Cloudflare：为什么DNS安全很重要？

小提示：您能找到这篇{Cloudflare：为什么DNS安全很重要？}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Cloudflare：为什么DNS安全很重要？内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">为什么DNS安全很重要？

< font-size: 16px;">几乎所有网络流量都需要使用标准DNS查询，这为DNS攻击（例如DNS劫持和路径攻击）创造了机会。这些攻击可以将网站的入站流量重定向到该网站的伪造副本，从而收集敏感的用户信息并使企业承担主要责任。防御DNS威胁的最广为人知的方法之一就是采用DNSSEC协议。

< font-size: 16px;">什么是DNSSEC？

< font-size: 16px;">像许多Internet协议一样，DNS系统在设计时并未考虑安全性，并且存在一些设计限制。这些限制与技术进步相结合，使攻击者很容易出于恶意目的劫持DNS查找，例如将用户发送到可以分发恶意软件或收集个人信息的欺诈性网站。DNS安全扩展（DNSSEC）是为缓解此问题而创建的安全协议。DNSSEC通过对数据进行数字签名来保护其有效性，从而防止受到攻击。为了确保安全的查找，签名必须在DNS查找过程中的每个级别进行。

< font-size: 16px;">此签名过程类似于用笔在法律文件上签名的人。该人小程序 哪些使用别人无法创建的唯一签名进行签名，法院专家可以查看该签名并验证文件是否由该人签名。这些数字签名可确保数据不被篡改。

< font-size: 16px;">DNSSEC在DNS的所有层上实施分层的数字签名策略。例如，在“ google.com”查找的情况下，根DNS服务器将为.COM名称服务器签名一个密钥，然后.COM名称服务器将为google.com权威名称服务器签名一个密钥。

< font-size: 16px;">尽管始终首选提高安全性，但DNSSEC设计为向后兼容，以确保传统DNS查找仍能正确解析，尽管没有增加安全性。DNSSEC旨在与其他安全措施（例如SSL / TLS）配合使用，作为整体Internet安全策略的一部分。

< font-size: 16px;">DNSSEC创建了一个父子信任关系，一直到根区域。不能在DNS的任何层上破坏此信任链，否则请求将对路径攻击开放。

< font-size: 16px;">要关闭信任链，需要对根区域本身进行验证（证明没有篡改或欺诈），而这实际上是在人工干预下完成的。有趣的是，在所谓的“根区域签名仪式”上，来自世界各地的选定个人开会，以公开且经审核的方式签署了根DNSKEY RRset。

< font-size: 16px;">涉及DNS的常见攻击有哪些？

< font-size: 16px;">DNSSEC是一种功能强大的安全协议，但不幸的是，它目前尚未得到普遍采用。由于缺乏采用以及其他潜在漏洞，而且DNS是大多数Internet请求的组成部分，因此DNS成为恶意攻击的主要目标。攻击者发现了多种针对和利用DNS服务器的方法。以下是一些最常见的方法：

< font-size: 16px;">DNS欺骗/缓存中毒：这是将伪造的DNS数据引入DNS解析器的缓存中的攻击，导致解析器为域返回错误的IP地址。流量可能会被转移到恶意计算机或攻击者期望的其他任何地方，而不是去正确的网站。通常，这将是用于恶意目的（例如分发恶意软件或收集登录信息）的原始站点的副本。

< font-size: 16px;">DNS隧道：此攻击使用其他协议通过DNS查询和响应建立隧道。攻击者可以使保洁投诉处理及危机公关用SSH，TCP或HTTP将恶意软件或被盗信息传递到DNS查询中，而大多数防火墙都无法检测到。

< font-size: 16px;">DNS劫持：在DNS劫持中，攻击者将查询重定向到其他域名服务器。这可以通过恶意软件或未经授权的DNS服务器修改来完成。尽管结果类似于DNS欺骗，但这是完全不同的攻击，因为它的目标是名称服务器上网站的DNS记录，而不是解析程序的缓存。

< font-size: 16px;">

< font-size: 16px;">NXDOMAIN攻击：这是一种DNS泛洪攻击，攻击者利用请求将DNS服务器淹没，以请求不存在的记录，以试图为合法流量造成拒绝服务。这可以使用复杂的攻击工具来完成，该工具可以为每个请求自动生成唯一的子域。NXDOMAIN攻击还可以针对递归解析器，目标是用垃圾请求填充解析器的缓存。

< font-size: 16px;">虚拟域攻击：虚拟域攻击的结果与DNS解析器上的NXDOMAIN攻击相似。攻击者设置了一堆“虚拟”域服务器，它们要么非常缓慢地响应请求，要么根本不响应。然后，解析器受到对这些域的大量请求，解析器被束缚在等待响应的状态，从而导致性能降低和服务拒绝。

< font-size: 16px;">随机子域攻击：在这种情况下，攻击者向一个合法站点的几个随机，不存在的子域发送DNS查询。目标是为域的权威名称服务器创建拒绝服务，从而使无法从名称服务器中查找网站。副作用是，服务于攻击者的ISP也可能会受到影响，因为其递归解析器的缓存将加载错误的请求。

< font-size: 16px;">域锁定攻击：攻击者通过设置特殊的域和解析器来与其他合法解析器创建TCP连接，来组织这种形式的攻击。当目标解析器发送请求时，这些域将发回缓慢的随机数据包流，从而占用了解析器的资源。

< font-size: 16px;">基于僵尸网络的CPE攻击：这些攻击是使用CPE设备（客户内部设备；这是服务提供商提供的供其客户使用的硬件，例如调制解调器，路由器，电缆箱等）。攻击者破坏了CPE，设备成为了僵尸网络的一部分，该僵尸网络用于对一个站点或域执行随机子域攻击。

< font-size: 16px;">防御基于DNS的攻击的最佳方法是什么？

< font-size: 16px;">除了DNSSEC，DNS区域的运营商还可以采取进一步措施来保护其服务器。过度配置基础架构是克服DDoS攻击的一种简单策略。简而言之，如果您的名称服务器可以处理比您预期多几倍的流量，那么基于卷的攻击就很难淹没您的服务器。

< font-size: 16px;">Anycast路由是另一个可以破坏DDoS攻击的便捷工具。Anycast允许多台服务器共享一个IP地址，因此，即使一台DNS服务器关闭，也将有其他服务器在运行。保护DNS服务器安全的另一种流行策略是DNS防火墙。

< font-size: 16px;">什么是DNS防火墙？

< font-size: 16px;">DNS防火墙是一种可以为DNS服务器提供许多安全和性能服务的工具。DNS防火墙位于用户的递归解析器和他们尝试访问的网站或服务的权威名称服务器之间。防火墙可以提供限速服务，以关闭试图淹没服务器的攻击者。如果服务器确实由于攻击或任何其他原因而导致停机，则DNS防火墙可以通过提供来自缓存的DNS响应来使操作员的站点或服务正常运行。

< font-size: 16px;">除了其安全功能外，DNS防火墙还可以为D明星危机公关重要性NS运营商提供性能解决方案，例如更快的DNS查找和降低的带宽成本。了解有关Cloudflare的DNS防火墙的更多信息。

< font-size: 16px;">DNS作为安全工具

< font-size: 16px;">DNS解析器也可以配置为为其最终用户（浏览Internet的人们）提供安全解决方案。一些DNS解析器提供的功能包括内容过滤（可以阻止已知的分发恶意软件和垃圾邮件的站点）和僵尸网络保护（可以阻止与已知僵尸网络的通信）。这些安全的DNS解析器中有许多是免费使用的，用户可以通过更改其本地路由器中的单个设置来切换到这些递归DNS服务之一。Cloudflare DNS强调安全性。

< font-size: 16px;">DNS查询是否私有？

< font-size: 16px;">另一个重要的DNS安全问题是用户隐私。DNS查询未加密。即使用户使用不跟踪其活动的DNS解析器（如1.1.1.1），DNS查询也会以纯文本格式在Internet上传输。这意味着拦截查询的任何人都可以看到用户正在访问哪些网站。

< font-size: 16px;">缺乏隐私会影响安全性，在某些情况下还会影响人权；如果DNS查询不是私有的，则政府可以更轻松地审查Internet，攻击者可以跟踪用户的在线行为。

< font-size: 16px;">TLS上的DNS和HTTPS上的DNS是用于加密DNS查询的两个标准，以防止外部方能够读取它们。Cloudflare DNS支持这两个标准。Cloudflare还与其他组织合作以帮助提高DNS安全性-例如，帮助Mozilla在其Firefox浏览器中启用基于HTTPS的DNS，以保护用户。