三分之一受DDoS 攻击影响的组织经历过针对其DNS 服务器的攻击。那么为什么DNS 是一个如此有吸引力的目标呢？ DNS安全面临哪些挑战？域名系统(DNS) 被比作互联网的电话簿，将人类可读的主机名映射到机器可读的IP 地址。用户或连接的设备执行的任何Internet 请求都使用DNS。当DNS服务降级或停止时，在线业务就会中断，这不仅会导致收入损失，还会导致信誉丧失。

攻击者技术可以利用递归DNS 服务器（为最终用户查找IP 地址）和权威DNS 服务器（为递归DNS 服务器提供IP 地址答案）。服务提供商通常拥有并管理自己的权威递归DNS 服务器。一些企业还拥有并管理权威的DNS服务器。中小型企业通常会将其转移到托管DNS 服务。最近的攻击表明，针对DNS基础设施的攻击可能会对服务造成损害，必须实施DNS保护以确保服务可用性和正常通信。

DNS 安全挑战

DNS 专为其核心操作而设计，重点关注性能和可扩展性。在互联网的早期，安全和隐私并不是首要任务，因为它们不像今天那么重要。因此，DNS 的固有特性使其成为持续的安全挑战。

这些特性包括： 1.无状态协议：由于DNS服务必须非常快，因此被设计为无状态协议。这使得攻击者可以轻松隐藏自己的身份，通过DNS 发起攻击。

2.无需身份验证：DNS无法验证请求的来源或验证响应的正确性。换句话说，DNS 无法评估其连接的用户或设备的IP 地址是“好”还是“坏”。攻击者利用这种不受保护的基础设施，并使用虚假查询和/或虚假响应设计复杂的攻击。

3. 开放访问：在大多数情况下，防火墙不会检查DNS 端口53。这为所有人（包括攻击者）提供了开放访问。

4.放大效应：DNS查询可能会产生更大的响应，有时甚至大10倍。攻击者利用这种设计来放大对DNS的攻击，达到更高的攻击量。

5. 缺乏验证：DNS 无法验证查询以确保它们是合法的。只要查询名称符合RFC，DNS 就会转发它。攻击者利用这种设计，使用虚假的DNS 查询来发起缓存中毒、隧道攻击和随机子域攻击等攻击，以获取更多信息）。大多数安全解决方案无法准确区分合法和虚假的DNS 查询。

即使运营商和服务提供商部署了更新的安全解决方案，DNS 基础设施仍然容易受到越来越多的攻击。 DNS 可能保持不变，但这些攻击已变得非常复杂、高度集中并且越来越难以检测和缓解。

攻击趋势以往大规模的DDoS攻击，特别是大规模的DNS攻击，通常是通过放大和反射技术来实施的。最近物联网的激增使攻击者能够控制不安全的设备，形成大型物联网僵尸网络。黑客可以利用这些僵尸网络进行复杂的应用层攻击，尤其是DNS 攻击。

一个著名的例子是Mirai 僵尸网络，它在2016 年10 月21 日被用于大规模DDoS 攻击。Mirai 是一种多向量恶意软件，它感染物联网设备（主要是IP 摄像头）形成僵尸网络。人们普遍认为Mirai 僵尸网络用于使用名为DNS Water Torture 的DNS 攻击向量发起协调的DNS DDoS 攻击。 DNS Water Torture 本质上是一种递归随机子域攻击技术，可淹没目标的权威名称服务器。尽管功能正常，但这次DNS 泛洪导致热门网站数小时无法访问。

自Mirai 以来，出现了新的或改进的物联网僵尸网络。 Gartner 预测，到2020 年，连接设备的数量将超过200 亿。这是一个严峻的挑战，因为互联网基础设施容量并未以同样的速度增长。因此，对DNS和其他应用程序的高级和复杂的攻击是可以预见的，并且相信随着僵尸网络规模和覆盖范围的扩大，攻击事件将变得更加频繁。

为什么当前保护不起作用（以及该怎么做）

2005 年定义了一项新规范，以解决DNS 安全性不足的问题。 DNS 安全扩展(DNSSEC3) 提供源身份验证、数据完整性和经过身份验证的拒绝存在。然而，该规范并未解决可用性或机密性问题。 DNSSEC 的主要目标是排除DNS 欺骗或DNS 缓存中毒。

DNSSEC 的采用仍然是一个长期挑战，实施进展缓慢。根据ISOC4，只有大约0.5% 的.com 区域已签名。这是因为与DNS 相比，DNSSEC 很复杂，给DNS 带来了计算和通信开销，并且需要对组织进行重大基础设施更改。

由于DNS协议缺乏内置的安全机制，因此应考虑DNS基础设施保护。具体来说，DNS 安全需要重新考虑外围安全。许多组织通过配置DNS 防火墙和/或可行的DNS 服务器来解决DNS 安全问题，使外围无人值守。

但这种方法是不够的，原因如下：

1.容量DDoS攻击。正如Mirai 所证明的那样，这些攻击威胁到整个基础设施，并使互联网管道饱和。在网络内部配置安全解决方案对于应对这些威胁毫无用处。可行的周边安全解决方案是保护网络的关键。

2. 有状态设备的风险。 DNS 防火墙和DNS 服务器会跟踪会话状态，因此无法承受和处理消耗所有资源并导致故障的大量攻击。无状态外围安全解决方案可防止容量泛滥。

3. 是时候放松一下了。 DNS 防火墙或DNS 服务器需要双向部署，因为它们跟踪DNS 请求和对DNS 操作的响应。他们通常依赖不正确的DNS 响应来检测攻击，这可能会导致缓解时间更长。在此期间，允许不良请求进入受保护的服务器。在某些情况下，指示攻击的错误响应需要很长时间。对于因错误请求而超载的递归DNS 服务器尤其如此。外围安全解决方案基于入口的检测和缓解措施可防止请求的DNS 输入到DNS 服务器。

如果不能正确保护您的DNS 基础设施，就等于为网络犯罪分子打开了一个窗口，让他们可以免费访问您的网络和资源，从而给您的在线业务的可用性带来风险。 DNS 是否始终是安全方面最薄弱的环节？如果您了解风险并采取正确的保护措施，则无需担心。

我们专注高端建站，小程序开发、软件系统定制开发、BUG修复、物联网开发、各类API接口对接开发等。十余年开发经验，每一个项目承诺做到满意为止，多一次对比，一定让您多一份收获！