《DNS攻擊防範科普系列1》—你的DNS服務器真的安全麼？

DNS服務器，即域名服務器，它做爲域名和IP地址之間的橋樑，在互聯網訪問中，起到相當重要的做用。每個互聯網上的域名，背後都至少有一個對應的DNS。對於一個企業來講，若是你的DNS服務器由於攻擊而沒法使用，整個企業的網站、郵箱、辦公系統將所有癱瘓，這意味着對你形成的是成千上萬個用戶的不可訪問，將產生不可估量的影響。你的DNS服務器是否受到過安全威脅，它如今真的安全麼？

DNS面臨着各類各樣的網絡安全威脅，它一直是網絡基礎架構中較弱的一環。 咱們先來看看DNS服務器的威脅之一：DDoS攻擊。DDoS攻擊，即分佈式拒絕服務攻擊，攻擊者經過控制大量的傀儡機，對目標主機發起洪水攻擊，形成服務器癱瘓。 DDoS攻擊一般分爲流量型攻擊和應用型攻擊。以bps爲單位的流量型的攻擊，這類攻擊會瞬間堵塞網絡帶寬；以qps爲單位的應用層攻擊，主要是將服務器的資源耗盡，攻擊將形成DNS服務器反應緩慢直至再也沒法響應正常的請求。DNS服務易受攻擊的緣由，除了專門針對DNS服務器發起的；還有就是利用DNS服務的特色，用「DNS放大攻擊」對其餘受害主機發起攻擊。以下就是DNS放大攻擊的示意圖，DNS方法攻擊的危害極大。

6年美國針對 DNS 供應商Dyn，爆發來史上最大規模的DDoS攻擊，這一攻擊形成了半個美國網絡癱瘓的嚴重影響。此次嚴重的攻擊事件，就是DNS放大攻擊形成的。

接下來，咱們再來看看DNS劫持對DNS服務器會形成哪些威脅。DNS劫持是指攻擊者在劫持的網絡範圍內攔截域名解析的請求，篡改了某個域名的解析結果。好比用戶原本想訪問www.aliyun.com，卻被指引到了另外一個假冒的地址上，從而達到非法竊取用戶信息或其餘不正常的網絡服務的目的。對用戶而言，DNS劫持是很難感知的，所以形成的影響極大。如2013年就爆發過一次大型的DNS釣魚攻擊事件，致使約800萬用戶感染。攻擊者一般會經過兩種方式實現DNS劫持，一種是直接攻擊域名註冊商或者域名站點獲取控制域名的帳戶口令，這樣能夠修改域名對應的IP地址，另一種方式是攻擊權威名稱服務器，直接修改區域文件內的資源記錄。以下圖，中國電信發現域名劫持時，給訪問用戶的提醒。

DNS劫持主要是將NS紀錄指向到黑客能夠控制的DNS服務器，而DNS投毒倒是指一些有意或無心製造出來的域名服務器數據包，利用控制DNS緩存服務器，將域名指引到了不正確的IP地址。通常DNS服務器爲了加快解析速度，一般都會把訪問過的域名服務器數據暫存起來。待下次其餘用戶須要解析域名時，若是發現緩存中有該數據，就馬上調出來提供服務。若是DNS的緩存受到了污染，就會把訪問的域名指引到錯誤的服務器上。簡單點說，DNS污染是指把本身假裝成DNS服務器，在檢查到用戶訪問某些網站後，使域名解析到錯誤的IP地址。

DNS服務如此重要，當對DNS的解析配置操做時，也必須謹慎當心。這裏最後介紹的一種DNS常見威脅，就是人爲誤操做形成的。你們都知道域名作好解析後並不能當即訪問到您的網站，由於解析生效須要時間。因爲各地的dns服務器刷新時間不一樣，各地的大概時間範圍爲0-24小時。最長的生效時間，達到24小時，若是不當心改錯了域名的解析配置，也將形成極大的影響。這就要求咱們對域名的管理須要精細化，分配好使用者的權限，存留好操做記錄等日誌信息。在域名修改配置或進行遷移時，操做必定要謹慎。

以上簡單介紹了DNS服務器可能遇到的常見威脅。做爲互聯網最基礎、最核心的服務，DNS服務安全相當重要。打垮DNS服務可以間接打垮一家公司的所有業務，或者打垮一個地區的網絡服務。面對重重威脅，怎麼才能保障好咱們的DNS服務器呢？接下來的專題，咱們會針對DNS服務器常受到的攻擊一一突破，敬請期待。

---

本文做者：kimi_nyn

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。