DNS一直是互聯網架構中脆弱的一環，2009年的多省“斷網”事件，2010年的百度被“黑”事件，都是由于DNS受攻擊引起的。目前，針對企業DNS服務器的攻擊成為攻擊者阻斷企業網絡服務的手段之一。除了DNS供應商自身的問題，用戶配置不當也會給DNS服務器帶來安全隱患。

DNS一直是互聯網架構中脆弱的一環，2009年的多省“斷網”事件，2010年的百度被“黑”事件，都是由于DNS受攻擊引起的。目前，針對企業DNS服務器的攻擊成為攻擊者阻斷企業網絡服務的手段之一。除了DNS供應商自身的問題，用戶配置不當也會給DNS服務器帶來安全隱患。

據業內人士介紹，最近幾年網絡資源及服務成本日益降低，特別是帶寬成本大幅下降，DNS攻擊流量屢創新高。攻擊者控制殭尸網絡送出大量的DNS查詢封包，送至網站的解析服務器，使其難于應付最終導致網絡服務被阻斷(Direct DNS Attack)。這是今后任何一家企業都可能面臨的問題。

在具體環境下，配置不當也會帶來隱患。DNS安全擴展協議(DNSSEC, DNS Security Extensions)主要目的在于強化DNS服務驗證，而要達成這個協議則必須開啟DNS擴展名機制(EDNS0, Extension Mechanisms for DNS)的功能，但具有諷刺意味的是，如果開啟這個功能卻不知如何進行安全設置，則反而會讓它變成一個安全漏洞。EDNS0本應成為安全配置的“標配”，但實際使用中卻由于人們缺乏安全防范的意識將其遺漏。

例如在DNS軟件BIND 8.3.0與BIND 9.0.0以后的版本、提供DNS服務的Windows Server 2003，EDNS0都是默認開啟，這些功能美其名曰可以滿足多任務的處理需求，但事實上整體效果并不突出，而且可能造成DNS Server遭受DDoS攻擊。盡管這是自1996年以來就存在的漏洞，但直到2012年，仍有全球性的DNS 服務商遭殃，最后的受害者毫無疑問是使用該服務的客戶。

既然這不是新手法，為什么至今仍有不少頗具規模的大企業被攻擊呢?這主要由于兩個方面的原因：一方面是基礎網絡仍沿用過去老舊架構;另一方面是相關人員缺乏信息安全意識。過去由于缺乏對信息安全的前瞻性認識，因而得不到重視，網絡基礎架構以業務能力為主，而非著重安全，因此在遭到安全攻擊時無法快速應對。此外在人員意識方面，對于 DNS的配置安全也未受到重視。

針對這個問題，安全專家提出以下四點建議：

1. 徹底檢查DNS服務器配置，關閉不需要的服務;

2. 持續監控DNS流量，了解自身網絡能承載的流量;

3. 通過日常的監控，比對不正常流量發生的狀況;

4. 做好災難救援方案。據了解，即使是跨國DNS服務供貨商，可以為成千上萬的客戶服務，其后臺服務卻可能僅用數百臺設備，造成狀況發生時無法立即切換、備援。

要杜絕針對DNS服務器的攻擊，一方面要進行基礎網絡安全建設的升級，另一方面是通過后續安全配置和監控來改善。專家建議，企業還可以使用專業DDoS防御供貨商的服務，得到更完整的安全防護。