DNS一直是互聯(lián)網(wǎng)架構(gòu)中脆弱的一環(huán)，2009年的多省“斷網(wǎng)”事件，2010年的百度被“黑”事件，都是由于DNS受攻擊引起的。目前，針對(duì)企業(yè)DNS服務(wù)器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡(luò)服務(wù)的手段之一。除了DNS供應(yīng)商自身的問題，用戶配置不當(dāng)也會(huì)給DNS服務(wù)器帶來安全隱患。

DNS一直是互聯(lián)網(wǎng)架構(gòu)中脆弱的一環(huán)，2009年的多省“斷網(wǎng)”事件，2010年的百度被“黑”事件，都是由于DNS受攻擊引起的。目前，針對(duì)企業(yè)DNS服務(wù)器的攻擊成為攻擊者阻斷企業(yè)網(wǎng)絡(luò)服務(wù)的手段之一。除了DNS供應(yīng)商自身的問題，用戶配置不當(dāng)也會(huì)給DNS服務(wù)器帶來安全隱患。

據(jù)業(yè)內(nèi)人士介紹，最近幾年網(wǎng)絡(luò)資源及服務(wù)成本日益降低，特別是帶寬成本大幅下降，DNS攻擊流量屢創(chuàng)新高。攻擊者控制殭尸網(wǎng)絡(luò)送出大量的DNS查詢封包，送至網(wǎng)站的解析服務(wù)器，使其難于應(yīng)付最終導(dǎo)致網(wǎng)絡(luò)服務(wù)被阻斷(Direct DNS Attack)。這是今后任何一家企業(yè)都可能面臨的問題。

在具體環(huán)境下，配置不當(dāng)也會(huì)帶來隱患。DNS安全擴(kuò)展協(xié)議(DNSSEC, DNS Security Extensions)主要目的在于強(qiáng)化DNS服務(wù)驗(yàn)證，而要達(dá)成這個(gè)協(xié)議則必須開啟DNS擴(kuò)展名機(jī)制(EDNS0, Extension Mechanisms for DNS)的功能，但具有諷刺意味的是，如果開啟這個(gè)功能卻不知如何進(jìn)行安全設(shè)置，則反而會(huì)讓它變成一個(gè)安全漏洞。EDNS0本應(yīng)成為安全配置的“標(biāo)配”，但實(shí)際使用中卻由于人們?nèi)狈Π踩婪兜囊庾R(shí)將其遺漏。

例如在DNS軟件BIND 8.3.0與BIND 9.0.0以后的版本、提供DNS服務(wù)的Windows Server 2003，EDNS0都是默認(rèn)開啟，這些功能美其名曰可以滿足多任務(wù)的處理需求，但事實(shí)上整體效果并不突出，而且可能造成DNS Server遭受DDoS攻擊。盡管這是自1996年以來就存在的漏洞，但直到2012年，仍有全球性的DNS 服務(wù)商遭殃，最后的受害者毫無(wú)疑問是使用該服務(wù)的客戶。

既然這不是新手法，為什么至今仍有不少頗具規(guī)模的大企業(yè)被攻擊呢?這主要由于兩個(gè)方面的原因：一方面是基礎(chǔ)網(wǎng)絡(luò)仍沿用過去老舊架構(gòu);另一方面是相關(guān)人員缺乏信息安全意識(shí)。過去由于缺乏對(duì)信息安全的前瞻性認(rèn)識(shí)，因而得不到重視，網(wǎng)絡(luò)基礎(chǔ)架構(gòu)以業(yè)務(wù)能力為主，而非著重安全，因此在遭到安全攻擊時(shí)無(wú)法快速應(yīng)對(duì)。此外在人員意識(shí)方面，對(duì)于 DNS的配置安全也未受到重視。

針對(duì)這個(gè)問題，安全專家提出以下四點(diǎn)建議：

1. 徹底檢查DNS服務(wù)器配置，關(guān)閉不需要的服務(wù);

2. 持續(xù)監(jiān)控DNS流量，了解自身網(wǎng)絡(luò)能承載的流量;

3. 通過日常的監(jiān)控，比對(duì)不正常流量發(fā)生的狀況;

4. 做好災(zāi)難救援方案。據(jù)了解，即使是跨國(guó)DNS服務(wù)供貨商，可以為成千上萬(wàn)的客戶服務(wù)，其后臺(tái)服務(wù)卻可能僅用數(shù)百臺(tái)設(shè)備，造成狀況發(fā)生時(shí)無(wú)法立即切換、備援。

要杜絕針對(duì)DNS服務(wù)器的攻擊，一方面要進(jìn)行基礎(chǔ)網(wǎng)絡(luò)安全建設(shè)的升級(jí)，另一方面是通過后續(xù)安全配置和監(jiān)控來改善。專家建議，企業(yè)還可以使用專業(yè)DDoS防御供貨商的服務(wù)，得到更完整的安全防護(hù)。