与DNS相关的攻击——例如DNS劫持、DNS隧道和DNS放大攻击——正在上升，许多IT组织开始怀疑其DNS系统的安全性。

大多数IT公司为外网服务（网站和互联网访问服务）和内网服务（活动目录、文件共享、电子邮件）维护各种DNS系统。保护内部和外部DNS系统至关重要，因为恶意行为者用来攻击它们的威胁和漏洞越来越多。不幸的是，很少有公司对他们的DNS安全有足够的信心。

近日，企业管理协会（EMA）在最新发布的研究报告《DDI方向:多云时代的DNS、DHCP和IP地址管理策略》中对DNS的安全问题进行了研究。根据对333名负责DNS、DHCP和IP地址管理的IT专业人员的调查，只有31%的管理人员对其DNS基础设施的安全性充满信心。

最受关注的DNS安全问题

调查要求参与者回答让他们最痛苦的DNS安全挑战。最常见的回答是DNS劫持（占所有受访者的28%），也称DNS重定向，黑客会拦截来自客户端设备的DNS查询，将其转接到错误的IP地址。黑客通常通过恶意软件感染客户端来实现这一点，这样查询就会转到一个流氓DNS服务器，或者让他们攻击一个合法的DNS服务器，并大规模地劫持查询。后一种方法可以产生非常严重的后果，因此也更凸显出企业保护DNS基础设施免受黑客攻击至关重要。

第二个最受关注的DNS安全问题是DNS隧道和泄露（20%）。一旦黑客已经渗透到网络中，他们通常会利用这个通道。DNS隧道是用来逃避检测，同时从被入侵的服务器中提取数据。黑客将提取的数据隐藏在传出的DNS查询中。因此，安全监视工具密切监视DNS流量的异常情况非常重要，例如异常大的数据包大小。

第三个最紧迫的安全问题是DNS放大攻击（20%）。这是一种分布式拒绝服务（DDoS）攻击，黑客通过欺骗第三方可公开寻址的DNS服务器，向目标DNS服务器发送不需要的、欺骗的查询响应，使该服务器无法响应合法查询。由于最终用户对网站的DNS查询无法解析，导致该网站无法被访问。

如何提高DNS安全性

1. 安装DNS防火墙

IT公司可以通过安装DNS防火墙来降低DNS安全风险。近47%的DDI专家告诉EMA，他们已经部署了DNS防火墙来保护他们的基础设施，因此他们对自己的整体DNS安全性更有信心。DNS防火墙是专门的网络安全设备，专门用于根据威胁情报和安全策略对DNS查询进行检测并阻断连接。与标准防火墙相比，它们对DNS流量具有更细粒度的可见性和智能。

2. 使用DNS安全扩展

另一个重要的措施是使用DNS安全扩展（DNSSEC），这是一套由互联网工程任务组（ETF）创建的规范。DNSSEC需要配置DNS服务器使用公钥加密技术对DNS记录进行数字签名，这允许其他DNS服务器验证DNS记录的真实性，并防止伪造和操纵数据。在EMA的研究中，超过47%的公司使用了DNSSEC。

然而，DNSSEC确实带来了一些挑战，包括基础设施开销和管理复杂性的增加。另外，一些人认为DNSSEC的整体安全模型存在缺陷。

3. 设置DNS优先级安全策略

近38%的组织正在设置优先考虑DNS安全威胁的自动安全策略。例如，他们配置入侵防御系统来阻止与已知恶意IP地址相关的DNS查询。

4. 云协作

任何DNS安全策略都必须考虑到公共云。通常，许多DDI管理人员会为本地网络建立DDI服务，而云计算团队会在公有云上部署自己的DNS、DHCP和IP地址管理解决方案。近年来，越来越多的DDI团队意识到他们也需要参与到云网络的安全和稳定的管理之中。

“我们试图与云团队合作，”一家财富500强咨询公司的DDI工程师表示，“五年前，这种情况根本不会发生。不与网络工程和安全部门合作的情况下风险很大，很容易产生问题。

EMA的研究发现，近59%的DDI团队现在对公司的云战略有足够的影响力。具有这种影响力的DDI专业人员对他们的DNS安全态势更有信心。

5. 提高DNS的可见性

最后，DDI团队需要了解DNS基础设施的情况。许多企业通常将DNS日志导出到安全信息和事件管理（SIEM）平台，网络安全团队可以在其中查找异常活动。此外，集中监控所有DNS基础设施非常重要。近47%的DDI管理人员可以从中央控制台监控所有DNS服务器。这些人对他们的DNS安全性更有信心。