讓 DNS 更安全可靠可以從哪些方面加強

讓DNS更安全可靠可以從以下方面加強：

• 建議使用非通用系統平臺及非開源軟：當下DNS一般采用傳統的微軟或開源的Bind軟件+通用的服務器來搭建自己的DNS系統。在開放的互聯網中DNS服務面臨很多網絡攻擊和安全威脅。在域名安全方面，存在著域名劫持、緩存中毒、針對域名服務器的攻擊、DNS重定向等各種對服務的威脅。對于windows或者bind這些軟件來說自身無法提供必要的防護手段，需要借助其它設備和技術來抵御黑客攻擊的風險，這增加了投資成本，同時也給運維帶來了一定的困難。如采用通用系統平臺及開源軟件在發生安全漏洞預警的同時應及時更新補丁，對DNS底層承載系統進行加固，在非必要的情況下關閉除53端口的一切非DNS系統服務端口。

• 提供至少2個以上的DNS服務地址：DNS服務器的任務即是確定域名的解析，提供多個的DNS解析服務器這點很重要。根據用戶網站情況的不同、程度不等，建議提供兩臺雙鏈路以上DNS解析服務器。這樣的作用是用戶的DNS解析服務可以進行輪循處理，只要保證一個DNS服務器運轉正常，即可確認網站的訪問將不受故障影響，盡量減少宕機的比率。

• 智能DNS解析支持多路線多區域：通過鏈路負載均衡功能將流量分配到不同的服務器上，可減少各種災害帶來的影響，當一個地方的DNS服務器受到危害時，可通過輪循機制保持DNS的正常解析。同時，DNS智能解析服務建議覆蓋國內全部運營商鏈路，可自動判斷用戶的來源路線，讓用戶網站的解析請求重新導向最近的服務節點，通過就近訪問解決網絡擁擠問題，提高網站響應速度。

• DNS解析對外具有高防功能：在抵御外來網絡攻擊方面DNS解析服務器需要做充分的準備，對于SYN Flood、ACK Flood、ICMPFlood、UDP Flood、DNS Flood等形式的DDOS攻擊，能有效處理連接耗盡、HTTP Get Flood、DNS Query Flood、CC攻擊等。此外，宕機檢測也是DNS解析里一大重要功能。系統將對域名進行24小時不間斷檢測，當其中有服務器出現故障問題時，宕機檢測將對用戶的解析自動切換到預先設置的備用服務器IP，應急響應到場時間不超過設定時間，保證業務訪問的可持續性。

• 建議采用TSIG和DNSSEC技術：交易簽章（TSIGRFC2845），是為了保護DNS安全而發展的。從BIND8.2版本開始引入TSIG機制，其驗證DNS訊息方式是使用共享金鑰（SecretKey）及單向雜湊函式（One-wayhashfunction）來提供訊息的驗證和數據的完整性。主要針對區帶傳輸（ZONETransfer）進行保護的作用，利用密碼學編碼方式為通訊傳輸信息加密以保證DNS訊息的安全，特別是響應與更新的訊息數據。也就是說在DNS服務器之間進行轄區傳送時所提供保護的機制，以確保傳輸數據不被竊取及監聽。DNSSEC主要依靠公鑰技術對于包含在DNS中的信息創建密碼簽名。密碼簽名通過計算出一個密碼hash數來提供DNS中數據的完整性，并將該hash數封裝進行保護。私/公鑰對中的私鑰用來封裝hash數，然后可以用公鑰把hash數譯出來。如果這個譯出的hash值匹配接收者剛剛計算出來的hash樹，那么表明數據是完整的。不管譯出來的hash數和計算出來的hash數是否匹配，對于密碼簽名這種認證方式都是絕對正確的，因為公鑰僅僅用于解密合法的hash數，所以只有擁有私鑰的擁有者可以加密這些信息。

回答所涉及的環境：聯想天逸510S、Windows 10。