域名系统DNS (Domain Names System)是一种基于TCP / IP应用程序的多层次的分布式数据库。它负责提供域名到IP地址的相互映射,是服务器和客户程序通信的基础,也是各种Internet应用如Email、www、FTP等的基础。近年来,随着Internet网络应用和业务的不断发展,互联网上发生的网络攻击事件目益频繁,DNS系统也遭受到了一系列的攻击,出现域名与IP地址之间的映射关系被修改,客户主机遭受欺骗攻击、面临拒绝服务,DNS服务器缓存中毒、区域信息泄漏等众多安全问题。作为Internet上的关键基础服务,DNS一旦出错,将影响互联网大部分业务的正常运行。所以,DNS的安全问题越来越受到关注。本文在介绍DNS发展历史和基本原理的基础上,从协议、实现、配置三个方面详细论述了DNS的安全漏洞,包括漏洞形成原因,漏洞的不利影响,针对具体漏洞的攻击过程及特点等。然后,提出DNS安全检测系统,系统包括两个部分:被动监控模块和主动检测模块。被动监控是在服务器端对进出服务器的DNS数据进行监控,分析出异常的网络流量,锁定有问题IP,为下一步服务器端的安全配置提供依据。主动检测是指在连接到Internet的一台主机上向目的服务器发送构造的特殊报文,通过对服务器响应的分析,获得DNS服务器背景信息,确定其实现漏洞,和是否存在配置漏洞。本文最后实现并验证该系统。经过实验验证,该系统可以稳定运行,并有效检测出DNS系统的部分漏洞和可能的攻击,在维护DNS安全方面具有一定的实际意义和使用意义。