DNS安全漫談：誰來拯救脆弱的DNS？

DNS是網絡應用的基礎設施，它的安全性對於互聯網的安全有着舉足輕重的影響。對於常常使用電腦或者信息設備的人來講，常常會在網絡設置中看到DNS。可是對於普通大衆來講，DNS是很是陌生的。而在這個信息技術和互聯網飛速發展的時代，陌生和不熟悉就意味不安全和恐懼，而這個不安全因素和恐懼症逐漸轉化成現實。

2014年1月21日下午十五點左右，全國網絡出現故障，包括百度、新浪、淘寶、優酷等多家大型網站均沒法正常訪問，影響數千萬網民。2013年8月25日凌晨4時許，國家域名解析節點受到大規模的拒絕服務攻擊，部分網站解析受到影響，致使訪問緩慢或中斷。在互聯網高速發展的今天，頻繁上演的 DNS「猝死」令人們不得不將再次直面DNS安全問題！

DNS爲什麼如此重要？

DNS是域名和IP地址相互映射的一個分佈式數據庫，可以令人更方便的訪問互聯網。DNS就像一個自動的電話號碼簿，用戶能夠直接輸入網站名字來代替輸入複雜的IP地址，而網站名字和IP之間的映射解析就靠DNS服務來完成。

DNS之因此重要，緣由有兩點，一是互聯網絕大多數應用的實際尋址方式，域名技術的再發展、以及基於域名技術的多種應用，豐富了互聯網應用和協議；二是，域名是互聯網上的身份標識，是不可重複的惟一標識資源，互聯網的全球化使得域名成爲標識一國主權的國家戰略資源。

DNS緣何常受攻擊？

一直以來，互聯網基礎架構的脆弱性有目共睹，域名系統的安全問題一直是國內網站運行的短板。

國內最大域名服務商DNSPod創始人吳洪聲在接受採訪時表示，DNS系統的三個特色讓它成爲攻擊者首選的攻擊目標。首先是服務角色決定的穩定性和公開性。不管是哪一種DNS，因爲緩存影響致使地址不能常常變化。也就是說在被攻擊時，DNS服務器不能更換和隱藏IP地址。另一點是匿名性，DNS服務使用UDP協議，使得攻擊者能夠很好地隱藏本身，不被追溯。最後即是集中性，一般狀況下DNS服務器都會給多個網站或者用戶服務，攻破一個服務器影響範圍很是大，也使得攻擊效率大大提升。

DNS安全如何維護？

據調查發現，我國有超過一半的重點域名解析服務處於風險狀態，其中像政府機構、金融機構這種重點對象的域名服務系統處於安全狀態的不足10%，DNS安全維護迫在眉睫。DNSPod技術負責人表示DNS安全維護須要作到如下三點：

第一，DNS實時監控是基礎。

DNS服務是一項實時性要求很是高的服務，準確全面的監控系統是整個DNS服務的運營基礎。DNS安全監控須要一整套的監控體系，包括網絡流量監控、服務器內核監控模塊、解析監控、服務器集羣監控等等。

第二，DNS防禦能力是關鍵。

DNS服務器是因特網基礎結構的重要組成部分。在目前的網絡攻擊中，最讓站長們頭疼的一種就是針對DNS的攻擊。增強DNS防禦能力，急需升級服務器集羣，提高程序解析速度。據透漏，2013年7月域名解析商DNSPod輕鬆幫58同城這個神奇的網站防護超過70G的攻擊流量。

第三，域名帳號安全是保證。

域名解析相關的安全問題時有發生，爲防止用戶因爲賬號密碼泄漏或者域名註冊信息被黑致使域名被取回等問題發生，就必須隨時掌控域名帳號安全。例如QQ令牌動態密碼，銀行網銀動態口令卡以及DNSPod推出的域名鎖定及賬號鎖定功能，都能有效確保用戶賬號財產安全。