1.安全事件

盡管已經有超過30年歷史，DNS仍然是整個互聯網中最脆弱的一環。下面盤點一下近年來比較嚴重的DNS安全事件。

2009年5月19日南方六省斷網事件。一起由于游戲私服私斗打掛dnspod，殃及暴風影音域名解析，然后進一步殃及電信local dns，從而爆發六省大規模斷網的事故。事件影響深遠。

2010年1月12日百度域名劫持事件。baidu.com的NS記錄被伊朗網軍（Iranian Cyber Army）劫持，然后導致www.baidu.com無法訪問。事件持續時間8小時，是百度成立以來最嚴重的故障事件，直接經濟損失700萬人民幣。

2013年5月4日DNS劫持事件。由于主流路由器廠商安全漏洞而導致的全網劫持事件，號稱影響了800萬用戶。

2013年8月25日CN域被攻擊事件。cn域dns受到DoS攻擊而導致所有cn域名無法解析事故。

2014年1月21日全國DNS故障。迄今為止，大陸境內發生的最為嚴重的DNS故障，所有通用頂級域（.com/.net/.org）遭到DNS污染，所有的域名全被指向了位于美國的一個IP地址（65.49.2.178）。

2.攻擊手段

query flood  通過不斷的發DNS請求報文來耗盡目的DNS資源，形成拒絕服務。具體分類包括源IP是否隨機以及目的域名是否隨機等。

response flood  通過不斷的發DNS響應報文來達到拒絕服務的目的。

udp floodv  DNS底層協議為UDP，基于UDP的各種flood攻擊也都會給DNS帶來危害。

折射攻擊（反射攻擊）  偽造源IP為第三方，借助DNS的回包來達到DoS掉第三方的目的。屬于“借刀殺人”的手段。

放大攻擊  折射攻擊的一種。通過惡意的構造響應報文來達到流量放大作用，從而對第三方形成帶寬攻擊。請求報文幾十字節，響應報文幾千字節，意味著可以形成百倍以上流量放大系數。

緩存投毒  每一臺DNS都有緩存，緩存投毒指的是通過惡意手段污染DNS緩存，形成DNS劫持或者拒絕服務。

漏洞攻擊  利用各種漏洞來達到入侵并控制DNS服務器目的。漏洞不僅僅指DNS程序本身的，也有可能是機器或者網絡其它的“問題點”。

社會工程學手段  所有的系統都需要人的維護，而人永遠是安全中最脆弱的一環。

3.防御手段

對于權威DNS來說，由于請求來源多是運營商或者公共DNS廠商的遞歸DNS，源IP相對比較固定，可以 實施源IP白名單策略。該策略對于偽造源IP的攻擊具有一定削弱作用。對于域名隨機的攻擊來說，如果權威DNS本身承載的域名量不是很大，可以考慮域名白 名單策略。如果源IP就是運營商的，然后請求域名也是合法的，只能靠一定限速策略以及DNS服務器本身性能了。

對于遞歸DNS來說，各種白名單策略誤傷都會很嚴重，因此也主要靠DNS服務器本身性能了。

高性能DNS服務器目前比較流行的做法是基于Intel DPDK來實施。

另外一種推薦實施的策略是RRL（Response Rate Limit），該策略對于防御折射攻擊/放大攻擊有一定效果。盡管折射攻擊的目標不是DNS本身，但是不防御的話如果把第三方打掛仍然會產生連帶責任，因此建議實施RRL。