随着互联网的飞速发展,网络基础设施和基础服务的安全性越来越重要,因为它们是其它网络服务和应用赖以生存的基础。DNS系统作为联系整个网络的纽带,其安全性直接决定着整个网络的安全性,因此对DNS系统的安全防护尤为重要。DNS协议在设计之初就没有考虑太多的安全因素,协议本身所存在的脆弱性使得DNS面临着各种威胁。本文首先对DNS的系统结构和工作原理做了简单的介绍,然后分别从设计、实现和操作三个方面,对DNS系统所存在的脆弱性进行了详细的分析,并阐述了每种脆弱性所可能引发的攻击。在对DNS脆弱性全面分析的基础上,本文提出了DNS安全防护模型。该模型以增强DNS系统可生存性为目标,以容错和容侵为基础,构建出一个纵深、多层次、全方位的防御体系。在容错体系中本文综合运用了漏洞扫描、配置错误检测以及故障恢复技术。在容侵体系中本文针对DNS欺骗攻击提出了三种攻击检测手段、三种攻击过滤方法,以及两种新的反向追踪的方案,为防护平台的建立提供了理论基础。在DNS安全防护模型思想的基础上,本文实现了一个DNS安全防护平台—DNSSPF,该平台采用层次化和模块化设计思想,将整个系统分为三个层次和六大模块,使系统具有高内聚和低耦合的特点。最后通过对DNS安全防护平台的实验测试,验证了本文核心防护思想的正确性和有效性。