互聯(lián)網(wǎng)以爆炸式的速度飛速發(fā)展，全球頂級域從之前的300余個急劇增加到1700余個，域名迎來了一個爆炸式增長時期，互聯(lián)網(wǎng)和DNS（域名解析系統(tǒng)）的聯(lián)系愈發(fā)緊密。構建一個安全的DNS系統(tǒng)是互聯(lián)網(wǎng)發(fā)展的不可避免的關鍵環(huán)節(jié)。

　　DNS：互聯(lián)網(wǎng)的“中樞神經(jīng)”

　　互聯(lián)網(wǎng)的一個關鍵特性是：無論你和你想要訪問的網(wǎng)站相距多遠，只要知道網(wǎng)站的域名，即可在瞬間訪問到它。實現(xiàn)這種特性的一個關鍵要求是每一個網(wǎng)站要有自己唯一的身份標識，即IP地址。雖然基于IP的方式很好地滿足了網(wǎng)絡設備之間相互通信的需求，但人類很難記住成千上萬數(shù)字形式的IP。如何更方便地使用網(wǎng)絡？選用符合人類習慣的名稱成為一個自然的選擇，因此需要將名字和IP地址對應起來。

　　在最初的網(wǎng)絡中，使用者通過在每臺機器上手動維護一張名字與IP地址之間的對應表來解決問題。但很快他們就發(fā)現(xiàn)，隨著網(wǎng)絡中計算機數(shù)量的增加，每次變動（增加、刪除或更改）一臺設備，就必須在所有設備上進行相應的配置，手工操作無法保證變更的及時性和可靠性，進而限制了網(wǎng)絡規(guī)模的擴展，名字與IP地址的對應關系成為網(wǎng)絡擴展的主要障礙。

　　為了解決這個難題，域名解析系統(tǒng)（DNS）應運而生。DNS在網(wǎng)絡中提供域名和IP地址之間的匹配映射服務。借助DNS，人們通過簡單易記的“名字”（域名）就能直接找到相應的內(nèi)容（網(wǎng)頁），而無需去記住成千上萬的IP數(shù)字串。通過自動提供名字和IP地址之間的映射，DNS將用戶與網(wǎng)絡無縫連接在一起，并成為了互聯(lián)網(wǎng)世界的關鍵技術之一。DNS的存在，讓訪問互聯(lián)網(wǎng)變得簡單，它極大地促進了互聯(lián)網(wǎng)的發(fā)展，成為互聯(lián)網(wǎng)的一項核心基礎設施，被稱為“中樞神經(jīng)系統(tǒng)”。

　　域名樹：高效管理機制

　　截至2014年3月，全球域名注冊數(shù)超過2.7億個，由此帶來的是數(shù)以十億計的域名記錄管理和頻繁的增加、刪除、更改操作。如何才能有效地管理如此龐大的數(shù)據(jù)記錄和操作？DNS系統(tǒng)采用分層的名字結構以及逐級授權的機制，巧妙地解決了這些問題。

　　從域名結構上看，DNS采用分層的結構解決了數(shù)以億計的網(wǎng)址統(tǒng)一尋址的問題：互聯(lián)網(wǎng)中的所有域名組成了一棵從根域名開始的龐大的域名樹，這種層級結構保證互聯(lián)網(wǎng)的任何一個域名均可從根開始沿著既定的層級準確地找到最終結果。

　　DNS采用分布式、逐級授權機制，每一個域名持有者只需維護自己有限的域名即可，高度分散的體系分解了海量域名記錄帶來的沉重管理壓力。

　　DNS：網(wǎng)絡攻擊的主要目標

　　作為互聯(lián)網(wǎng)體系中的核心服務，DNS的運行好壞會直接影響到互聯(lián)網(wǎng)運行的穩(wěn)定性和可靠性。但在互聯(lián)網(wǎng)的發(fā)展過程中，DNS逐漸成為互聯(lián)網(wǎng)安全的一大薄弱環(huán)節(jié)。網(wǎng)絡攻擊已經(jīng)成為互聯(lián)網(wǎng)發(fā)展所面臨的主要問題。當網(wǎng)絡攻擊從早期的以“技術炫耀”為主的個人偶發(fā)性行為演進到“有明確目的和要求”的針對性行為時，DNS自然而然地進入了攻擊者的視線，原因有三：

　　處于核心地位

　　DNS在互聯(lián)網(wǎng)中的核心作用是其成為攻擊目標的主要原因。在互聯(lián)網(wǎng)的運行機制中，DNS是用戶使用互聯(lián)網(wǎng)所要經(jīng)歷的第一個環(huán)節(jié)。一旦DNS停止服務，互聯(lián)網(wǎng)將陷于事實上的癱瘓狀態(tài)，由此導致的經(jīng)濟損失數(shù)以億元計。2009年的暴風影音事件即是因為DNS無法解析導致南方多省網(wǎng)絡長時間中斷。

　　影響互聯(lián)網(wǎng)體驗

　　除此之外，另一個被經(jīng)常忽略的現(xiàn)象是DNS對互聯(lián)網(wǎng)體驗的影響。當DNS由于遭到攻擊（例如DDoS攻擊）造成網(wǎng)站DNS解析性能下降（可提供服務，但解析時長增加，解析成功率降低），也會對互聯(lián)網(wǎng)用戶造成很大影響。網(wǎng)站訪問的時延主要由網(wǎng)絡時延、應用響應時延以及DNS解析時延幾部分組成，當DNS解析時延增加時，用戶明顯感到“網(wǎng)絡變慢了”，互聯(lián)網(wǎng)體驗迅速下降。

　　維護水平普遍較低

　　DNS維護水平普遍較低導致DNS系統(tǒng)的漏洞百，出是其易于被攻擊的另外一個原因。在絕大多數(shù)組織中，DNS基本不產(chǎn)生直接經(jīng)濟效益，由此導致對DNS缺乏資源投入的推動力。在現(xiàn)實維護狀態(tài)中，DNS經(jīng)常處于企業(yè)網(wǎng)絡部門和IT部門之間的管理交叉地帶，缺乏專業(yè)的維護人員，現(xiàn)有人員缺乏必要的DNS技術培訓，由此導致的DNS配置錯誤頻出，出現(xiàn)問題時缺少必要的技術支持和處理能力。DNS這樣的一個漏洞百出的基礎環(huán)節(jié)必然是攻擊者最理想最中意的目標。

　　DNS：網(wǎng)絡攻擊的理想工具

　　對于網(wǎng)絡攻擊者來說，DNS不僅僅是一個理想的攻擊目標，同時還是一個理想的攻擊工具。將DNS作為攻擊工具有兩種主要的方式：“域名劫持”和“反射式放大攻擊”。

　　從功能上看，DNS在互聯(lián)網(wǎng)中具備尋址功能，若通過修改DNS中域名與IP的對應記錄，就可在用戶無感知的情況下將其引導到特定的站點，比如釣魚網(wǎng)站或惡意網(wǎng)站，此時DNS雖然是一個受害者（被篡改了記錄），但對互聯(lián)網(wǎng)用戶而言它變成了一個攻擊工具。

　　“反射式放大攻擊”是分布式拒絕服務攻擊（DDoS）中的一種形式。在DNS機制中，響應數(shù)據(jù)的大小要遠遠大于查詢數(shù)據(jù)的大小，只用少量的查詢數(shù)據(jù)即可產(chǎn)生大量的響應數(shù)據(jù)，由此可產(chǎn)生一種“流量放大”效果。攻擊者利用這兩個特性進行反射式放大攻擊。攻擊時，攻擊者并不向被攻擊目標直接發(fā)起攻擊，而是通過向DNS發(fā)送特定數(shù)據(jù)流量，引導DNS向被攻擊者發(fā)送響應數(shù)據(jù)流量（攻擊流量），此時從攻擊者角度看，DNS“反射”了攻擊者發(fā)出的攻擊流量。同時，從受害者的角度看，是DNS對其發(fā)起了攻擊。利用DNS發(fā)起攻擊可隱藏攻擊者的信息。在這種攻擊中，DNS既是受害者，又是攻擊的參與者。

　　反攻擊、防劫持

　　構建安全的DNS服務可從專用設備和安全體系兩方面入手。DNS的開放性導致其必須允許任意IP均可訪問，DNS的應用特點導致DNS是網(wǎng)絡中必須開放的基礎服務，這兩個特性導致傳統(tǒng)的安全設備（如防火墻）無法對DNS服務提供有效的保護，因此需使用DNS專業(yè)安全設備，切實提高DNS節(jié)點的安全性。提高DNS的安全性需兼顧多個安全層次的全面解決方案。通過在DNS解析、節(jié)點安全防護、DNS組網(wǎng)架構、DNS的安全監(jiān)控，以及DNS技術能力培養(yǎng)等多個層面的加強，全面提高DNS系統(tǒng)的安全性。

　　互聯(lián)網(wǎng)以爆炸式的速度飛速發(fā)展，DNS面臨著新的挑戰(zhàn)，基于IP的應用的快速增加以及IPv6的逐步商用，極大地擴展了DNS的使用范圍；移動互聯(lián)網(wǎng)的興起，成倍地擴展了DNS的覆蓋范圍。2012年ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構）批準了包括“.公司”、“.網(wǎng)絡”在內(nèi)的一批新頂級域的啟用，全球頂級域（例如“.cn”，“.中國”）從之前的300余個急劇增加到1700余個，域名迎來了一個爆炸式增長時期?；ヂ?lián)網(wǎng)和DNS的聯(lián)系愈發(fā)緊密，互聯(lián)網(wǎng)的發(fā)展要求安全穩(wěn)定的DNS服務，構建一個安全的DNS系統(tǒng)是互聯(lián)網(wǎng)發(fā)展的不可避免的關鍵環(huán)節(jié)。

　　文/張鵬

關注讀覽天下微信， 100萬篇深度好文， 等你來看……