雲解析DNS的安全性主要體現在哪些方面？（中科三方）

隨著國際形勢的日趨複雜以及網路技術的快速發展，網路安全問題日益凸顯，而DNS作為網路互聯中的導航系統內，其安全性是保障網際網路環境安全穩定的關鍵因素。也正因此DNS的重要作用，以及DNS固有的先天缺陷，導致DNS很容易成為網路攻擊目標。因此加強DNS系統的安全防護對於提升網路安全能力至關重要。

針對DNS的攻擊主要分為DNS劫持和DDoS攻擊兩種。DNS劫持是指攻擊者透過快取投毒或修改NS記錄等方式，用錯誤的解析資料替代正確的解析記錄，從而將訪客引導至受攻擊者控制的站點，或者是不存在的站點。

與針對web伺服器發動DDoS攻擊一樣，攻擊者同樣可以操縱分佈全國的肉雞對DNS解析伺服器發動DDoS攻擊。攻擊者透過對DNS伺服器管轄的域名發起超大流量的訪問請求，就會形成對DNS伺服器的頻繁解析請求，從而在極短時間內耗盡DNS服務頻寬，導致正常解析請求得不到響應，進而使得DNS伺服器所管轄的所有域名解析都受到影響。2016年美國的“黑色星期五”事件，導致大半個美國“斷網”，就是由於美國的DNS服務商Dyn遭遇大規模DDoS攻擊所造成的。

傳統的解析技術為了減輕DNS伺服器壓力，往往會設定較大的TTL值，這就給了攻擊者可乘之機，利用DNS快取進行投毒，實現DNS劫持的目的。而云解析DNS可支援低至秒級的TTL值，實現DNS快取的快速更新，有效避免攻擊者利用DNS快取發動DNS劫持攻擊。

針對web伺服器發起的DDoS攻擊，雲解析可以透過負載均衡和健康監測，智慧分配DDoS攻擊，將流量引導至不同伺服器，避免單個伺服器抵擋不住攻擊而癱瘓。而針對DNS伺服器發動的DDoS攻擊，雲解析DNS可透過彈性頻寬、流量清洗、DDoS防火牆等方式進行有效防禦。

彈性頻寬，與傳統解析固定頻寬不同，雲解析DNS系統採用彈性頻寬技術。在平時頻寬維持在可供使用者正常解析範圍內，當遭受DDoS攻擊時，雲解析DNS的頻寬會瞬間放大，避免DDoS攻擊流量將頻寬佔滿，影響正常解析。

流量清洗，傳統解析在面對DDoS攻擊時，往往僅憑自身頻寬去硬抗，而云解析DNS則可以透過特定的網路流量演演算法，精準識別正常請求和惡意攻擊流量，並對惡意流量進行及時清洗。

DDoS防火牆，雲解析DNS配備有專業的DDoS防火牆，可以有效防禦DDoS，UDP Flood，ICMP,IGMP,SYN Flood，ARP攻擊，非TCP/IP協議層攻擊等其他多種的未知攻擊。

綜合來看，雲解析DNS相比傳統解析技術，其所具有的負載均衡、當機切換、彈性頻寬、流量清洗等特點，可以有效提升DNS系統的安全防護能力，應對日益複雜的網路安全風險。