DNS攻击频发，打造防劫持DNS需强化“数据治理”理念

hanniuniu12

　　数字化转型时代，“一物多址，万物互联”正依托于DNS（域名系统）实现，DNS的重要性不言而喻。然而传统DNS协议存在诸多安全隐患，整个明文传输过程几乎没有认证与保护，导致DNS报文易被篡改，缓存系统易被投毒，影响系统的稳定性和可靠性。什么是子域名劫持，企业又如何打造“高安全，高容量，高隐私，高动态，可观测”的防劫持DNS系统？本文为你解析。
　　

　　导致DNS劫持的常见原因

　　DNS劫持通常发生在网络中某个节点处，是指在浏览器访问网站时，恶意程序或黑客将域名解析到错误的IP地址，导致用户无法正常访问网站或被导向其他网站。DNS遭到劫持的企业中不乏知名品牌，如MSN、VMware、康奈尔大学等……对于用户来说，导致DNS劫持主要有网络设置问题、路由器劫持以及运营商问题三种常见原因。

　　与此同时，通过利用DNS区域委派配置上出现的疏忽，攻击者可以狡猾地利用其可信度和被盗资源来绕过安全措施，控制网站的子域。无论是企业还是小企业，若未能确保子域名的安全，都可能导致DNS劫持事件发生，因此打造防劫持DNS至关重要。
　　

　　防劫持DNS需强调“数据治理”理念

　　除了作为通信的基本技术核心外，DNS是企业对外提供永续数字服务的第一关键。当前企业对数字化转型进一步深入，现代及边缘应用的部署更加广泛，这对企业DNS这一关键数字基础设施的建设提出了更高的要求。在打造防劫持DNS系统的过程中，企业应采取积极主动的预防策略。

　　企业可以通过监控CNAME记录、移除宽松的SPF设置、监控SPF策略以及启用DMARC等策略。DNS系统也需要具备足够的抗攻击性，需要能够抵御放大攻击、畸形报文、水滴攻击，枚举等来保护权威服务器；需要能够做到识别内网DNS Tunnel，防止攻击者利用DNS Tunnel 向C2服务器发送指令与信息；在遭受DDOS时候，不应简单的一刀切的方式采取暴力限流措施，而是能够在DDOS防御与提供基础解析服务之间寻求平衡，加强数据分析与洞察，从而建立强大的防劫持DNS防线。
　　

　　值得注意的是，防劫持DNS并不是一劳永逸的。为此，F5公司集结了数位DNS领域专家编写了《企业DNS建设白皮书》，立足通用，可落地以及前瞻性，为企业提供行之有效的参考指南，从而降低对应用和用户带来的损害。
　　https://www.f5.com.cn/cloud/products/dns