DNS 有哪些安全隱患

DNS存在以下安全隱患：

• 單點故障：DNS采用層次化的樹形結構，由樹葉走向樹根就可以形成一個完全合格域名（Fully Qualified Domain Name, FQDN），DNS服務器作為該FQDN唯一對外的域名數據庫和對內部提供遞歸域名查詢的系統，其安全和穩定就存在單點故障的風險。

• 無認證機制：DNS沒有提供認證機制，查詢者在收到應答時無法確認應答信息的真假，黑客可以將一個虛假的IP地址作為應答信息返回給請求者，從而引發DNS欺騙。

• 內部攻擊：攻擊者在非法或合法地控制一臺DNS服務器后，可以直接操作域名數據庫，修改指定域名所對應的IP，當客戶發出對指定域名的查詢請求后，將得到偽造的IP地址。

• 序列號攻擊：DNS協議格式中定義了用來匹配請求數據包和響應數據報序列的ID，欺騙者利用序列號偽裝成DNS服務器向客戶端發送DNS響應數據包，在DNS服務器發送的真實DNS響應數據報之前到達客戶端，從而將客戶端帶到攻擊者所希望的網站，進行DNS欺騙。

• 信息插入攻擊：攻擊者可以在DNS應答報文中隨意添加某些信息，指示權威域名服務器的域名及IP，如果在被影響的域名服務器上查詢該域的請求，則請求都會被轉向攻擊者所指定的域名服務器上去，從而威脅到網絡數據的完整性。

• 緩存中毒：DNS使用超高速緩存，當一個名稱服務器收到有關域名和IP的映射信息時，它會將該信息存放在高速緩存中。這種映射表是動態更新的，但刷新有一個周期，假冒者如果在下次更新之前成功修改了這個映射表，就可以進行DNS欺騙。

• 信息泄露：DNS的默認設置允許任何人進行區傳送（區傳送一般用于主服務器和輔服務器之間的數據同步），而區傳送可能會造成信息泄露。

• 不安全的動態更新：隨著DHCP的出現，客戶計算機由DHCP服務器動態分配IP地址，使原來手工更新其A（Address）記錄和PTR（反向解析）記錄變得很難管理，為此提出了DNS的動態更新，即DNS客戶端在IP地址或名稱出現更改的任何時候都可利用DNS服務器來注冊和動態更新其資源記錄。但黑客可以利用IP欺騙偽裝成DNS服務器信任的主機對區數據進行添加、刪除和替換。

加強DNS安全的措施有以下這些：

• 使用DNS轉發器：使用DNS轉發器的另一個好處是它阻止了DNS服務器轉發來自互聯網DNS服務器的查詢請求。如果DNS服務器保存了內部的域DNS資源記錄，則這一點非常重要。不讓內部DNS服務器進行遞歸查詢并直接聯系DNS服務器，而是讓它使用轉發器來處理未授權的請求。

• 使用只緩沖DNS服務器：只緩沖DNS服務器是針對未授權域名的。它被用作遞歸查詢或者使用轉發器。當只緩沖DNS服務器收到一個反饋時，它把結果保存在高速緩存中，然后把結果發送給向它提出DNS查詢請求的系統。隨著時間推移，只緩沖DNS服務器可以收集大量的DNS反饋，這能極大地縮短它提供DNS響應的時間。在管理控制下，把只緩沖DNS服務器作為轉發器使用，可以提高組織安全性。

• 使用DNS廣告者：DNS廣告者（DNS Advertisers）是一臺負責解析域中查詢的DNS服務器。除DNS區文件宿主的其他DNS服務器之外的DNS廣告者設置，是DNS廣告者只回答其授權的域名的查詢。這種DNS服務器不會對其他DNS服務器進行遞歸查詢。這讓用戶不能使用公共DNS服務器來解析其他域名。通過減少與運行一個公開DNS解析者相關的風險（包括緩存中毒）增加了安全。

• 使用DNS解析者：DNS解析者是一臺可以完成遞歸查詢的DNS服務器，它能夠解析為授權的域名。DNS服務器和DNS解析者之間的區別是DNS解析者僅僅針對解析互聯網主機名。DNS解析者可以是未授權DNS域名的只緩存DNS服務器。可以讓DNS解析者僅對內部用戶使用，也可以讓它僅為外部用戶服務，這樣就不用在沒有辦法控制的外部設立DNS服務器，從而提高了安全性。當然，也可以讓DNS解析者同時被內、外部用戶使用。

• 保護DNS不受緩存污染：DNS緩存污染已經成了日益普遍的問題。絕大部分DNS服務器都能夠將DNS查詢結果在答復給發出請求的主機之前，就保存在高速緩存中。DNS高速緩存能夠極大地提高組織內部的DNS查詢性能。但如果DNS服務器的高速緩存中被大量假的DNS信息“污染”了，用戶就有可能被送到惡意站點，而不是其原先想要訪問的網站。

• 使DNS只用安全連接：很多DNS服務器接受動態更新。動態更新特性使這些DNS服務器能記錄使用DHCP的主機的主機名和IP地址。DNS能夠極大地減輕DNS管理員的工作強度，否則管理員必須手工配置這些主機的DNS資源記錄。然而，如果未檢測DNS更新，可能會帶來很嚴重的安全問題。一個惡意用戶可以配置主機成為一臺文件服務器、Web服務器或者數據庫服務器，以動態更新DNS主機記錄，如果有人想連接到這些服務器就一定會被轉移到其他的機器上。

• 禁用區域傳輸：區域傳輸發生在主DNS服務器和從DNS服務器之間。主DNS服務器授權特定域名，并且帶有可改寫的DNS區域文件，在需要的時候可以對該文件進行更新，從DNS服務器從主DNS服務器接收這些區域文件的只讀副本。從DNS服務器被用于提高來自內部或者互聯網DNS查詢響應性能。

• 使用防火墻來控制DNS訪問：防火墻可以用來控制哪個用戶可以連接到DNS服務器上。對于那些僅僅響應內部用戶查詢請求的DNS服務器，應該設置防火墻的配置，阻止外部主機連接這些DNS服務器。對于用作只緩存轉發器的DNS服務器，應該設置防火墻的配置，僅僅允許那些使用只緩存轉發器的DNS服務器發來的查詢請求。防火墻策略設置的重要原因是它阻止內部用戶使用DNS協議連接外部DNS服務器。

• 在DNS注冊表中建立訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的注冊表中設置訪問控制，這樣只有那些需要訪問的賬戶才能夠閱讀或修改這些注冊表設置。

• 在DNS文件系統入口設置訪問控制：在基于Windows的DNS服務器中，應該在DNS服務器相關的文件系統入口設置訪問控制，這樣只有需要訪問的賬戶才能夠閱讀或修改這些文件。

回答所涉及的環境：聯想天逸510S、Windows 10。