锁。2

域名域名（英语：Domain Name），简称域名、网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。

网域名称系统（DNS，Domain Name System，有时也简称为域名）是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP地址数串。

例如，www.wikipedia.org是一个域名，和IP地址208.80.152.2相对应。DNS就像是一个自动的电话号码簿，我们可以直接拨打wikipedia的名字来代替电话号码（IP地址）。我们直接调用网站的名字以后，DNS就会将便于人类使用的名字（如www.wikipedia.org）转化成便于机器识别的IP地址（如208.80.152.2）。2

域名系统域名系统（英文：DomainNameSystem，缩写：DNS）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。DNS使用TCP和UDP端口53。当前，对于每一级域名长度的限制是63个字符，域名总长度则不能超过253个字符。

开始时，域名的字符仅限于ASCII字符的一个子集。2008年，ICANN通过一项决议，允许使用其它语言作为互联网顶级域名的字符。使用基于Punycode码的IDNA系统，可以将Unicode字符串映射为有效的DNS字符集。因此，诸如“x.中国”、“x.台湾”的域名可以在地址栏直接输入并访问，而不需要安装插件。但是，由于英语的广泛使用，使用其他语言字符作为域名会产生多种问题，例如难以输入，难以在国际推广等。

DNS通过允许一个名称服务器把他的一部分名称服务（众所周知的zone）“委托”给子服务器而实现了一种层次结构的名称空间。此外，DNS还提供了一些额外的信息，例如系统别名、联系信息以及哪一个主机正在充当系统组或域的邮件枢纽。

任何一个使用IP的计算机网络可以使用DNS来实现他自己的私有名称系统。尽管如此，当提到在公共的InternetDNS系统上实现的域名时，术语“域名”是最常使用的。

这是基于504个全球范围的“根域名服务器”（分成13组，分别编号为A至M）。从这504个根服务器开始，余下的Internet DNS名字空间被委托给其他的DNS服务器，这些服务器提供DNS名称空间中的特定部分。2

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所