根據 Neustar 國際安全委員會 (NISC) 的一項新研究，在過去12個月內全球有近四分之三 的公司遭受了域名系統 (DNS) 攻擊。在這些調查物件中有61%的公司遭受多次DNS攻擊。

Neustar 指出，與勒索軟體、分散式拒絕服務（DDoS）和有針對性的賬戶黑客攻擊等網路攻擊手段相比，網路安全人員通常對DNS攻擊的關注度較低，從而導致DNS攻擊所佔比例越來越高，造成的破壞也越來越嚴重。根據Neustar最新研究表明，55%的網路安全從業者認為DNS入侵和攻擊已成為一種日益嚴重的網路威脅，與之相比，2020年10月該資料為47%。

一、什麼是DNS？

DNS是Domain Name System的縮寫，翻譯成中文就是“域名系統”。DNS是網際網路中的一項核心服務，是用於實現域名和IP地址相互對映的一個分散式資料庫，它將簡單明瞭的域名翻譯成可由計算機識別的IP地址，使使用者可以更快速便捷地訪問互聯。DNS承擔著將域名翻譯為可由計算機直接讀取的IP地址的基礎功能，其對於保障網路的安全穩定執行至關重要。

二、DNS攻擊型別和應對方式

DNS攻擊是攻擊者利用DNS系統中的弱點或漏洞發起的攻擊，根據攻擊方式的不同大致可分為以下幾種：

1.DNS Floods

DNS查詢過程通常都是基於UDP協議的，UDP協議是無連線狀態的。所以這一弱點很容易被黑客所利用，DNS伺服器收到DNS reply報文時，不管自己有沒有發出去過解析請求，都會對這些DNS reply報文進行處理。DNS reply flood攻擊模式就是黑客控制殭屍網路向DNS伺服器傳送大量不存在的域名的解析請求，導致快取伺服器因為處理這些DNS reply報文而資源耗盡，影響正常業務。

應對方式：防止域 Floods 攻擊的方法有很多，其中包括安裝 IP 驗證協議。機器學習異常檢測和阻止系統是最好的選擇。如果問題特別嚴重且缺少此類攔截措施，則停用遞迴 DNS 伺服器將通過防止更多中繼來緩解此問題。

將請求限制為僅來自授權客戶的請求是解決問題的另一種方法。在權威伺服器上具有低響應速率限制（RRL）配置也可以。

2.域名劫持

域名劫持的攻擊目的與方式十分直接，就是通過修改域名的NS記錄，將域名原本指定的DNS伺服器修改為黑客可以操控的DNS，然後便可以通過修改域名解析記錄的方式，將域名指向惡意IP從而達到劫持的目的。

應對方式：（1）對抗域名劫持的最優方案是將解析鎖定，以保證DNS伺服器不被修改，甚至解析也無法隨意變更。（2）選擇正規專業的DNS服務商，可以獲得效能較為強大的域名解析和域名監測服務，及時發現域名異常狀態並快速解決。（3）安裝SSL證書。SSL證書具備伺服器身份認證功能，可以使DNS 劫持導致的連線錯誤情況及時被發現和終止，同時 HTTPS 協議可以在資料傳輸中對資料進行加密傳輸，保護資料不被竊取和修改。

3.快取投毒

DNS快取投毒的攻擊模式也很容易理解，這種攻擊中黑客不會直接去攻擊域名的權威解析伺服器，而是向攻擊目標的本地遞迴解析伺服器資料庫中投入偽造的解析記錄快取。當使用者發起訪問請求時，第一時間來詢問本地DNS，得到的回答是黑客之前投入的虛假記錄，因而導致使用者被引導向惡意的IP地址。

應對方式：防止快取投毒攻擊只需要重新整理DNS伺服器快取即可，將解析記錄的TTL值配置為相對較小的數值，縮短快取存在時間，從而便可以避免持續被投毒攻擊影響。