DNS 服務器面臨的安全問題有哪些

DNS服務器面臨的安全問題主要包括：

DNS域名信息欺騙攻擊

DNS欺騙即域名信息欺騙是最常見的DNS安全問題。當一個DNS服務器掉入陷阱，使用了來自一個惡意DNS服務器的錯誤信息，那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器產生許多安全問題，例如，將用戶引導到錯誤的互聯網站點，或者發送一個電子郵件到一個未經授權的郵件服務器。網絡攻擊者通常通過四種方法進行DNS欺騙。

拒絕服務攻擊

黑客主要利用一些DNS軟件的漏洞，如BIND 9版本（版本9.2.0以前的9系列），如果有人向運行BIND的設備發送特定的DNS數據包請求，BIND就會自動關閉。攻擊者只能使BIND關閉，而無法在服務器上執行任何命令。如果得不到DNS服務，那么就會產生一個嚴重的問題：由于網址不能解析為IP地址，用戶將無法訪問互聯網。這樣，DNS產生的問題就好像是互聯網本身所產生的問題，這將導致混亂。

緩沖區漏洞攻擊

BIND軟件的默認設置是允許主機間進行區帶傳輸（Zone Transfer）。區帶傳輸主要用于主域名服務器與輔域名服務器之間的數據同步，使輔域名服務器可以從主域名服務器獲得新的數據信息。一旦啟用區帶傳輸而不做任何限制，很可能會造成信息泄露，黑客將可以獲得整個授權區域內的所有主機的信息，判斷主機功能及安全性，從中發現目標進行攻擊。一旦這些信息泄露，攻擊者就可以根據它輕松地推測主域名服務器的網絡結構，并從這些信息中判斷其功能或發現那些防范措施較弱的機器。

分布式拒絕服務攻擊

DDoS攻擊通過使用攻擊者控制的幾十臺或幾百臺計算機攻擊一臺主機，使得拒絕服務攻擊更難以防范：使拒絕服務攻擊更難以通過阻塞單一攻擊源主機的數據流，來防范拒絕服務攻擊。SYN Flood是針對DNS服務器最常見的分布式拒絕服務攻擊。SYN Flood攻擊利用IPv4中TCP協議的三次握手（Three-Way Handshake）過程進行攻擊。我們已經知道協議的規定，如果一端想向另一端發起TCP連接，它需要首先發送TCP SYN包到對方，對方收到后發送一個TCP SYN+ACK包回來，發起方再發送TCP ACK包回去，這樣三次握手就結束了。我們把TCP連接的發起方叫做“TCP客戶機（TCP Client）”，TCP連接的接收方叫做“TCP服務器（TCPServer）”。

緩沖區溢出漏洞攻擊

BIND軟件的許多版本存在緩沖區溢出漏洞，當攻擊者獲取了管理員權限時，就可以入侵BIND所在的主機，并以管理員的身份執行任意命令。這種攻擊的危害性比較嚴重，攻擊者不僅獲得了DNS服務器上所有授權區域內的數據信息，甚至可以直接修改授權區域內的任意數據。針對這種攻擊，主要是及時發現DNS軟件的版本漏洞，并進行升級。黑客利用DNS服務器軟件存在的漏洞，比如對特定的輸入沒有進行嚴格檢查，那么有可能被攻擊者利用，攻擊者構造特殊的畸形數據包來對DNS服務器進行緩沖區溢出攻擊。如果這一攻擊成功，就會造成DNS服務停止，或者攻擊者能夠在DNS服務器上執行其設定的任意代碼。例如，針對Linux平臺的BIND的攻擊程序（Lionworm），就是利用某些版本的BIND漏洞，取得root權限，一旦入侵完成之后，入侵者就可以完全控制整個相關的網絡系統，影響非常嚴重。

不安全的DNS動態更新

最早設計DNS時所有運行TCP/IP的計算機都是手工配置的。用特定的IP地址手工配置一臺計算機時，它的A資源記錄和PTR資源記錄也要用手工配置。隨著DHCP（動態主機配置協議）的出現，DHCP客戶機由DHCP服務器動態分配IP地址，使手工更新其A記錄和PTR記錄變得很難管理。因此，在RFC 2136中提出了DNS動態更新，這使得DNS客戶端在IP地址或名稱出現更改的時候，都可利用DNS服務器來注冊和動態更新其資源記錄。然而，盡管DNS動態更新協議規定了怎樣的系統才允許動態更新一臺主域名服務器，但是DNS仍然可能受到威脅，比如攻擊者可以利用IP欺騙，偽裝成DNS服務器信任的主機對系統進行更新或者損害，并可以對主域名服務器進行各種動態更新攻擊，比如刪減、增加、修改資源記錄。

回答所涉及的環境：聯想（Lenovo）天逸510S、Windows 10。