几乎所有网络流量都需要标准DNS查询，这为DNS攻击（例如DNS劫持和路径攻击）创造了机会。这些攻击可以将网站的入站流量重定向到网站的虚假副本，收集敏感的用户信息并使企业承担重大责任。防御DNS威胁的最著名方法之一是采用DNSSEC协议。

什么是DNSSEC？

与许多Internet协议一样，DNS系统的设计并未考虑到安全性，并且包含一些设计限制。这些限制与技术进步相结合，使攻击者很容易出于恶意目的劫持DNS查找，例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。

DNS安全扩展(DNSSEC)是为缓解此问题而创建的安全协议。DNSSEC通过对数据进行数字签名来防止攻击，以帮助确保其有效性。为了确保安全查找，签名必须在DNS查找过程的每个级别进行。

这个签名过程类似于某人用笔在法律文件上签名；该人使用其他人无法创建的唯一签名进行签名，法院专家可以查看该签名并验证该文件是否由该人签署。这些数字签名确保数据没有被篡改。

DNSSEC跨DNS的所有层实施分层数字签名策略。例如，在“google.com”查找的情况下，根DNS服务器将为.COM域名服务器签署一个密钥，然后.COM域名服务器将为google.com的权威域名服务器签署一个密钥。

虽然始终首选提高安全性，但DNSSEC旨在向后兼容，以确保传统DNS查找仍然正确解析，尽管没有增加安全性。DNSSEC旨在与SSL/TLS等其他安全措施一起使用，作为整体Internet安全策略的一部分。

DNSSEC创建了一个一直到根区域的父子信任链。这个信任链不能在DNS的任何层受到损害，否则请求将变得容易受到路径上的攻击。

要关闭信任链，需要验证根区本身（证明没有篡改或欺诈），而这实际上是通过人工干预来完成的。有趣的是，在所谓的根区签名仪式中，来自世界各地的选定个人会面以公开且经过审核的方式签署根DNSKEYRRset。

涉及DNS的常见攻击有哪些？

DNSSEC是一种功能强大的安全协议，但遗憾的是它目前并未被普遍采用。除了DNS是大多数Internet请求不可或缺的一部分这一事实之外，这种缺乏采用加上其他潜在的漏洞，使得DNS成为恶意攻击的主要目标。攻击者已经找到了许多针对和利用DNS服务器的方法。以下是一些最常见的：

防御基于DNS的攻击的最佳方法是什么？

除了DNSSEC，DNS区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础设施是克服DDoS攻击的一种简单策略。简而言之，如果您的名称服务器可以处理比您预期多几倍的流量，那么基于容量的攻击就更难压倒您的服务器。

Anycast路由是另一个可以破坏DDoS攻击的便捷工具。Anycast允许多台服务器共享一个IP地址，因此即使一台DNS服务器关闭，仍然会有其他服务器启动并提供服务。另一种保护DNS服务器的流行策略是DNS防火墙。

什么是DNS防火墙？

DNS防火墙是一种工具，可以为DNS服务器提供许多安全和性能服务。DNS防火墙位于用户的递归解析器和他们试图访问的网站或服务的权威名称服务器之间。防火墙可以提供速率限制服务来关闭试图压倒服务器的攻击者。如果服务器确实因攻击或任何其他原因而停机，DNS防火墙可以通过提供来自缓存的DNS响应来保持运营商的站点或服务正常运行。

除了其安全功能外，DNS防火墙还可以提供性能解决方案，例如更快的DNS查找和降低DNS运营商的带宽成本。

DNS作为安全工具

DNS解析器也可以配置为为其最终用户（浏览Internet的人）提供安全解决方案。一些DNS解析器提供内容过滤等功能，可以阻止已知分发恶意软件和垃圾邮件的网站，以及阻止与已知僵尸网络通信的僵尸网络保护。许多这些安全的DNS解析器都是免费使用的，用户可以通过更改其本地路由器中的单个设置来切换到这些递归DNS服务之一。

DNS查询是私有的吗？

另一个重要的DNS安全问题是用户隐私。DNS查询未加密。即使用户使用像1.1.1.1这样不跟踪他们活动的DNS解析器，DNS查询也会以明文形式在Internet上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。

缺乏隐私会影响安全，在某些情况下还会影响人权；如果DNS查询不是私人的，那么政府审查互联网和攻击者跟踪用户的在线行为变得更容易。DNSoverTLS和DNSoverHTTPS是加密DNS查询的两个标准，以防止外部各方能够读取它们。还与其他组织合作以帮助提高DNS安全性——例如，帮助Mozilla在其Firefox浏览器中启用DNSoverHTTPS以保护用户。