本文選自《金融電子化》2019年08月刊

作者：大連銀行 李興剛

DNS是網絡應用的基礎設施，它的安全性對于互聯網的安全有著舉足輕重的影響。隨著信息化的高速發展，蠕蟲、病毒、木馬、漏洞攻擊、DDoS攻擊等威脅加劇，網絡的穩定運行和應用安全受到了較大的威脅和不良影響。其中針對DNS的攻擊也已成為最嚴重的威脅之一。

DNS系統的風險和安全隱患

一直以來，互聯網基礎架構的脆弱性有目共睹，域名系統的安全問題一直是互聯網門戶等業務站點運行的短板。DNS系統具有的公開性、匿名性、集中性使其成為攻擊者首選的攻擊目標，DNS安全維護迫在眉睫。具體問題如下：

1.利用范圍廣，難抵御

根據2018網絡安全趨勢分析報告指出，近91.3%的惡意攻擊和持續滲透使用DNS作為主要手段，幾乎所有的技防措施都允許DNS協議類型數據報文不受限制的傳輸，基于DNS的各種攻擊方式被廣泛應用在攻擊鏈的各個環節，而多數DNS維護團隊沒有針對且有效的DNS的監控和防護手段。

2.運行風險大，難防護

據中國互聯網絡信息中心2017年安全統計報告指出，通過從國內近90萬臺的服務器監測和掃描中發現，57%的重要信息系統存在域名解析風險，其中11.8%的域名處于“較高風險狀態”。

3.系統漏洞多，難修復

BIND是最常用的DNS服務軟件，具有廣泛的使用基礎，Internet上的絕大多數DNS服務器都是基于這個軟件的。BIND存在著眾多的安全性漏洞。中高危漏洞超過70%。除此之外，DNS服務器的自身安全性也是非常重要。目前主流的操作系統如windows、UNIX、linux均存在不同程度的系統漏洞和安全風險，而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分，如果漏洞修復不及時，DNS存在的風險和安全隱患極易被攻擊者利用。

DNS安全加固建議

DNS作為網絡基礎服務，無處不在。它的安全與穩定是保證互聯網正常訪問的前提條件。不安全的DNS是攻擊者竊取企業內部數據或遠程控制惡意軟件通信的重要途徑。DNS安全維護需要做到以下五點：

第一，提升DNS系統防護能力。在目前的網絡攻擊中，最讓運維人員頭疼的就是各種針對DNS的攻擊。所有DNS攻擊都需要基于DNS協議來完成，信息化建設在DNS系統防護需采用多維度的DNS協議防護平臺，通過多層次、預先集成的防護策略，提高DNS服務器的性能，確保不會成為網絡中的瓶頸。

第二，加強對DNS系統的實時監控。DNS服務是一項實時性要求非常高的服務，準確全面的監控系統是整個DNS服務的運營基礎。DNS安全監控需要一整套的監控體系，包括網絡流量監控、服務器內核監控模塊、解析監控、服務器集群監控等等。

第三，及時加固DNS及操作系統漏洞補丁。DNS域名系統已采用通用系統平臺及開源軟件如BIND應及時進行漏洞補丁更新，對DNS底層承載系統進行加固，在非必要的情況下關閉除53端口的一切非DNS系統服務端口。并關注軟件商發布的最新安全漏洞，升級軟件系統。以下漏洞為開源ISCBIND存在的高危漏洞，攻擊者可以利用相關漏洞進行攻擊滲透，權限提升、非法數據竊取等操作。

第四，確保域名解析服務的獨立性。運行域名解析服務的服務器上不能同時開啟其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供，限制遞歸服務的服務范圍。

第五，進行DNS訪問控制策略設計，保障安全隔離。網絡層的訪問控制被證明是最有效的（攻擊者很難繞過去）。網絡層訪問控制屬于基礎架構安全，這是最有效最重要的，整個安全防護的基礎。訪問控制策略部署原則要做到明細允許，默認拒絕。