DNS云学堂 | 超实用！金融机构互联网域名系统常见风险及防范建议（下篇）

1. 欺骗攻击（NS篡改、域名劫持、缓存投毒）

2. 资源耗尽攻击（DNS DDoS攻击和DNS放大、反射攻击）

风险三：二级域名NS记录篡改和域名劫持

1. 将域名资产托管在服务便捷、安全性高的域名注册管理机构和域名注册服务机构，并采用注册局安全锁，从注册局端锁定域名信息，任何NS信息的修改都需要进行人工验证，避免攻击者通过破解邮箱或攻破注册商平台的手段来篡改域名信息；

2. 增强针对递归服务器被劫持故障的监测感知能力，在发现运营商Local服务器被NS篡改或域名劫持时第一时间启用应急机制并采取干预措施。

   
   

   
   

风险四:用户侧Local DNS缓存窥探和缓存投毒（或DNS欺骗）

1. Local DNS如何防范和避免缓存投毒取决于运营商自身对DNS服务的安全能力，作为企业很难干预。在该风险面前，我们建议采用分布式探测节点探测运营商DNS服务器本地缓存结果是否与权威一致，一旦发现异常能够及时给出告警提示；

2. 发现异常告警后第一时间启用应急机制并由管理员采取干预措施。

   
   

风险五:分布式拒绝服务攻击

DoS攻击手段是在传统的DoS攻击基础之上产生的更有效的攻击方式。其攻击手段往往是攻击者组织大量的傀儡机同时向域名服务器发送大量查询报文，这些报文看似完全符合规则，但往往需要DNS服务器花费大量时间进行查询，从而使DNS服务器资源耗尽并瘫痪。2019年10月23日亚马逊的DNS服务故障原因即为DDoS攻击。

1. 部署多台互联网域名服务器集群，并将服务器部署在不同的物理网络环境中；

2. 按需购买云端解析服务，利用云端分布式架构及海量解析承载能力抵御攻击；

3. 构建本地自建域名服务器+云端服务的异构模式，提供高抗DDoS能力和云端流量清洗能力，用来抵御DDoS攻击。

   
   

   
   

风险六:DNS放大、反射攻击

目前的DDoS攻击通常与“DNS放大攻击”和“DNS反射攻击”配合实施。在这两类攻击中，DNS服务器往往不是被攻击目标，而是充当了无辜的被利用的角色。攻击者冒充被攻击目标向互联网上的DNS服务器发送欺骗性的查询信息，发送的DNS查询请求数据包大小一般为 60 字节左右，DNS服务器收到请求后将向表面上提出查询的那台服务器（被攻击目标）发出大量回复，回复数据包大小通常为请求数据包的数倍。使用该方式可以使攻击流量放大数倍，最终耗尽被攻击目标带宽并导致攻击目标瘫痪。

1. 通过技术手段对DNS请求响应数据、类型、应答进行跟踪判断，识别并规避反射、放大攻击；

2. 为了保护互联网服务器性能及带宽不被无辜利用，需要对DNS服务做响应限制，仅响应互联网客户端权威查询请求，解析状态为NOERROR; 不对互联网客户端查询请求提供递归查询服务，此时返回用户端解析状态为REFUSED.