几乎所有web流量都需要标准DNS查询，这为DNS攻击创造了机会，比如DNS劫持和中间人攻击。这些攻击可以将网站的入站流量重定向到网站的伪造副本，收集敏感用户信息，并使企业承担重大责任。目前防范DNS威胁的最普遍方法之一是采用DNSSEC协议。

什么是DNS安全扩展(DNSSEC)?

与许多internet协议一样，DNS系统的设计没有考虑到安全性，并且存在一些设计限制。这些限制，再加上技术的进步，使得攻击者很容易劫持DNS查找以达到恶意目的，例如将用户发送到一个可以分发恶意软件或收集个人信息的欺诈网站。DNS安全扩展(DNSSEC)是一种用于缓解此问题的安全协议。DNSSEC通过对数据进行数字签名来防止攻击，以帮助确保数据的有效性。为了确保安全查找，必须在DNS查找过程的每个级别进行签名。

这一签署过程类似于有人用笔签署法律文件;这个人用别人无法创建的唯一签名，法庭专家可以查看这个签名并验证文件是由这个人签名的，这些数字签名确保数据没有被篡改。

DNSSEC实现了跨所有DNS层的分层数字签名策略。例如，在“google.com”查找的情况下，根DNS服务器将为.com名称服务器签署一个密钥，然后.com名称服务器将为google.com的权威名称服务器签署一个密钥。

虽然改进的安全性总是首选的，但是DNSSEC被设计为向后兼容，以确保传统的DNS查找仍然能够正确解析，尽管没有添加安全性。DNSSEC旨在与SSL/TLS等其他安全措施合作，作为整体互联网安全战略的一部分。

涉及DNS的常见攻击有哪些?

DNSSEC是一种功能强大的安全协议，但不幸的是，目前还没有得到普遍采用。除了DNS是大多数internet请求的一个组成部分之外，这种缺乏采用以及其他潜在的漏洞使得DNS成为恶意攻击的主要目标。攻击者已经找到了许多方法来攻击和利用DNS服务器，以下是一些最常见的方法:

DNS欺骗/缓存中毒:这种攻击将伪造的DNS数据引入DNS解析器的缓存，导致解析器返回不正确的域IP地址。不访问正确的网站，流量可能被转移到恶意机器或攻击者希望的任何地方;通常这将是原始站点的副本，用于恶意目的，如分发恶意软件或收集登录信息。

DNS隧道:此攻击使用其他协议隧道通过DNS查询和响应。攻击者可以使用SSH、TCP或HTTP将恶意软件或窃取的信息传递到DNS查询中，而大多数防火墙都无法检测到。

DNS劫持:在DNS劫持中，攻击者将查询重定向到不同的域名服务器。这可以通过恶意软件或未经授权修改DNS服务器来实现。虽然结果与DNS欺骗相似，但这是一种根本不同的攻击，因为它针对的是域名服务器上的网站DNS记录，而不是解析器的缓存。

NXDOMAIN攻击:这是一种DNS泛滥攻击，攻击者用请求淹没DNS服务器，请求不存在的记录，试图导致对合法流量的拒绝服务。这可以使用复杂的攻击工具来完成，这些工具可以为每个请求自动生成唯一的子域。NXDOMAIN攻击还可以针对递归解析器，其目标是用垃圾请求填充解析器的缓存。

随机子域攻击:在这种情况下，攻击者向一个合法站点的几个随机的、不存在的子域发送DNS查询。其目标是为域名的权威域名服务器创建一个拒绝服务，使其无法从域名服务器查找网站。作为一个副作用，服务于攻击者的ISP也可能受到影响，因为它们的递归解析器的缓存将加载坏请求。

DNS作为一种安全工具

DNS解析器还可以配置为其最终用户(浏览Internet的人)提供安全解决方案。一些DNS解析器提供了一些功能，比如内容过滤，它可以阻止已知的散布恶意软件和垃圾邮件的站点以及僵尸网络保护，它可以阻止与已知僵尸网络的通信。这些受保护的DNS解析器中有许多是免费使用的，用户可以通过更改本地路由器中的一个设置切换到这些递归DNS服务之一。

如今的网络安全已然成为了大势所趋，不仅仅DNS服务器会被攻击，自身的服务器有时候也会殃及鱼池，大环境驱使下我们不得不采用一些手段来保护自身网络安全，像机房提成防护申请，自身购买CDN都是比较好的方式，当然如果要选购高防产品的话，一定要有足够的耐心，像我们熟知的www.aliyun.com阿里云和cloud.tencent.com腾讯云都是我们可以在预算充足时，无条件信任的大厂商，当然如果想要性价比也可尝试中小企青睐的www.cdn.cafe咖啡云。