為什麼DNS安全很重要

幾乎所有web流量都需要標準DNS查詢，這為DNS攻擊創造了機會，比如DNS劫持和中間人攻擊。這些攻擊可以將網站的入站流量重定向到網站的偽造副本，收集敏感使用者資訊，並使企業承擔重大責任。目前防範DNS威脅的最普遍方法之一是採用DNSSEC協議。 什麼是DNS安全擴充套件(DNSSEC)?

與許多internet協議一樣，DNS系統的設計沒有考慮到安全性，並且存在一些設計限制。這些限制，再加上技術的進步，使得攻擊者很容易劫持DNS查詢以達到惡意目的，例如將使用者傳送到一個可以分發惡意軟體或收集個人資訊的欺詐網站。DNS安全擴充套件(DNSSEC)是一種用於緩解此問題的安全協議。DNSSEC透過對資料進行數字簽名來防止攻擊，以幫助確保資料的有效性。為了確保安全查詢，必須在DNS查詢過程的每個級別進行簽名。

這一簽署過程類似於有人用筆簽署法律檔案;這個人用別人無法建立的僅有簽名，法庭專家可以檢視這個簽名並驗證檔案是由這個人簽名的，這些數字簽名確保資料沒有被篡改。

DNSSEC實現了跨所有DNS層的分層數字簽名策略。例如，在“google.com”查詢的情況下，根DNS伺服器將為.com名稱伺服器簽署一個金鑰，然後.com名稱伺服器將為google.com的權威名稱伺服器簽署一個金鑰。

雖然改進的安全性總是首要的，但是DNSSEC被設計為向後相容，以確保傳統的DNS查詢仍然能夠正確解析，儘管沒有新增安全性。DNSSEC旨在與SSL/TLS等其他安全措施合作，作為整體網際網路安全戰略的一部分。

涉及DNS的常見攻擊有哪些?

DNSSEC是一種功能強大的安全協議，但不幸的是，目前還沒有得到普遍採用。除了DNS是大多數internet請求的一個組成部分之外，這種缺乏採用以及其他潛在的漏洞使得DNS成為惡意攻擊的主要目標。攻擊者已經找到了許多方法來攻擊和利用DNS伺服器，以下是一些最常見的方法:

DNS欺騙/快取中毒:這種攻擊將偽造的DNS資料引入DNS解析器的快取，導致解析器返回不正確的域IP地址。不訪問正確的網站，流量可能被轉移到惡意機器或攻擊者希望的任何地方;通常這將是原始站點的副本，用於惡意目的，如分發惡意軟體或收集登入資訊。

DNS隧道:此攻擊使用其他協議隧道透過DNS查詢和響應。攻擊者可以使用SSH、TCP或HTTP將惡意軟體或竊取的資訊傳遞到DNS查詢中，而大多數防火牆都無法檢測到。

DNS劫持:在DNS劫持中，攻擊者將查詢重定向到不同的域名伺服器。這可以透過惡意軟體或未經授權修改DNS伺服器來實現。雖然結果與DNS欺騙相似，但這是一種根本不同的攻擊，因為它針對的是域名伺服器上的網站DNS記錄，而不是解析器的快取。

NXDOMAIN攻擊:這是一種DNS氾濫攻擊，攻擊者用請求淹沒DNS伺服器，請求不存在的記錄，試圖導致對合法流量的拒絕服務。這可以使用複雜的攻擊工具來完成，這些工具可以為每個請求自動生成僅有的子域。NXDOMAIN攻擊還可以針對遞迴解析器，其目標是用垃圾請求填充解析器的快取。

隨機子域攻擊:在這種情況下，攻擊者向一個合法站點的幾個隨機的、不存在的子域傳送DNS查詢。其目標是為域名的權威域名伺服器建立一個拒絕服務，使其無法從域名伺服器查詢網站。作為一個副作用，服務於攻擊者的ISP也可能受到影響，因為它們的遞迴解析器的快取將載入壞請求。

DNS作為一種安全工具

DNS解析器還可以配置為其終端使用者(瀏覽Internet的人)提供安全解決方案。一些DNS解析器提供了一些功能，比如內容過濾，它可以阻止已知的散佈惡意軟體和垃圾郵件的站點以及殭屍網路保護，它可以阻止與已知殭屍網路的通訊。這些受保護的DNS解析器中有許多是免費使用的，使用者可以透過更改本地路由器中的一個設定切換到這些遞迴DNS服務之一。

如今的網路安全已然成為了大勢所趨，不僅僅DNS伺服器會被攻擊，自身的伺服器有時候也會殃及魚池，大環境驅使下我們不得不採用一些手段來保護自身網路安全，像機房提成防護申請，自身購買CDN都是比較好的方式，當然如果要選購高防產品的話，一定要有足夠的耐心，像我們熟知的 阿里雲和 cloud.tencent.com 騰訊雲都是我們可以在預算充足時，無條件信任的大廠商，當然如果想要價效比也可嘗試中小企青睞的 咖啡雲。