如今的防護設備越來越多，曾經作為主流攻擊點的對象都逐漸被各種防火墻、入侵防御系統(tǒng)、沙箱等各種技術手段保護起來。

然而，對于攻擊者而言，不斷嘗試尋找現有主流目標的新漏洞固然是一種方式；從尚未被建立保護措施的有效目標中找到新的攻擊點也很重要。近年來，針對http協(xié)議的漏洞逐漸被挖掘殆盡，攻擊者的目光也早已轉向了其他互聯網關鍵協(xié)議——其中之一就是DNS。

DNS的威脅

DNS是網絡連接的重要一環(huán)。其任務是將域名轉化為網絡地址，然后根據轉化后的地址進行連接。然而，在這一過程中，攻擊者卻有豐富多樣的攻擊手段，各種常見攻擊手法都能在DNS協(xié)議上做到復制。

以下是幾種極其常見的針對DNS的攻擊方式：

1. DDoS攻擊

攻擊者可以偽造自己的DNS服務器地址，同時發(fā)送大量請求給其他服務器。其他服務器的回復會被發(fā)送到被偽造服務器的真實地址，造成該服務器無法處理請求而崩潰。攻擊者同樣可以通過利用DNS協(xié)議中存在的漏洞，惡意創(chuàng)造一個載荷過大的請求，造成目標DNS服務器崩潰。

2.DNS緩存中毒

攻擊者可以通過攻破DNS服務器，對服務器中的地址緩存進行修改、偽造。將域名重新導向一個不正確的地址，從而可以實行釣魚攻擊、網站木馬等其他攻擊方式。這種攻擊極具傳播性：如果其他DNS服務器從該服務器中獲取緩存信息，那么錯誤的信息會傳播到其他DNS服務器上，擴大受害范圍。

3.DNS劫持

區(qū)別于DNS緩存中毒，DNS劫持不修改DNS服務器的緩存記錄，而是直接將請求導向偽造的惡意DNS服務器，從而實現將域名地址導向惡意IP地址的目的。

4.DNS嗅探

一旦DNS配置不當，攻擊者可以對DNS的配置信息獲取網絡環(huán)境的信息，為之后的攻擊做好的準備。

顯然，無論攻擊者是直接利用DNS發(fā)起攻擊，造成業(yè)務的中斷又或者是對企業(yè)內部人員進行釣魚攻擊；還是僅僅利用DNS對整個網絡環(huán)境嗅探，來為下次更有威脅性的攻擊行為收集情報，都會對企業(yè)帶來巨大的利益損失。

然而，面對這樣一個威脅，很多企業(yè)卻并沒有對DNS服務器進行保護——究其原因，除了市面上缺乏對DNS的防護設備之外，企業(yè)本身也對于DNS存在的安全隱患了解較少。對于大部分企業(yè)而言，對于DNS的了解依然停留在了“能用就行”的地步，忽略了不安全的DNS會給自己帶來的巨大損失。

對DNS服務器需要采取特別的安全保護措施 

DNS服務器可為互聯網提供域名解析服務，對任何網絡應用都十分關鍵。同時在其中也包括了非常重要的網絡配置信息，如用戶主機名和IP地址等。正因如此，對DNS服務器要采取特別的安全保護措施。

為了安全起見，建議在防火墻網絡中，對內部DNS服務器和外部DNS服務器進行分開放置。為互聯網服務的外部DNS服務器不應該包含對外禁止訪問的內部網絡系統(tǒng)的相關服務，它需要專門放置在內部DNS服務器上。

如果將內部網絡的相關服務放置在外部DNS服務器上，則會為非法攻擊者提供攻擊對象目標信息。這種將內部DNS服務器和外部DNS服務器分隔開的網絡配置方案通常稱之為分割DNS。

​在這種DNS服務器配置網絡結構中，內部DNS服務器專用來為內部網絡系統(tǒng)進行名稱解析，使得內部網絡用戶可以通過它連接到其他內部系統(tǒng)，其中就包括內部防火墻和內部DMZ;外部DNS使得外部網絡能夠解析出主防火墻、外部DNS服務器、外部DMZ區(qū)的主機名字，但不能解析出內部網絡系統(tǒng)主機的名字。

天下數據DNS的安全防護方案

針對于DNS面臨的這些威脅，天下數據有自己的一套高級DNS防護方案，主要有四大特點：

1. 基于特征的DNS攻擊檢測

針對已知的攻擊模式，天下數據的防護方案采取針對特征進行檢測，對攻擊進行攔截和響應。確保在面對已知威脅時，DNS服務器能夠維持運作，并且不被篡改。

2.威脅情報

面對不斷變化和更新的攻擊手段，天下數據的Threat Adapt（威脅適應）技術借助威脅情報進行防御。通過對新技術的研究和分析，以及客戶自身的網絡環(huán)境的變化，Threat Adapt可以自動升級來應對新的攻擊。重要的是，Threat Adapt的安全升級是不需要進行補丁或者下線才能做到，極大保證了業(yè)務的連續(xù)性。

3.可視化的中心管理

天下數據為客戶提供了一套可視化的威脅管理平臺。安全人員可以從這和個平臺中，通過圖表查看整個網絡環(huán)境的攻擊方向以及攻擊趨勢來把握情況。同時，安全人員可以使用內置或者自定義的報告框架來更快速地對事件進行追溯排查。

4.硬件防護

天下數據也提供硬件形態(tài)的數據包檢測系統(tǒng)，在攻擊抵達DNS服務器前進行攔截。

我們常說：攻擊只需要一個點，而安全要做到整個面。面對越來越多的攻擊，我們不僅不能習慣于防護的手段，更不能習慣于防護的對象上。攻擊者在不斷地尋找新的攻擊點，而我們對于防御是否也需要更多地思考防御的對象？天下數據的特點其實并不在于給DNS提供了一套安全解決方案；對他們而言，他們更偏向于他們提供了一套優(yōu)秀的DNS系統(tǒng)——高效、易管理，而在這之上，安全——只是他們DNS系統(tǒng)的一個很重要特點。他們的理念，不是給一個產品附加了安全的能力，而是他們的產品本身就具有強大的安全能力。

本文鏈接：http://m.51huadong.com/cloundnews/11004147.html