作为互联网上的一项基础服务，dns在网站运行中起到了至关重要的作用，然而其安全性在很长一段时间内都没有得到足够的重视。dns采用不可靠的udp协议，安全性具有较大的漏洞，攻击者很容易利用这些漏洞发动攻击，从而引起一些安全问题，如数据被拦截、缓存区中毒、拒绝服务攻击等。

近年来，针对域名发起的劫持和攻击事件频繁发生。2009年巴西{banned}最佳大的银行遭受dns缓存投毒攻击，用户被重定向至一个伪装的银行网站，导致用户密码被窃取。2013年，国家域名解析节点受到dns拒绝服务攻击，导致.cn的部分网站无法打开，造成了非常恶劣的影响。这些dns攻击事件让人们真正意识到dns的安全已经成为目前互联网存在的{banned}最佳严重的安全漏洞与隐患之一。

本文主要从dns自身架构存在的缺陷以及目前所面临的常见威胁做下简单论述，并针对当前内外部dns风险提出相应的防护建议，以提升dns自身安全的稳健性，增强其对日益高发的网络攻击的抵抗能力，有助于提升dns在新模式下的功能多样性和覆盖领域广泛性。

dns风险分析及安全防护研究（一）：dns自身风险分析（中科三方）-凯发app官方网站

基于dns协议特点和层级关系，本文将dns自身安全风险概括为协议脆弱性、系统脆弱性和体系脆弱性三个方面。

1.1协议脆弱性

dns协议在设计之初，没有充分考虑安全问题，采用的是udp协议传输信息，消息传输过程中不作加密处理，资源记录也不进行任何防伪造保护，因此dns协议很容易遭受缓存投毒、数据窃听等攻击，其中dns缓存投毒是非常普遍的攻击方式，对dns的安全性和准确性造成了极大破坏。

dns协议还存在比较严重的隐私泄露问题，由于dns查询过程中可能包含许多敏感信息，在域名解析过程中，可能会导致用户身份和设备类型等重要信息的泄露，目前很多非法公司利用dns这一缺陷搜集用户信息，分析用户行为，谋取广告盈利。

此外，利用dns漏洞发起的攻击行为还有很多，如中间人攻击（mitm）、缓存攻击、分布式拒绝服务攻击（ddos）等，本文会在下面详细讲述。

1.2系统脆弱性

在当前dns软件服务中，{banned}最佳为常用的技术方案是采用berkeley internet name domain 技术，英文简称bind，据数据表明，全球dns服务器系统中有超过90%采用了bind技术，bind是互联网系统协会开发并进行日常维护的，虽然bind经历多次更新，其软件安全性得到了一定提升，安全漏洞也修复了很多，但其开源的特点决定了其不可避免地存在一定的安全风险。

根据漏洞信息库cve披露的数据，bind软件漏洞高达102项，涉及bind8、bind9和bind4.9等主要版本，漏洞主要包括dos、缓冲区溢出、权限漏洞等。2016年，isc bind9 远程动态更新消息拒绝服务漏洞导致多家dns运营服务商出现缓存中毒问题，对全球网络秩序造成了严重影响。

1.3结构脆弱性

dns体系脆弱性主要体现在dns根服务器在dns分层结构中扮演的核心作用。为了减轻单个服务器造成的压力，同时避免单节点服务器故障造成整个dns体系的崩塌，dns系统采用了树状分层结构，而根服务器处于整个dns系统的核心位置，维护着全球所有顶级域名（tld）的位置信息，当用户发起访问时，在dns缓存不能命中的情况下都需要从根服务器发起查询。在域名验证过程中，部署dnssec协议的根服务器作为信任锚，存储着顶级域名服务器的密钥和签名记录，为域名验证提供{banned}最佳终的权威认证，根服务器控制着域名的解析和验证。

dns的这种体系结构，决定了一旦根服务器发生故障，将会对整个dns系统以及互联网造成严重影响。2002年10月21日，13台根服务器遭受了有史以来{banned}最佳严重的ddos攻击，导致其中9台根服务器瘫痪，2007年2月6日，根服务器再次遭受ddos攻击，这两次大规模的ddos攻击都对根服务器的正常运行造成了巨大破坏，对全球数亿用户正常访问互联网造成了严重影响。

目前ipv4协议下，全球只有13台根服务器，而在ipv6环境下，全球再配置了25台ipv6根服务器，通过增加根服务器数量提升了全球互联网多边共治的能力，但并没有从根本上解决dns体系结构脆弱的难题。