DNS 協議因是開放性協議導致存在哪些安全缺陷

DNS協議因是開放性協議導致存在以下安全缺陷：

• 單點故障：DNS采用層次化的樹形結構，由樹葉走向樹根就可以形成一個完全合格域名（Fully Qualified Domain Name, FQDN），DNS服務器作為該FQDN唯一對外的域名數據庫和對內部提供遞歸域名查詢的系統，其安全和穩定就存在單點故障的風險。

• 無認證機制：DNS沒有提供認證機制，查詢者在收到應答時無法確認應答信息的真假，黑客可以將一個虛假的IP地址作為應答信息返回給請求者，從而引發DNS欺騙。

• 內部攻擊：攻擊者在非法或合法地控制一臺DNS服務器后，可以直接操作域名數據庫，修改指定域名所對應的IP，當客戶發出對指定域名的查詢請求后，將得到偽造的IP地址。

• 序列號攻擊：DNS協議格式中定義了用來匹配請求數據包和響應數據報序列的ID，欺騙者利用序列號偽裝成DNS服務器向客戶端發送DNS響應數據包，在DNS服務器發送的真實DNS響應數據報之前到達客戶端，從而將客戶端帶到攻擊者所希望的網站，進行DNS欺騙。

• 信息插入攻擊：攻擊者可以在DNS應答報文中隨意添加某些信息，指示權威域名服務器的域名及IP，如果在被影響的域名服務器上查詢該域的請求，則請求都會被轉向攻擊者所指定的域名服務器上去，從而威脅到網絡數據的完整性。

• 緩存中毒：DNS使用超高速緩存，當一個名稱服務器收到有關域名和IP的映射信息時，它會將該信息存放在高速緩存中。這種映射表是動態更新的，但刷新有一個周期，假冒者如果在下次更新之前成功修改了這個映射表，就可以進行DNS欺騙。

• 信息泄露：DNS的默認設置允許任何人進行區傳送（區傳送一般用于主服務器和輔服務器之間的數據同步），而區傳送可能會造成信息泄露。

• 不安全的動態更新：隨著DHCP的出現，客戶計算機由DHCP服務器動態分配IP地址，使原來手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動態更新，即DNS客戶端在IP地址或名稱出現更改的任何時候都可利用DNS服務器來注冊和動態更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務器信任的主機對區數據進行添加、刪除和替換。

DNS服務安全保護的幾點建議如下：

• 配置輔助域名服務器進行冗余備份。輔助服務器可從主服務器中復制一整套域信息。

• 配置高速緩存服務器緩解DNS訪問壓力。高速緩存服務器可運行域名服務器軟件，但是沒有域名數據庫軟件。它從某個遠程服務器取得每次域名服務器查詢的結果，將它放在高速緩存中，以后查詢相同的信息時就可以直接回答。

• 配置DNS負載均衡。DNS負載均衡技術是在DNS服務器中為同一個主機名配置多個IP地址，在應答DNS查詢時，將以DNS文件中主機記錄的IP地址按順序返回不同的解析結果，從而將客戶端的訪問引導到不同的機器上去，達到負載均衡的目的。

• 使用工具進行DNS配置文件檢查。有一些工具可以檢查DNS配置文件，如開源軟件Dlint，可以檢查配置文件是否存在拼寫錯誤，檢查配置文件中是否有A記錄的主機名稱都有配套的PTR記錄等。

回答所涉及的環境：聯想天逸510S、Windows 10。