DNS服務(wù)器能夠?qū)P地址翻譯成域名，這就是為什么你可以在瀏覽器輸入cnw.com.cn來訪問我們的網(wǎng)站，而不需要記住IP地址。

當(dāng)DNS被攻擊時(shí)，可能發(fā)生各種情況，不過，攻擊者經(jīng)常使用兩種方法來利用被攻擊的DNS服務(wù)器。首先，攻擊者可以做的第一件事情是重定向所有入站流量到他們選擇的服務(wù)器。這使他們能夠發(fā)動(dòng)更多的攻擊，或者收集包含敏感信息的流量日志。

攻擊者可以做的第二件事情是捕捉所有入站電子郵件。更重要的是，第二種做法還允許攻擊者發(fā)送電子郵件，利用受害者企業(yè)的域名以及其良好的聲譽(yù)。讓事情更糟的是，攻擊者還可以選擇同時(shí)做上述兩種攻擊行為。

專注于流量管理和DNS的Dyn公司首席技術(shù)官Cory von Wallenstein在一篇博客文章中介紹了三種常見的DNS攻擊類型以及應(yīng)對(duì)方法。

第一種DNS攻擊類型被稱為緩存中毒攻擊，這種攻擊發(fā)生在攻擊者成功將惡意DNS數(shù)據(jù)注入到遞歸DNS服務(wù)器(由很多ISP運(yùn)作)之后。從網(wǎng)絡(luò)拓?fù)涞慕嵌葋砜矗@行類型的DNS服務(wù)器是最接近用戶的服務(wù)器，因此，對(duì)這些服務(wù)器的攻擊將會(huì)直接影響到連接這些服務(wù)器的特定用戶。

我們有阻止這種攻擊的有效辦法，并且，DNSSEC等標(biāo)準(zhǔn)能夠提供額外的保護(hù)。如果DNSSEC不可行，另一種解決方法就是限制需要保護(hù)的名稱服務(wù)器上的遞歸。遞歸用來確定服務(wù)器是僅處理其保存在緩存中的數(shù)據(jù)，還是服務(wù)器會(huì)到互聯(lián)網(wǎng)與其他服務(wù)器通信來找出最佳答案。

第二種類型的DNS攻擊需要攻擊者掌控一個(gè)或多個(gè)授權(quán)DNS服務(wù)器。授權(quán)DNS托管是Dyn公司向Twitter提供的服務(wù)類型。不過，Dyn沒有成為黑客集團(tuán)敘利亞電子軍隊(duì)(SEA)的目標(biāo)，所以其向Twitter提供的服務(wù)在周二的事件中沒有受到影響。

如果攻擊者能夠攻擊授權(quán)DNS服務(wù)器，這種攻擊的影響將是全球性的。雖然SEA最近的一次攻擊中沒有這樣做，但此前出現(xiàn)過。

在2009年，Twitter遭受了伊朗網(wǎng)絡(luò)軍隊(duì)的攻擊。該組織修改了DNS記錄，并重定向流量到他們控制的服務(wù)器。該組織之所以能夠修改DNS設(shè)置，是因?yàn)樗麄児袅艘粋€(gè)Twitter員工的電子郵件賬戶，然后使用該賬戶來授權(quán)DNS更改。

抵御這些類型的攻擊的方法通常包括：高強(qiáng)度密碼，以及基于IP的ACL(可接受訪問控制列表)。此外，還應(yīng)該對(duì)員工進(jìn)行徹底的培訓(xùn)，來防止社會(huì)工程學(xué)。

第三種類型的DNS攻擊也是很棘手的問題。這種攻擊是攻擊者攻擊域本身的注冊(cè)，然后使用這種訪問來更改分配到它的DNS服務(wù)器。

這也正是SEA攻擊的做法，在攻擊Twitter和紐約時(shí)報(bào)時(shí)，他們獲得了MelbourneIT的訪問權(quán)，該注冊(cè)機(jī)構(gòu)負(fù)責(zé)這兩個(gè)目標(biāo)域名，然后，攻擊者把授權(quán)DNS服務(wù)器改為他們自己的服務(wù)器。企業(yè)最好將授權(quán)服務(wù)器托管在企業(yè)內(nèi)部，從而對(duì)其完全控制。