常见的针对DNS的攻击方式，DNS的安全防护方案

如今的防护设备越来越多，曾经作为主流攻击点的对象都逐渐被各种防火墙、入侵防御系统、沙箱等各种技术手段保护起来。

然而，对于攻击者而言，不断尝试寻找现有主流目标的新漏洞固然是一种方式；从尚未被建立保护措施的有效目标中找到新的攻击点也很重要。近年来，针对http协议的漏洞逐渐被挖掘殆尽，攻击者的目光也早已转向了其他互联网关键协议——其中之一就是DNS。

DNS是网络连接的重要一环。其任务是将域名转化为网络地址，然后根据转化后的地址进行连接。然而，在这一过程中，攻击者却有丰富多样的攻击手段，各种常见攻击手法都能在DNS协议上做到复制。

常见的针对DNS的攻击方式，DNS的安全防护方案

以下是几种极其常见的针对DNS的攻击方式：

一旦DNS配置不当，攻击者可以对DNS的配置信息获取网络环境的信息，为之后的攻击做好的准备。

显然，无论攻击者是直接利用DNS发起攻击，造成业务的中断又或者是对企业内部人员进行钓鱼攻击；还是仅仅利用DNS对整个网络环境嗅探，来为下次更有威胁性的攻击行为收集情报，都会对企业带来巨大的利益损失。

然而，面对这样一个威胁，很多企业却并没有对DNS服务器进行保护——究其原因，除了市面上缺乏对DNS的防护设备之外，企业本身也对于DNS存在的安全隐患了解较少。对于大部分企业而言，对于DNS的了解依然停留在了“能用就行”的地步，忽略了不安全的DNS会给自己带来的巨大损失。

对DNS服务器需要采取特别的安全保护措施

DNS服务器可为互联网提供域名解析服务，对任何网络应用都十分关键。同时在其中也包括了非常重要的网络配置信息，如用户主机名和IP地址等。正因如此，对DNS服务器要采取特别的安全保护措施。

为了安全起见，建议在防火墙网络中，对内部DNS服务器和外部DNS服务器进行分开放置。为互联网服务的外部DNS服务器不应该包含对外禁止访问的内部网络系统的相关服务，它需要专门放置在内部DNS服务器上。

如果将内部网络的相关服务放置在外部DNS服务器上，则会为非法攻击者提供攻击对象目标信息。这种将内部DNS服务器和外部DNS服务器分隔开的网络配置方案通常称之为分割DNS。

在这种DNS服务器配置网络结构中，内部DNS服务器专用来为内部网络系统进行名称解析，使得内部网络用户可以通过它连接到其他内部系统，其中就包括内部防火墙和内部DMZ;外部DNS使得外部网络能够解析出主防火墙、外部DNS服务器、外部DMZ区的主机名字，但不能解析出内部网络系统主机的名字。

天下数据也提供硬件形态的数据包检测系统，在攻击抵达DNS服务器前进行拦截。

我们常说：攻击只需要一个点，而安全要做到整个面。面对越来越多的攻击，我们不仅不能习惯于防护的手段，更不能习惯于防护的对象上。攻击者在不断地寻找新的攻击点，而我们对于防御是否也需要更多地思考防御的对象？天下数据的特点其实并不在于给DNS提供了一套安全解决方案；对他们而言，他们更偏向于他们提供了一套优秀的DNS系统——高效、易管理，而在这之上，安全——只是他们DNS系统的一个很重要特点。他们的理念，不是给一个产品附加了安全的能力，而是他们的产品本身就具有强大的安全能力。