域名系统(DNS)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人们更方便的访问互联网。然而DNS协议本身在设计时并没有充分的考虑到其安全性。近年来,DNS逐渐成为网络安全的热点和黑客攻击的重点,攻击形式以缓存毒化攻击居多,尤其是Kaminsky攻击最为突出。基于DNS在因特网中的重要性以及严峻的DNS安全形势,研究和设计新的可行的DNS毒化攻击解决方案则是本文的意义所在。本论文首先介绍DNS相关基础知识；通过研究一般DNS递归解析的过程,阐述了DNS缓存毒化攻击,尤其是Kaminsky攻击的原理；之后介绍现行缓存毒化攻击的防御方法的原理,并简单介绍了DNSSEC的原理和其部署现状。本论文针对现行防御方法的不足提出了两种独创的缓存毒化攻击防御思路,对比分析了在采用和未采用防御方案情况下,缓存DNS对毒化攻击的防御能力。采用防御方案的第一种思路是采用两次解析确认,该方法将毒化攻击难度大大提升；第二种思路是限制响应匹配次数,遏制攻击者的攻击能力。通过比较和评估,本论文折中选择了有限次匹配方法进行设计,并对防御系统进行了实验验证。本论文针对在现行毒化攻击防御方法中采用被动增加DNS数据包信息量来提高对缓存毒化攻击的不足,提出了具备预警机制的防御思路和两种防御方案,设计实现了其中一种防御方案的防御程序,并通过实验验证了其有效性。