1.安全事件

盡管已經有超過30年歷史，DNS仍然是(shi)整個(ge)互(hu)聯網中最脆弱的(de)一環。下面(mian)盤點一下近年來比(bi)較嚴重的(de)DNS安全事件。

2009年5月19日南方六省斷網事件。一起由于游戲私服私斗打掛dnspod，殃及暴風影音域名解析，然(ran)后進一步殃及電信local dns，從而爆(bao)發(fa)六省大規(gui)模斷網(wang)的(de)事故。事件影響深遠(yuan)。

2010年1月12日百度域名劫持事件。baidu.com的NS記(ji)錄被伊(yi)朗網軍（Iranian Cyber Army）劫持，然后導(dao)致www.baidu.com無法訪問。事件(jian)持續(xu)時(shi)間8小時(shi)，是百度成立以來最嚴重的故障事件(jian)，直接經濟損(sun)失700萬人民幣(bi)。

2013年5月4日DNS劫持事件。由于主流(liu)路由器廠(chang)商(shang)安(an)全漏洞(dong)而導致的全網劫持事件，號稱(cheng)影響了(le)800萬用戶。

2013年8月25日CN域被攻擊事件。cn域dns受到DoS攻擊而導致所有cn域名無法解析事故。

2014年1月21日全國DNS故障。迄今為止，大陸境內發生的最為嚴重的DNS故障，所有通用頂級域（.com/.net/.org）遭到DNS污染，所有的域名全被(bei)指(zhi)向(xiang)了位(wei)于(yu)美國的一個IP地址（65.49.2.178）。

2.攻擊手段

query flood  通過不(bu)斷的發DNS請求報文來耗盡目的DNS資(zi)源，形(xing)成拒絕服務。具體分(fen)類包括源IP是否隨機以及目的域名是否隨機等。

response flood  通過不斷的(de)發DNS響應報文(wen)來達(da)到拒絕服務的(de)目的(de)。

udp floodv  DNS底層協(xie)議為UDP，基于(yu)UDP的各(ge)種(zhong)flood攻擊也都會給DNS帶來危害(hai)。

折射攻擊（反射攻擊）  偽(wei)造源IP為(wei)第三方，借(jie)助DNS的(de)回包來達(da)到DoS掉第三方的(de)目的(de)。屬于“借(jie)刀殺(sha)人”的(de)手段。

放大攻擊  折(zhe)射(she)攻(gong)擊的(de)一(yi)種。通過惡意的(de)構造響應(ying)報(bao)(bao)文(wen)來達到流(liu)量放(fang)大作用(yong)，從而對第(di)三方形成帶寬攻(gong)擊。請(qing)求報(bao)(bao)文(wen)幾十字(zi)節(jie)，響應(ying)報(bao)(bao)文(wen)幾千字(zi)節(jie)，意味著可以(yi)(yi)形成百倍以(yi)(yi)上(shang)流(liu)量放(fang)大系數(shu)。

緩存投毒  每一臺DNS都有緩存，緩存投毒指(zhi)的是通(tong)過惡意(yi)手段污染DNS緩存，形(xing)成DNS劫持或者拒絕(jue)服務。

漏洞攻擊  利用各(ge)種(zhong)漏洞來達到入侵并控制DNS服務器(qi)目的。漏洞不僅(jin)僅(jin)指DNS程序本身的，也有(you)可能是機(ji)器(qi)或者網(wang)絡其(qi)它(ta)的“問(wen)題(ti)點”。

社會工程學手段  所有的(de)系(xi)統都需要(yao)人(ren)的(de)維(wei)護，而人(ren)永(yong)遠是安全(quan)中最脆弱的(de)一環。

3.防御手段

對(dui)于(yu)權威DNS來(lai)(lai)說，由于(yu)請(qing)求(qiu)來(lai)(lai)源(yuan)多是(shi)運(yun)營(ying)(ying)商(shang)或者公共DNS廠商(shang)的(de)遞歸DNS，源(yuan)IP相對(dui)比(bi)較(jiao)固(gu)定，可以(yi) 實(shi)施源(yuan)IP白名(ming)(ming)單策(ce)略。該策(ce)略對(dui)于(yu)偽造源(yuan)IP的(de)攻(gong)擊(ji)具有一(yi)(yi)定削(xue)弱(ruo)作用。對(dui)于(yu)域(yu)名(ming)(ming)隨(sui)機的(de)攻(gong)擊(ji)來(lai)(lai)說，如果權威DNS本(ben)身承(cheng)載(zai)的(de)域(yu)名(ming)(ming)量不是(shi)很大，可以(yi)考慮域(yu)名(ming)(ming)白 名(ming)(ming)單策(ce)略。如果源(yuan)IP就是(shi)運(yun)營(ying)(ying)商(shang)的(de)，然(ran)后請(qing)求(qiu)域(yu)名(ming)(ming)也是(shi)合法(fa)的(de)，只能靠一(yi)(yi)定限速策(ce)略以(yi)及DNS服務(wu)器本(ben)身性能了。

對于(yu)遞(di)歸(gui)DNS來說，各種白名單策略誤傷都會很嚴重，因此也(ye)主要靠(kao)DNS服(fu)務(wu)器本身性能(neng)了。

高性能(neng)DNS服務器目前比較(jiao)流行的做法是(shi)基于Intel DPDK來實施。

另(ling)外一種推薦實施的(de)策略是(shi)RRL（Response Rate Limit），該策略對于(yu)防(fang)御(yu)折射攻(gong)擊(ji)(ji)(ji)/放大攻(gong)擊(ji)(ji)(ji)有一定效果。盡管折射攻(gong)擊(ji)(ji)(ji)的(de)目標不是(shi)DNS本(ben)身，但是(shi)不防(fang)御(yu)的(de)話如(ru)果把第三方打(da)掛仍然會產生連(lian)帶責任，因此建議實施RRL。