天互数据

　　DNS目前为止面临的安全挑战主要有几个方面：

　　第一是软件漏洞。主要的漏洞包括缓冲区的移出漏洞，黑客可以使用简单的查询命名，就可以让整个服务器宕机，借此获得整个服务器的权限。

　　第二是DNS欺骗。常见的几种方式，比如说缓存投毒，包括DNS劫持。

　　第三是DDOS攻击。分成很多种形式，比如说用流量攻击的形式等。

　　在保证DNS服务安全方面，可分为四个方面：

　　首先，检查是否是软件服务器方面的安全。我们需要定期的更新相关的服务器，一旦官方报出一些高危漏洞的时候，我们需要及时地弥补它。采取一些认知审核，包括远程登录的端口，各种方式保证服务器本身的安全。

　　再有就是预警和监控。我们需要在DNS采取7×24小时的监控。包括服务器的本身的响应速度上面都需要有安全的循环和安全的人员做相应的监控。

　　然后就是网络安全。现在针对DNS的攻击大部分都是像DDOS，或者是查询工具。

　　最后是建议域名提供商采用多点部署的方案，尽量不要采用单点部署。例如某一个数据中心出问题的时候，那么肯定DNS服务就完全中断了，采用多点部署，比如几个不同的数据中心部署不同的DNS服务器，就算有某一个数据中心由于物理连接出问题，至少有其他的数据中心能够保证服务的延续。

　　比如说某个数据中心内部的立体式防护，整个互联网的接入，从柜机交换机下来以后第一层是防火墙的保护，主要做的上层的大流量的清洗，通过这层防火墙的过滤，可以把大部分攻击过滤掉，通过第二层保护，是针对DNS服务器本身的防御。DNS网关是我们目前正在研发中的一个产品，它有几个比较重要的功能。比如我们DNS网关可以针对域名查询的一些数据做一个基础的建模。比如说单位时间内域名解析的总量，整个DNS域名服务器解析的总量，单位时间内域名请求失败的总量，也可以做一个单位时间内的建模。再有单个域名查询总量的一个数据，当这三个数据有异常的时候，DNS网关可以针对这个情况做特殊处理。比如说对管理人员报警，有各种声音的方式、短信的方式、邮件的方式，告诉DNS管理员它已经出现异常了。到底是遇到了DNS攻击还是流量攻击，这种情况下对于我们判断具体的攻击情况是非常有帮助的。正常的DNS工具有两种情况，一种是伪造IP的海量查询，还有一种是真实IP的查询。通过DNS网站都可以对这两种查询做一个基本的判断。那么在三层防火墙上通过智能的保护切换，包括IP也好，域名也好，这是我们部署的一个方案和建议。