DNS解析是保障網(wǎng)站正常運(yùn)行的一項(xiàng)重要服務(wù)，DNS解析出現(xiàn)故障，就會(huì)導(dǎo)致網(wǎng)站無法被訪問或者被劫持到其他的站點(diǎn)，對(duì)業(yè)務(wù)正常開展造成很大影響，因此網(wǎng)站管理人員要高度關(guān)注DNS解析的安全，才能確保網(wǎng)站的正常運(yùn)轉(zhuǎn)，那什么是DNS解析？如何提升DNS解析安全性呢？

什么是DNS解析？

DNS解析是互聯(lián)網(wǎng)中一項(xiàng)重要基礎(chǔ)服務(wù)，它負(fù)責(zé)將簡(jiǎn)單的域名翻譯成可由計(jì)算機(jī)識(shí)別的IP地址，從而實(shí)現(xiàn)人機(jī)交互并通過域名而不是復(fù)雜的IP地址去訪問web服務(wù)器，獲取相應(yīng)的信息和服務(wù)。因此DNS解析在整個(gè)網(wǎng)絡(luò)互聯(lián)體系中充當(dāng)著導(dǎo)航系統(tǒng)的角色，其重要性不言而喻。如果DNS解析出現(xiàn)故障，則域名和IP地址之間的指向關(guān)系就會(huì)出現(xiàn)問題，往往會(huì)導(dǎo)致通過域名無法打開網(wǎng)站，或者訪問到一個(gè)錯(cuò)誤的網(wǎng)站。

DNS安全問題有哪些？

DNS在設(shè)計(jì)之初只考慮了實(shí)用性，沒有相應(yīng)的驗(yàn)證機(jī)制，所以安全性較低，經(jīng)常成為網(wǎng)絡(luò)攻擊的重點(diǎn)對(duì)象。

目前針對(duì)DNS的攻擊主要有兩種：

一種是DNS DDoS攻擊，也就是針對(duì)DNS服務(wù)器發(fā)動(dòng)攻擊，造成DNS服務(wù)器的線路擁堵或宕機(jī)。DNS服務(wù)器發(fā)生故障，將無法及時(shí)回應(yīng)遞歸服務(wù)器發(fā)起的解析請(qǐng)求，從而會(huì)導(dǎo)致其所管轄的所有域名都無法正常解析，這樣造成的危害比單獨(dú)針對(duì)web服務(wù)器發(fā)起攻擊要大得多。

另一種是DNS劫持，DNS劫持就是通過錯(cuò)誤的域名解析記錄代替正確的記錄返回給客戶端，將客戶端引導(dǎo)至錯(cuò)誤的IP地址，從而達(dá)到流量劫持，獲取非法收益的目的。DNS劫持可通過DNS緩存投毒、修改NS記錄等方式達(dá)成。

如何提升DNS解析安全？

（1）構(gòu)建DNS外部安全防護(hù)體系

將邊界路由器、防火墻策略、端口管理、負(fù)載均衡等軟硬件防護(hù)策略結(jié)合起來，構(gòu)建起堅(jiān)實(shí)的DNS外部安全防護(hù)體系。

（2）設(shè)置DNS內(nèi)部安全策略

使用最新版的bind，可以消除軟件設(shè)計(jì)上的明顯漏洞，大大提升DNS安全性，此外還可以通過DNSSEC安全協(xié)議為解析數(shù)據(jù)進(jìn)行加密，從而確保DNS解析數(shù)據(jù)不被篡改。

（3）使用高防DNS

中科三方云解析支持高防DNS，通過彈性寬帶功能，可以有效抵御超大流量解析訪問和惡意的DNS DDoS攻擊，此外高防DNS具備流量清洗、健康監(jiān)測(cè)和DDoS防火墻改功能，可以對(duì)DDoS攻擊形成有效的清洗和防御。