DNS系统安全解决方案之DNS系统安全风险分析

DNS系统概述

域名系统（DNS）作为互联网基础设施，在互联网服务中占据着越来越重要的地位，保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。

近期互联网领域频繁发生针对DNS系统的DDOS攻击（分布式拒绝服务攻击）、缓存投毒、权威域名篡改等导致互联网断网或者重要应用无法访问等安全事件；有些DNS安全事件造成的损失非常巨大，以“5.19断网事件”为例，据有关人士估计，电信运营商损失约为1.2亿元。

如何保障DNS系统的安全迫在眉睫，势在必行。该文档将给出DNS系统的安全防护整体解决方案，为运营商的DNS系统保驾护航，使其为用户提供可信、安全、可靠的DNS服务，满足运营商DNS系统“业务可用、解析正确、状态可视”的安全需求。

DNS系统安全风险分析

1.DNS系统的重要性

DNS （英文单词的全称是：Domain Name System，域名系统），是Internet的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。完整的域名系统由递归域名服务系统（即本地域名服务器）、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。

DNS是十分重要的 Internet基础设施，是Internet的基石，是互联网的起点和入口，是全球互联网通信的基础，基于Internet的各种Web服务、Email服务、路由服务都依赖或者间接依赖DNS。DNS的作用相当于互联网的中枢神经系统，域名系统的故障会导致互联网陷入瘫痪。域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致命”的。

众所周知的“5.19断网事件”，为DNS的安全再一次敲响了警钟，并给了一次深刻的教训。5月19日21时起，由于baofeng.com网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成广西、江苏、海南、安徽、甘肃和浙江等省宽带用户大面积断网。此次断网事件造成的损失非常巨大，据有关人士估计，电信运营商损失约为1.2亿元，游戏运营商损失1亿元，网吧经营者损失约为1000万元。

2.DNS系统面临的主要风险

目前，DNS面临的安全问题主要可以分为三类：DNS欺骗攻击、拒绝服务攻击、系统漏洞，下文将分别进行介绍。

 DNS欺骗攻击

当一个DNS服务器遭到欺骗攻击，使用了来自一个恶意域名信息记录的，将会产生许多安全问题。常见的DNS欺骗方式有以下种：缓存投毒（cache poison或缓存污染）、域名劫持、IP欺骗（IP Spoofing）、不安全的动态更新。

 拒绝服务攻击

一旦DNS系统遭受拒绝服务攻击，其服务将停止，会导致互联网将处于瘫痪状态。针对DNS的拒绝服务攻击主要有：通用型DDoS攻击、、DNS Query Flood攻击（常见的Query Flood攻击有IP Spoofing型攻击、Random Qname型攻击、滥用型攻击等）；利用DNS的拒绝服务攻击主要有反射DDoS攻击（DrDDoS）、放大攻击等。

 系统与应用漏洞

BIND已经是DNS服务器的事实标准，但是BIND自身存在安全漏洞，如远程缓存破坏漏洞、可预测DNS查询ID漏洞、验证远程拒绝服务漏洞、上下文远程拒绝服务漏洞等。

DNS系统还有很多的内容和知识点，本文只想大家介绍了关于DNS系统安全风险的内容，我们还会在以后的文章中继续向大家介绍其他模块的内容。