DNS（域名系统）有助于将人类可读的域名转换为IP地址。IP地址非常复杂，因此无法被普通人的大脑记住或感知。但是域名非常容易阅读和记忆。让我们了解域名和IP地址之间的区别。

IP地址

域名是可变长度的

IP地址是固定长度的（4部分）

易于阅读和记忆

难以记住整数

域名不携带任何信息来帮助将数据包路由到它们

没有它们嵌入的路由信息

现在当您理解了域名系统的概念时，您将很容易理解DNSSEC（域名系统安全扩展）。DNSSEC是一项技术，旨在保护由IP网络上使用的DNS承载的信息。它验证DNS数据的来源、正向查找区域，从而充当抵御所有攻击的防御机制。该技术保留并保护了整体数据的完整性。

DNSSEC的工作

DNS的构建类似于电话目录，但除了告诉您的系统发送到哪里之外，它还从多个地址接收信息。这种随机接受地址会在DNS安全中造成漏洞，并在任何IT基础设施内形成通道。不仅地址，而且电子邮件服务器也使用DNS来路由消息，这使得它们也很容易受到基础设施中安全问题的攻击。因此，DNSSEC是所有这些媒体的安全协议，其中通过在DNS之上添加信任层来使用DNS。

DNSSEC可防止攻击者劫持DNS查找以实现其任何恶意目的或通过签名过程进行伪造，方法是分配实际上连一次都无法破解的唯一签名。任何具有适当专业知识的相关人员都可以识别签名并验证它是否来自经过身份验证的地址。这些签名足以确保数据是否已被篡改。它在DNS的所有层中遵循的步骤是-

根DNS服务器为.COMNAMESERVER签署密钥<—–>?.COMNAMESERVER然后为Google.com的权威名称服务器签署密钥

DNSSEC使用一些扩展来加强安全性，例如确保数据的接收者验证来源、经过身份验证的拒绝存在以检查域名是否存在以及确认数据完整性以检查数据是否存在任何更改中转。使用?反向查找区域还迎合了DNS转发区域?的权威感?，并有助于将IP地址解析为网络资源名称。

看这里域名是如何被玩弄的，通过显示相似的域名来欺骗最终用户

传统的DNS基础设施容易受到更多攻击，因此迫切需要加固DNS层以将风险降至最低。网络安全开发人员和工程师夜以继日地工作以开发一种方法来识别症状并生成更具响应性的操作。DNS攻击的执行意图各不相同。它可以为了经济、政治利益、黑客满意度等而进行。但无论意图如何，每次DNS攻击对任何组织都是毁灭性的。为了更深入地了解它，让我们来看看吸引越来越多黑客的DNS的特性

容量攻击

协议攻击

应用程序攻击

使用大量流量使目标带宽饱和的攻击。通过使用简单的放大技术很容易产生容量攻击

利用第3层和第4层协议栈中的弱点使目标无法访问的攻击

利用第7层协议栈弱点的攻击。它是所有攻击中最复杂的，但同时识别和缓解最具挑战性

攻击等级

攻击产生的庞大流量可以完全阻止对终端资源的访问。攻击的强度通常以每秒比特数或数据包数来衡量

协议攻击消耗被攻击目标的所有处理能力或中间关键资源，如防火墙，导致服务中断。

应用程序攻击与目标建立连接，然后通过独占进程和事务来耗尽服务器资源

NTP放大、DNS放大、UDPFlood、TCPFlood

同步洪水，死亡之平

HTTPFlood，对DNS服务的攻击

除了这些一般的DNS攻击之外，DNS还容易发生欺骗活动。这是一种攻击，其中用户被导航到看起来像真实网站的虚假网站。作为用户的你可能在日常工作中也经历过很多次。流量被转移到一个看起来合法但非法的网站，从而引发多次盗窃。即使单击或点击也可以捕获您的重要凭据，并且只有在您已经被盗或在盗窃过程中，您才会知道盗窃的情况。有时，这种欺骗可能会持续很长时间，您不会得到任何有关任何行为的提示。

在了解了DNS攻击的严重性之后，您可能会觉得这种攻击很难逃脱。如果在正确的时间和正确的方向采取措施，就可以很容易地避免这些攻击。这些步骤非常重要，尤其是对于那些必须处理用户敏感信息（如银行帐户凭证等）的网站所有者而言。这些预防措施对他们来说是神奇的：

在寻找任何其他方法之前，检查您的DNS区域将是最有益的。在您的网站上线后过了很长时间，一些子域已经长时间处于非活动状态。这些域逐渐成为热点，或者说是攻击者最容易受到攻击的点。因此，定期检查所有DNS公共记录，审查所有区域，无论是正向查找区域、反向查找区域还是DNS转发区域。

使DNS服务器保持最新可以避免吸引更多的攻击者。为此，如果您的网站由托管服务提供商托管，则选择具有能力和资源来测试和尝试的服务提供商。

大多数攻击者尝试通过尝试不同的版本号查询来进行攻击，然后等待与真实版本匹配的版本。DNS服务器必须隐藏版本号，以降低攻击者将版本号与您的相匹配的可能性。

许多服务器都使用复制DNS区域进行传输。攻击者喜欢执行DNS区域传输以更深入地了解您的安全基础设施。为了防止这种情况，限制区域传输的IP地址将是首要的解决方案。

可以通过禁用DNS递归来防止DNS中毒。但是DNS递归在您的DNS服务器上允许什么？DNS递归允许递归查询在您的服务器域上运行。通过限制此第三方主机将无法搜索名称服务器的查询。

运行您自己的服务器或进行专用托管将使您的DNS服务器免受许多攻击，因为它会得到专门的照顾。所有DNS服务都将为您的单个服务器运行。专用服务器托管将帮助您实现这一目标，并将像保护自己的DNS服务器一样保护您的DNS服务器。

因此DNS入侵的趋势太多了，在您成为其受害者之前，您必须采取必要的措施来保护您的DNS服务器。及时采取行动可以节省大量金钱和任何网络攻击带来的痛苦。