提升DNS安全 限制DDoS攻击

早期数据显示，2018年里大型分布式拒绝服务(DDoS)攻击相对平静，但这是否意味着2019年会延续这一风平浪静的趋势呢？尽管谁都知道网络安全预测不易，还是有专家指出，DNS安全的发展令网络罪犯只有改变策略才能苟延残喘。

NS1共同创始人兼首席执行官 Kris Beevers 称：当前市场的关注重点不在大型DDoS攻击上，但背后的暗战从来没缺席。虽然小型高针对性DDoS攻击是网络安全领域常见特征，但2016年Mirai驱动的大型DDoS攻击之后出现的安全投资与改善已经大幅增加了域名服务器被利用为攻击 工具 的难度。

InfoBlox工程执行副总裁兼首席DNS架构师 Cricket Liu 也这么认为：

提升DNS安全，让黑客更难以利用DNS服务器进行DDoS攻击的一个重要方面是所谓RRL(响应速率限制)的实现。实现RRL后某IP地址对单个域名的解析请求只会得到DNS服务器有限次数的响应，可以降低用流量洪水淹没受害者的可能性。

另一个提升DNS安全的进展是DNSSEC的普及。DNSSEC是防止DNS请求/响应伪造的一套系统，要求服务器经可信证书验证和签名。Liu表示，DNSSEC的采纳持续增长，但不同国家和顶级域名间的采纳并不均衡。比如说，.com和.net的DNSSEC采纳率就远低于其子域名，而瑞典和比利时的采纳率非常之高。

对使用公共DNS解析的个人和公司企业而言，安全消息不断向好。谷歌、Open DNS和Quad9等托管的公共递归DNS服务器就采用了RRL和DNSSEC技术处理所有交易。

注：“递归”DNS服务器用于向客户端响应具体URL的地址。“权威”DNS服务器则提供IP地址映射，供递归DNS服务器用于响应查询请求。

Quad9是由供应商联盟运营的非盈利服务，其执行总监 John Todd 称：该服务目前在全球82个国家运营有137个服务器。这些服务器采用各种各样的技术，每天封堵的恶意事件超过1000万起，有些天甚至高达4000万起之多。

所用技术之一就是增强DNS查询安全的DNSSEC，另一个是通过援引19家合作伙伴的聚合威胁情报馈送来封锁已知恶意URL解析，例如已确知装载了恶意软件或网络钓鱼链接的网站。

随着互联网用户越来越关注流量安全，Quad9的采纳率也开始增加，增长率近乎每周25%。安全是核心，DNSSEC、对冗余的需求，还有公共和私有云基础设施技术栈的统一趋势，都是未来将要发生的大事件。

至于近期DNS安全的进一步改善，可以关注DNS命名实体身份验证(DANE)。

IETF RFC 6698 中描述的DANE允许将证书信息放入对查询的响应中，以便查询者了解该响应是否受到合法证书的保护。从不太道德的证书颁发机构获取假证书相对容易，DANE可以挫败这种欺骗手法。这是一种有趣又有用的DNS应用，还有助于驱动DNSSEC的采纳。