本文选自《金融电子化》2019年08月刊

作者：大连银行 李兴刚

DNS是网络应用的基础设施，它的安全性对于互联网的安全有着举足轻重的影响。随着信息化的高速发展，蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁加剧，网络的稳定运行和应用安全受到了较大的威胁和不良影响。其中针对DNS的攻击也已成为最严重的威胁之一。

DNS系统的风险和安全隐患

一直以来，互联网基础架构的脆弱性有目共睹，域名系统的安全问题一直是互联网门户等业务站点运行的短板。DNS系统具有的公开性、匿名性、集中性使其成为攻击者首选的攻击目标，DNS安全维护迫在眉睫。具体问题如下：

1.利用范围广，难抵御

根据2018网络安全趋势分析报告指出，近91.3%的恶意攻击和持续渗透使用DNS作为主要手段，几乎所有的技防措施都允许DNS协议类型数据报文不受限制的传输，基于DNS的各种攻击方式被广泛应用在攻击链的各个环节，而多数DNS维护团队没有针对且有效的DNS的监控和防护手段。

2.运行风险大，难防护

据中国互联网络信息中心2017年安全统计报告指出，通过从国内近90万台的服务器监测和扫描中发现，57%的重要信息系统存在域名解析风险，其中11.8%的域名处于“较高风险状态”。

3.系统漏洞多，难修复

BIND是最常用的DNS服务软件，具有广泛的使用基础，Internet上的绝大多数DNS服务器都是基于这个软件的。BIND存在着众多的安全性漏洞。中高危漏洞超过70%。除此之外，DNS服务器的自身安全性也是非常重要。目前主流的操作系统如windows、UNIX、linux均存在不同程度的系统漏洞和安全风险，而补丁的管理也是安全管理工作中非常重要和困难的一个组成部分，如果漏洞修复不及时，DNS存在的风险和安全隐患极易被攻击者利用。

DNS安全加固建议

DNS作为网络基础服务，无处不在。它的安全与稳定是保证互联网正常访问的前提条件。不安全的DNS是攻击者窃取企业内部数据或远程控制恶意软件通信的重要途径。DNS安全维护需要做到以下五点：

第一，提升DNS系统防护能力。在目前的网络攻击中，最让运维人员头疼的就是各种针对DNS的攻击。所有DNS攻击都需要基于DNS协议来完成，信息化建设在DNS系统防护需采用多维度的DNS协议防护平台，通过多层次、预先集成的防护策略，提高DNS服务器的性能，确保不会成为网络中的瓶颈。

第二，加强对DNS系统的实时监控。DNS服务是一项实时性要求非常高的服务，准确全面的监控系统是整个DNS服务的运营基础。DNS安全监控需要一整套的监控体系，包括网络流量监控、服务器内核监控模块、解析监控、服务器集群监控等等。

第三，及时加固DNS及操作系统漏洞补丁。DNS域名系统已采用通用系统平台及开源软件如BIND应及时进行漏洞补丁更新，对DNS底层承载系统进行加固，在非必要的情况下关闭除53端口的一切非DNS系统服务端口。并关注软件商发布的最新安全漏洞，升级软件系统。以下漏洞为开源ISCBIND存在的高危漏洞，攻击者可以利用相关漏洞进行攻击渗透，权限提升、非法数据窃取等操作。

第四，确保域名解析服务的独立性。运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供，限制递归服务的服务范围。

第五，进行DNS访问控制策略设计，保障安全隔离。网络层的访问控制被证明是最有效的（攻击者很难绕过去）。网络层访问控制属于基础架构安全，这是最有效最重要的，整个安全防护的基础。访问控制策略部署原则要做到明细允许，默认拒绝。