《DNS攻击防范科普系列1》—你的DNS服务器真的安全么？

DNS服务器，即域名服务器，它做为域名和IP地址之间的桥梁，在互联网访问中，起到相当重要的做用。每个互联网上的域名，背后都至少有一个对应的DNS。对于一个企业来讲，若是你的DNS服务器由于攻击而没法使用，整个企业的网站、邮箱、办公系统将所有瘫痪，这意味着对你形成的是成千上万个用户的不可访问，将产生不可估量的影响。你的DNS服务器是否受到过安全威胁，它如今真的安全么？

DNS面临着各类各样的网络安全威胁，它一直是网络基础架构中较弱的一环。 咱们先来看看DNS服务器的威胁之一：DDoS攻击。DDoS攻击，即分布式拒绝服务攻击，攻击者经过控制大量的傀儡机，对目标主机发起洪水攻击，形成服务器瘫痪。 DDoS攻击一般分为流量型攻击和应用型攻击。以bps为单位的流量型的攻击，这类攻击会瞬间堵塞网络带宽；以qps为单位的应用层攻击，主要是将服务器的资源耗尽，攻击将形成DNS服务器反应缓慢直至再也没法响应正常的请求。DNS服务易受攻击的缘由，除了专门针对DNS服务器发起的；还有就是利用DNS服务的特色，用“DNS放大攻击”对其余受害主机发起攻击。以下就是DNS放大攻击的示意图，DNS方法攻击的危害极大。

6年美国针对 DNS 供应商Dyn，爆发来史上最大规模的DDoS攻击，这一攻击形成了半个美国网络瘫痪的严重影响。此次严重的攻击事件，就是DNS放大攻击形成的。

接下来，咱们再来看看DNS劫持对DNS服务器会形成哪些威胁。DNS劫持是指攻击者在劫持的网络范围内拦截域名解析的请求，篡改了某个域名的解析结果。好比用户原本想访问www.aliyun.com，却被指引到了另外一个假冒的地址上，从而达到非法窃取用户信息或其余不正常的网络服务的目的。对用户而言，DNS劫持是很难感知的，所以形成的影响极大。如2013年就爆发过一次大型的DNS钓鱼攻击事件，致使约800万用户感染。攻击者一般会经过两种方式实现DNS劫持，一种是直接攻击域名注册商或者域名站点获取控制域名的帐户口令，这样能够修改域名对应的IP地址，另一种方式是攻击权威名称服务器，直接修改区域文件内的资源记录。以下图，中国电信发现域名劫持时，给访问用户的提醒。

DNS劫持主要是将NS纪录指向到黑客能够控制的DNS服务器，而DNS投毒倒是指一些有意或无心制造出来的域名服务器数据包，利用控制DNS缓存服务器，将域名指引到了不正确的IP地址。通常DNS服务器为了加快解析速度，一般都会把访问过的域名服务器数据暂存起来。待下次其余用户须要解析域名时，若是发现缓存中有该数据，就马上调出来提供服务。若是DNS的缓存受到了污染，就会把访问的域名指引到错误的服务器上。简单点说，DNS污染是指把本身假装成DNS服务器，在检查到用户访问某些网站后，使域名解析到错误的IP地址。

DNS服务如此重要，当对DNS的解析配置操做时，也必须谨慎当心。这里最后介绍的一种DNS常见威胁，就是人为误操做形成的。你们都知道域名作好解析后并不能当即访问到您的网站，由于解析生效须要时间。因为各地的dns服务器刷新时间不一样，各地的大概时间范围为0-24小时。最长的生效时间，达到24小时，若是不当心改错了域名的解析配置，也将形成极大的影响。这就要求咱们对域名的管理须要精细化，分配好使用者的权限，存留好操做记录等日志信息。在域名修改配置或进行迁移时，操做必定要谨慎。

以上简单介绍了DNS服务器可能遇到的常见威胁。做为互联网最基础、最核心的服务，DNS服务安全相当重要。打垮DNS服务可以间接打垮一家公司的所有业务，或者打垮一个地区的网络服务。面对重重威胁，怎么才能保障好咱们的DNS服务器呢？接下来的专题，咱们会针对DNS服务器常受到的攻击一一突破，敬请期待。

---

本文做者：kimi_nyn

原文连接

本文为云栖社区原创内容，未经容许不得转载。