DNS服务器频遭攻击 安全防护刻不容缓

昨日晚8点左右新网互联DNS服务器出现大规模故障，导致数万网站无法访问。对此新网互联在其官网发布紧急通知：

　　新网互联DNS解析服务器于6月19日晚8点左右遭受恶意攻击，导致大部分域名无法顺利完成解析。

　　就此次攻击事件，新网互联已将上报至互联网相关管理部门，并与相关管理部门和运营商就此次受攻击突发事件第一时间做出技术部署。若有最近进展将第一时间通告。

　　目前，大部分地区域名解析已经恢复，对因此给您带来的不便，新网互联深表歉意！

　　北京新网互联科技有限公司

　　2009-6-20

　　据中国IDC圈了解新网互联DNS服务器遭受攻击在IDC行业并非个案，仅08年就有多起针对新网互联、商务中国、易名中国、三五互联等大型域名注册商DNS服务器发起的攻击，动辄造成上万网站无法访问，造成极大影响。DNS服务器频繁被黑客攻陷，折射出IDC行业所存在的安全隐患以及技术人员对于DNS服务器得疏于防范。

　　如何才能针对攻击进行有效的防范，那么我们就要先了解其攻击原理。

　　去年互联网爆出号称史上最强漏洞——DNS缓存漏洞，针对此漏洞黑客多采取DNS欺骗攻击，其原理是：如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替、招摇撞骗罢了。

　　防范此类攻击首先要及时安装相关补丁（如果你的系统中存在这个漏洞），还需要考虑部署DNSSEC.DNS协议的漏洞通过随机化查询端口和TXID只能部分缓解，而DNSSEC才是解决问题的根本，其次从操作上对DNS服务器进行保护。

　　在此推荐十个DNS服务器保护技巧：

　　1.使用DNS转发器

　　2.使用只缓冲DNS服务器

　　3.使用DNS广告者（DNS advertisers）

　　4.使用DNS解析者

　　5.保护DNS不受缓存污染

　　6.使DDNS只用安全连接

　　7.禁用区域传输

　　8.使用防火墙来控制DNS访问

　　9.在DNS注册表中建立访问控制

　　10.在DNS文件系统入口设置访问控制