DNS安全問題有哪些？DNS系統存在哪些安全隱患？

DNS是網際網路的基礎服務，其安全對於維持網路安全執行具有舉足輕重的作用。但如今，DNS正面臨DDoS攻擊、快取投毒、區域資訊洩露等眾多威脅，因此瞭解DNS的安全問題對於應對DNS攻擊，建立有效的DNS安全防護十分有必要。本文，中科三方針對DNS的安全問題做下簡單介紹。

1.DNS自身的不安全因素

DNS在早期設計時只考慮到網路的適應性，採用的是面向非連線的UDP協議，而UDP協議本身就是不安全的。而從組成結構來看，為了便於查詢，DNS採用了樹形結構，這種結構單點故障明顯，整個DNS體系並不是很穩固。

此外，大部分DNS伺服器都是基於BIND軟體部署的，BIND雖然能夠提供高效的服務，但也存在諸多的安全性漏洞，一種是緩衝區溢位漏洞，如BIND4和BIND8存在一個遠端緩衝溢位缺陷，可以使攻擊者在DNS上執行各種指令；另一種是拒絕服務漏洞，受攻擊後的DNS伺服器不能提供正常服務，使得其所管轄的子網無法正常工作。

2.DNS面臨的攻擊

（1）DDoS攻擊

DNS伺服器同web伺服器一樣也會成為DDoS攻擊的物件，而且DNS伺服器管轄著眾多網站的解析記錄，其遭受DDoS攻擊後將會導致其所轄域名都無法正常解析，所造成的破壞力比僅針對web伺服器發起攻擊更為致命。且DNS伺服器對DDoS攻擊沒有足夠的防禦能力，所以針對DNS發起攻擊已成為目前網路攻擊的一項重要手段。

（2）緩衝區投毒

為了提高查詢效率，DNS體系中的多個環節都採用了快取機制，快取資料在沒過期之前，會直接將快取中記錄的解析結果返回給客戶。這個過程雖然縮短了解析查詢的路徑，解析和訪問速度得到明顯提升，但也給了攻擊者以可乘之機。DNS緩衝區投毒就是在DNS快取中存入錯誤的資料，在客戶發起請求時將錯誤的資料返回給客戶，從而將客戶重定向到錯誤的IP地址。且緩衝區中毒的機器還可能將錯誤的資料傳播出去，導致更多的伺服器快取中毒，危害性不可謂不小。

（3）區域資訊洩露

DNS伺服器作為公開開放的資料庫，通常情況下不會對域名請求查詢加以驗證，因此很容易導致網路拓撲、子網結構等資訊的洩露，為各類攻擊提供機會。

（4）域名劫持

域名劫持是透過獲取域名所有者的賬號名稱和密碼取得域名管理權，從而將域名的IP地址指向其他主機，嚴格來說域名劫持並不是DNS安全問題，但它對DNS解析的準確性威脅也是顯而易見的。

從上面可以看出DNS面臨自身的先天結構缺陷和外部多種型別的攻擊威脅，如果我們不能做出有效應對，其對網路的安全執行將造成各種不可預想的危害。