DNS安全刻不容缓

　　互联网以爆炸式的速度飞速发展，全球顶级域从之前的300余个急剧增加到1700余个，域名迎来了一个爆炸式增长时期，互联网和DNS（域名解析系统）的联系愈发紧密。构建一个安全的DNS系统是互联网发展的不可避免的关键环节。

　　DNS：互联网的“中枢神经”

　　互联网的一个关键特性是：无论你和你想要访问的网站相距多远，只要知道网站的域名，即可在瞬间访问到它。实现这种特性的一个关键要求是每一个网站要有自己唯一的身份标识，即IP地址。虽然基于IP的方式很好地满足了网络设备之间相互通信的需求，但人类很难记住成千上万数字形式的IP。如何更方便地使用网络？选用符合人类习惯的名称成为一个自然的选择，因此需要将名字和IP地址对应起来。

　　在最初的网络中，使用者通过在每台机器上手动维护一张名字与IP地址之间的对应表来解决问题。但很快他们就发现，随着网络中计算机数量的增加，每次变动（增加、删除或更改）一台设备，就必须在所有设备上进行相应的配置，手工操作无法保证变更的及时性和可靠性，进而限制了网络规模的扩展，名字与IP地址的对应关系成为网络扩展的主要障碍。

　　为了解决这个难题，域名解析系统（DNS）应运而生。DNS在网络中提供域名和IP地址之间的匹配映射服务。借助DNS，人们通过简单易记的“名字”（域名）就能直接找到相应的内容（网页），而无需去记住成千上万的IP数字串。通过自动提供名字和IP地址之间的映射，DNS将用户与网络无缝连接在一起，并成为了互联网世界的关键技术之一。DNS的存在，让访问互联网变得简单，它极大地促进了互联网的发展，成为互联网的一项核心基础设施，被称为“中枢神经系统”。

　　域名树：高效管理机制

　　截至2014年3月，全球域名注册数超过2.7亿个，由此带来的是数以十亿计的域名记录管理和频繁的增加、删除、更改操作。如何才能有效地管理如此庞大的数据记录和操作？DNS系统采用分层的名字结构以及逐级授权的机制，巧妙地解决了这些问题。

　　从域名结构上看，DNS采用分层的结构解决了数以亿计的网址统一寻址的问题：互联网中的所有域名组成了一棵从根域名开始的庞大的域名树，这种层级结构保证互联网的任何一个域名均可从根开始沿着既定的层级准确地找到最终结果。

　　DNS采用分布式、逐级授权机制，每一个域名持有者只需维护自己有限的域名即可，高度分散的体系分解了海量域名记录带来的沉重管理压力。

　　DNS：网络攻击的主要目标

　　作为互联网体系中的核心服务，DNS的运行好坏会直接影响到互联网运行的稳定性和可靠性。但在互联网的发展过程中，DNS逐渐成为互联网安全的一大薄弱环节。网络攻击已经成为互联网发展所面临的主要问题。当网络攻击从早期的以“技术炫耀”为主的个人偶发性行为演进到“有明确目的和要求”的针对性行为时，DNS自然而然地进入了攻击者的视线，原因有三：

　　处于核心地位

　　DNS在互联网中的核心作用是其成为攻击目标的主要原因。在互联网的运行机制中，DNS是用户使用互联网所要经历的第一个环节。一旦DNS停止服务，互联网将陷于事实上的瘫痪状态，由此导致的经济损失数以亿元计。2009年的暴风影音事件即是因为DNS无法解析导致南方多省网络长时间中断。

　　影响互联网体验

　　除此之外，另一个被经常忽略的现象是DNS对互联网体验的影响。当DNS由于遭到攻击（例如DDoS攻击）造成网站DNS解析性能下降（可提供服务，但解析时长增加，解析成功率降低），也会对互联网用户造成很大影响。网站访问的时延主要由网络时延、应用响应时延以及DNS解析时延几部分组成，当DNS解析时延增加时，用户明显感到“网络变慢了”，互联网体验迅速下降。

　　维护水平普遍较低

　　DNS维护水平普遍较低导致DNS系统的漏洞百，出是其易于被攻击的另外一个原因。在绝大多数组织中，DNS基本不产生直接经济效益，由此导致对DNS缺乏资源投入的推动力。在现实维护状态中，DNS经常处于企业网络部门和IT部门之间的管理交叉地带，缺乏专业的维护人员，现有人员缺乏必要的DNS技术培训，由此导致的DNS配置错误频出，出现问题时缺少必要的技术支持和处理能力。DNS这样的一个漏洞百出的基础环节必然是攻击者最理想最中意的目标。

　　DNS：网络攻击的理想工具

　　对于网络攻击者来说，DNS不仅仅是一个理想的攻击目标，同时还是一个理想的攻击工具。将DNS作为攻击工具有两种主要的方式：“域名劫持”和“反射式放大攻击”。

　　从功能上看，DNS在互联网中具备寻址功能，若通过修改DNS中域名与IP的对应记录，就可在用户无感知的情况下将其引导到特定的站点，比如钓鱼网站或恶意网站，此时DNS虽然是一个受害者（被篡改了记录），但对互联网用户而言它变成了一个攻击工具。

　　“反射式放大攻击”是分布式拒绝服务攻击（DDoS）中的一种形式。在DNS机制中，响应数据的大小要远远大于查询数据的大小，只用少量的查询数据即可产生大量的响应数据，由此可产生一种“流量放大”效果。攻击者利用这两个特性进行反射式放大攻击。攻击时，攻击者并不向被攻击目标直接发起攻击，而是通过向DNS发送特定数据流量，引导DNS向被攻击者发送响应数据流量（攻击流量），此时从攻击者角度看，DNS“反射”了攻击者发出的攻击流量。同时，从受害者的角度看，是DNS对其发起了攻击。利用DNS发起攻击可隐藏攻击者的信息。在这种攻击中，DNS既是受害者，又是攻击的参与者。

　　反攻击、防劫持

　　构建安全的DNS服务可从专用设备和安全体系两方面入手。DNS的开放性导致其必须允许任意IP均可访问，DNS的应用特点导致DNS是网络中必须开放的基础服务，这两个特性导致传统的安全设备（如防火墙）无法对DNS服务提供有效的保护，因此需使用DNS专业安全设备，切实提高DNS节点的安全性。提高DNS的安全性需兼顾多个安全层次的全面解决方案。通过在DNS解析、节点安全防护、DNS组网架构、DNS的安全监控，以及DNS技术能力培养等多个层面的加强，全面提高DNS系统的安全性。

　　互联网以爆炸式的速度飞速发展，DNS面临着新的挑战，基于IP的应用的快速增加以及IPv6的逐步商用，极大地扩展了DNS的使用范围；移动互联网的兴起，成倍地扩展了DNS的覆盖范围。2012年ICANN（互联网名称与数字地址分配机构）批准了包括“.公司”、“.网络”在内的一批新顶级域的启用，全球顶级域（例如“.cn”，“.中国”）从之前的300余个急剧增加到1700余个，域名迎来了一个爆炸式增长时期。互联网和DNS的联系愈发紧密，互联网的发展要求安全稳定的DNS服务，构建一个安全的DNS系统是互联网发展的不可避免的关键环节。

　　文/张鹏

关注读览天下微信， 100万篇深度好文， 等你来看……