如何设计一个安全的DNS架构

在今天的网络环境里，设计DNS (Domain Name System)架构时不再只是简单地考虑满足DNS查询量的要求了。企业需要一个集成的高度安全的DNS架构，安全已成为DNS架构设计中的基本要求。

DNS在今天的企业里不仅仅是一项IT技术，更成为企业核心业务的组成部分。DNS系统将网络域名转换为计算机之间可以沟通的IP地址。如果离开了DNS，物联网之间的沟通将不可能实现，企业基于互联网的业务基本瘫痪。

有几种办法来分类DNS服务器，本文相关的是主DNS服务器和从DNS服务器。主DNS服务器可以被定义为拥有最原始DNS区记录的服务器，而从DNS服务器可以接受从主DNS服务器的DNS区拷贝。有多种原因需要使用从DNS服务器，比如性能或隐藏主服务器等。

你的客户需要使用你的DNS系统访问你的网站。如果没有一个好的DNS架构，你的企业将从互联网上消失。电商公司将无法销售它们的产品和服务。即使是一个经营砖和水泥的普通公司依然需要DNS服务器来推销他们的产品。简而言之，没有了DNS协议就没有了互联网。

当一个企业的产品和服务需求增长时，DNS服务器的负载也会加重。当一个企业的DNS服务器不管是因为合法流量的增长还是遭到DDoS攻击导致的流量增加，当性能达到DNS服务器的极限时，企业首先想到的是增加DNS服务的QPS能力(即每秒查询速度)。

解决这个性能问题的一个办法是为主DNS服务器增加一个更快的从DNS服务器。如果这两台服务器是通过集成方法使用相同的数据库和交互界面，就会工作得更加有效。但如果用两台完全分立的服务器，在备份，回复，报表和管理等基本功能上会导致互操作不一致的问题。为了保护投资，主从DNS服务器有一个统一的交互界面是一个很重要的考虑因素。

解决这个性能问题的另一个办法是在一台均衡负载器后面部署多台DNS服务器。如果所有的服务器都有统一的管理和配置策略，这个方法也会让DNS服务器工作得更好。

当设计一个DNS架构时，不仅仅是根据当前的需求量来设计，更要考虑未来的业务增长。另外重要的一点是，要考虑DNS易受攻击的特性所带来的安全威胁。我们下面将讨论这一点。

现在每天都会发生大量的DNS攻击且增长趋势明显。传统的DNS服务器有多个可以被利用的攻击界面和外部端口，比如80端口和25端口。黑客可以利用这些端口进入到操作系统攻击你的服务器。如果你的DNS服务器不支持分层设计的安全特权，任何用户都有可能获得进入到操作系统级别的账号特权，导致配置更改从而让你的服务器受到攻击。另外传统DNS服务器需要花费大量时间用在人工操作的流程上。

另外一个需要考虑的是保护DNS服务器免受外部攻击。企业的授权DNS服务器是可以从互联网上访问到达的，这就使得这些服务器容易受到外部攻击，比如：DNS洪水和放大，DNS劫持，DNS漏洞等。这些攻击会导致你的DNS服务器停止响应或危害到DNS服务的完整性。同样重要的是，要防止这些已经受到攻击的服务器把自身作为攻击工具去攻击其他的DNS服务器(DNS反射攻击)。DNS反射攻击可以破坏你公司的声誉，影响公司长远财务营收。

尽管你的授权DNS服务器是放在防火墙的后面，但这些针对DNS的攻击是不能被传统防火墙消除的。防火墙在保护应用层免受攻击方面是有先天缺陷的。即使是号称新一代防火墙(NextGen Firewall)也几乎没有覆盖到DNS协议的安全。这些防火墙方案通常是将安全策略扩展覆盖到大量协议上，但却牺牲了覆盖的深度和幅度。

负载均衡器提供了基本的功能来防范DNS Floods。但是黑客有一整套基于DNS的攻击手段攻击你的外部授权服务器，这是负载均衡器无法解决的。举个例子，负载均衡器无法识别恶意的DNS查询，当遇到DDoS攻击时，负载均衡器只能通过使用IP Anycast将负载扩展到多个设备上。仅仅增加负载均衡器已经被证明是低效和高成本的应对DNS攻击的手段。

无论你采用何种防护技术，最重要的是你需要领先攻击者一步。让你的DNS安全防护系统持保持最新的防护状态,跟上威胁的持续进化和攻击形式的不断改变。同样重要的是这些防护策略的更新必须是自动完成，无需手工干预。

通过DNS发生的数据泄露事故也在以令人震惊的速度发生着，现在每天新的恶意软件样本有超过十万种被归类。按照Cisco2014年的安全报告，100%的商业网络里都有恶意软件流向各个网站。

投资在下一代防火墙和入侵检测系统上，看起来可以阻止一些恶意软件和高级持续攻击进入到网络里，但事实并非如此。现在越来越流行将自己的个人设备(BYOD)带入到公司网络中，这让IT环境更加复杂，同时也新的通道让恶意软件进入网络并潜伏下来。

由于恶意软件的增长变得更加复杂和传统防护方法的失灵，导致在一个大型网络中发现恶意软件行为变得几乎不可能。Fast flux, Proxy C&C networks, anonymous TOR和其他的一些高级技术可以轻易地绕开防护的边界。在内部的网络里，一旦恶意软件利用DNS和外部的僵尸网络和命令控制服务器进行通讯，可能会导致企业的敏感数据泄露。

希望对你有帮助，祝你好运！

1月26日，央视曝光了支付宝找回密码功能存在系统漏洞。由于此前支付宝泄密事件导致的信息泄漏，不法分子以此寻找受害人信息，通过找回密码来获得用户支付宝访问权限，从而将支付宝的钱款转走。

3月22日，乌云漏洞平台发布消息称，携程网用户支付信息出现漏洞，漏洞泄露的信息包括用户的姓名、身份证号码、银行卡卡号、银行卡CVV码(即卡号、有效期和服务约束代码生成的3位或4位数字)以及银行卡6位Bin(用于支付的6位数字)等。

4月8日，微软公司在向2亿多用户发布通牒100天后，停止了对Windows XP系统提供技术支持。微软表示，Windows XP的运行环境存在很大的漏洞，微软发布的补丁不能有效抑制病毒的攻击，因此不断在其官网上告知用户可能承受一些风险。2亿多Windows XP用户在失去了保护伞后，陷入“裸奔”状态，电脑安全隐患增加。工业和信息化部总工程师张峰表示Windows XP停止服务直接关系到广大用户的信息安全和利益，XP用户将面临安全威胁。中国工程院院士倪光南也表示，Windows XP停止服务是一个“重大的信息安全事件”。

就在Windows XP系统停止服务的当天，全球互联网通行的安全协议OpenSSL曝出本年度最严重的漏洞。据悉，利用该漏洞黑客坐在自家的电脑前，就可以实时获取到很多https开头网址的用户登录账号密码。

5月11日，乌云漏洞平台率先披露了UC浏览器存在可能导致用户敏感数据泄漏的漏洞。漏洞提交者称，通过该漏洞，只要用户通过UC浏览器搜索并登录人人、新浪微博等网站，其提交的用户信息和密码都有可能被黑客截取。

5月14日，网络安全平台乌云网爆出小米论坛存在用户资料泄露，泄露涉及800万小米论坛注册用户，并建议用户修改密码。随后，小米公司相关负责人确认，数据泄露事件确有发生。

6月，央视《每周质量报告》曝光了黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付宝等账户信息从而盗取资金的消息，引发了网民对于免费WIFI安全性的担忧。

推荐如下：

一、114DNS

这是国内用户量数一数二的DNS服务器，该DNS一直标榜高速、稳定、无劫持、防钓鱼，然而去年却被曝出了配合运营商劫持用户投放广告的劣迹。14DNS 的速度和稳定性确实不错。

二、阿里DNS

阿里DNS是阿里巴巴在 2014 年上线的 DNS 服务，阿里 DNS 首页写的是稳定、极速和智能。析速度还算可以，但遇到一些网站就解析速度比较慢了。

三、百度DNS

百度公共DNS服务IP:180.76.76.76。百度公共DNS是百度系统部推出的递归DNS解析服务。拥有云防护、无劫持、更精准等特性,让您上网更快更安全。

四、OpenNIC DNS（OpenNic提供）

OpenNic是一个社区化的非营利组织，主张DNS中立、免费服务、用户决议、自由开放、保护隐私、拒绝劫持。

五、谷歌DNS服务

谷歌公共域名解析服务（Google Public DNS）是由谷歌公司于2009年发布的一项新的DNS服务。主要为了替代ISPs或其他公司提供的DNS服务。

四、OpenNIC DNS（OpenNic提供）

OpenNic是一个社区化的非营利组织，主张DNS中立、免费服务、用户决议、自由开放、保护隐私、拒绝劫持。

五、谷歌DNS服务

谷歌公共域名解析服务（Google Public DNS）是由谷歌公司于2009年发布的一项新的DNS服务。主要为了替代ISPs或其他公司提供的DNS服务。

---