域名系统（DNS）是互联网的基础基础设施服务之一，已成为互联网攻击的热门目标。黑客利用应用程序在DNS中的固有信任来执行攻击，将合法流量重定向到攻击网站，或执行拒绝服务攻击。

应用程序依赖于正常运行的DNS，以便根据需要执行其功能。DNS等基础设施服务通常对最终用户不可见; 它们必须可靠且高度可用。结果，攻击检测变得更加困难。例如，由于操作系统和互联网基础设施的固有信任，最终用户和大多数尝试访问 www.shenjidaili.com 的应用程序都不会验证 IP地址 映射以验证目的地。

为了理解DNS攻击防护的关键概念，对DNS组件的基本了解很有帮助。DNS操作有四个主要组件：存根解析器，递归解析器，权威名称服务器和缓存名称服务器。虽然每个组件都是一个有吸引力的目标，但缓存名称服务器在DNS攻击方面最受关注。

DNS攻击，组件，查询和响应响应

DNS存根解析器是客户端计算机上最常见的解析程序。该软件形成请求并将其发送到用户域内的缓存名称服务器（CNS）。一般来说，缓存功能和递归服务驻留在同一主机上; 但是，这些功能也可以分开。当请求到达CNS时，执行检查以确定记录是否已存在于高速缓存中。如果记录存在，则给出响应; 否则递归解析器请求解析并通过DNS层次结构进行递归，以搜索答案。层次结构中的每个路径代表请求或响应修改的机会。

顾名思义，权威名称服务器是DNS响应的权威来源。虽然DNS在设计上是分层的，但区域管理在实现中分布。权威响应来自注册的权威名称服务器，而非权威响应是从缓存名称服务器收到的缓存响应。

考虑到与DNS查询和响应相关的所有移动部件，有许多攻击向量：

1、可以从存根解析程序到名称服务器截获查询，从而导致查询重定向。
2、来自递归解析器的查询也可以被拦截和重定向。在到达缓存名称服务器之前，可以修改权威名称服务器返回的响应。
3、可以针对权威的名称服务器进行拒绝服务（DoS）攻击，从而导致中断。
4、针对权威名称服务器的适时DoS攻击以及区域砰击可能导致合法域被伪域替换。
5、区域传输数据可能会损坏，或者更糟糕的是，用于区域传输的TCP信道可用于在两个主机之间打开隧道以进行通用TCP通信。

DNS攻击防范：缓解策略

有一些工具和技术可用于缓解大多数DNS攻击。提供最强防御的三个工具是DNS安全扩展（DNSSEC），配置最佳实践和DNS流量监控。

DNSSEC为数据修改提供了最佳防御。DNSSEC通过使用数字签名来工作。区域操作员对区域进行数字签名，因此区域数据是公共的且易于查看，数字签名可保护数据在传输过程中不被修改。记住仅仅签署区域是不够的，这一点非常重要。签名区域适用于该区域的权威数据，但不能防止对缓存数据的修改。接受来自其他权威服务器的DNS响应的递归解析器也必须能够识别DNSSEC。

虽然DNSSEC为数据修改攻击提供了经过验证的防御，但重要的是要记住DNSSEC不会阻止DoS攻击。此外，DNSSEC密钥管理需要仔细规划，不适合胆小的人。DNSSEC密钥没有自动密钥交换机制; 但是，父母可以为他们所有的孩子建立一个信任链。同样值得注意的是，根区已经签署并且工作了一年多。用于对区域进行签名的密钥称为区域签名密钥（ZSK），区域管理员使用密钥签名密钥（KSK）对ZSK进行签名。KSK提供真实性的最终保证，应小心存放。在考虑IaaS云解决方案时，这尤其重要。

第二个缓解领域涉及通过配置分离功能。最低限度，缓存服务必须与权威响应分开。这将最大限度地减少DoS攻击的影响。针对权威名称服务器的DoS攻击将允许缓存名称服务器继续运行，即使权威名称服务器不可用。

最终的缓解区域涉及监控DNS数据。DNS在端口53上运行UDP和TCP。简单的查询和响应是UDP流量。较大的有效负载通常与DNSSEC或区域传输相关联。监控DNS目标提供了检测新使用模式的机会。在某些情况下，当内部主机开始联系新的外部主机时，DNS监控提供了新攻击出现的第一条线索。此外，监视DNS TCP流量可以检测未经授权的隧道行为。DNS TCP流量应限制为DNSSEC流量和辅助区域交换。频繁的DNS TCP流量（超过实时规范的区域时间）可能是隧道的指示，应该进行调查。

DNS是一个具有吸引力的攻击目标，因为它是网络应用程序和服务的操作不可或缺的，其缺点通常是隐藏或不受应用程序所有者的控制。对DNS服务的攻击范围从数据修改到DoS，并包含其他行为，如请求重定向和隧道行为。通过部署DNSSEC可以减轻数据修改攻击; 但DNSSEC有局限性，必须通过仔细配置和DNS数据流监控进行补充。