中科三方：淺談DNS攻擊型別和DNS安全防護措施

DNS是網際網路重要組成部分，它負責將域名與IP地址進行相互轉換。近年來，隨著網路應用和業務的不斷髮展，網路攻擊事件日益頻繁，DNS系統也遭受到了一系列的攻擊，因此DNS安全逐漸受到人們的關注。那麼針對DNS攻擊型別有哪些？DNS防護措施有哪些呢？本文，中科三方針對這個問題做下簡單介紹。

DNS攻擊型別有哪些？

1.DDoS攻擊

DDoS攻擊不僅只針對web伺服器，DNS伺服器也會遭受DDoS攻擊。針對DNS伺服器的攻擊有兩種：一種是針對DNS伺服器本身發動大量的解析請求，最終導致DNS伺服器崩潰或拒絕服務；一種是將DNS伺服器當作“中間人”去攻擊網路中的其他主機。駭客使用被攻擊的IP地址對多個DNS伺服器傳送大量的查詢請求，DNS伺服器就會將大量的查詢結果返回給被攻擊主機，使被攻擊主機無法提供正常服務。

2.DNS劫持

DNS劫持的基本工作原理是為客戶端返回一個錯誤的解析記錄，將使用者引導至一個錯誤的伺服器IP或使得網站訪問不可達。DNS劫持主要有三種攻擊方式：第一種是DNS快取投毒，DNS快取投毒是利用了DNS快取機制，將錯誤的快取結果注入DNS伺服器快取中，當客戶端請求時為其返回錯誤地址；第二種是DNS資訊劫持，攻擊者監聽DNS會話，猜測DNS伺服器響應IP，提前將錯誤的響應返回給客戶端；第三種是DNS重定向，這種方式是將DNS名稱查詢重定向到受攻擊者控制的DNS伺服器上，然後攻擊者在受控制的DNS伺服器上新增錯誤的解析記錄，並將錯誤結果返回給客戶端。

3.系統漏洞

Bind目前是最常用的DNS服務軟體，目前絕大多數DNS伺服器都是基於bind執行的，與其他軟體一樣，bind也存在眾多安全漏洞。目前主流的作業系統如windows、UNX、Linux均存在不同程度的系統漏洞和安全風險，作業系統的漏洞也能對DNS安全造成較大影響。

DNS安全防護措施有哪些？

DNS系統面臨著來自內部和外部的兩種風險，因此要提升DNS的安全性，就需要從構建DNS外部防護體系和DNS內部防護策略兩方面出發。

1.DNS外部安全防護體系

DNS外部安全防護體系需要將邊界路由器、防火牆策略和埠管理、負載均衡策略等軟硬體防護策略結合起來，構建立體化的DNS安全防護體系。

2.DNS內部安全策略

DNS協議或者軟體設計與配置上的漏洞會被駭客利用，並向DNS發起攻擊以達到非法目的。使用最新版的Bind可以大大提高DNS的安全性。此外，透過採取DNSSEC安全協議為解析資料進行加密，限制DNS遞迴伺服器的快取能力以及在域名解析時設定較小的TTL值等方式，也能有效提升DNS解析的安全能力。

由於DNS在網際網路中的重要角色以及其缺乏足夠的安全驗證機制，導致DNS越來越受到網路攻擊的關注，因此瞭解DNS攻擊手段以及提升DNS安全防護能力，對於提升網站的安全十分必要。