DNS价值几何？谁来挽救脆弱的DNS安全？

　　日前，因为DNS解析的脆弱性，黑客频频利用互联网的这个软肋，制造了一次次灾难性事故。2009年5月19日，暴风影音事件中，DNS体系的脆弱性已经初见端倪：仅仅因DNSpod这样一个小环节被攻击，连锁导致了江苏、河北、山西、广西、浙江等十几个省份出现大规模网络故障。

　　2010年1月12日上午，百度遭到黑客攻击，造成百度首页大面积长时间无法访问，百度CEO李彦宏连称“史无前例，史无前例呀”。百度首页长时间不能被正常访问，其罪魁祸首还是源于DNS体系的脆弱性。

　　2010年1月20日广东某IDC发生DNS故障,官方称遭网络攻击。

　　在互联网高速发展的今天，有着先进的电信设备和高尖端的安全技术，为什么DNS“猝死”还频繁上演？

　　站长还会进一步质疑：为什么升级更新系统，新置防火墙，还是阻挡不住黑客死神的步步进逼，是我们用错了技术设备，还是根本无技术设备好用？触目惊心的一次次事故，让我们有必要重新审视和加固我们DNS解析的安全性。

　　据了解，DNS解析是互联网访问中重要而又不可或缺的一个环节。网民在访问网络资源的时候，需要标识服务器的IP地址，但为了记忆的方便，一般用域名的形式访问特定的服务器。任何域名的访问都要翻译成特定的IP地址，网民才能得以访问网页、才能登陆即时聊天工具、才能享受到互联网给我们带来的信息便捷性。

　　百度DNS事故带给站长哪些反思？

　　我们知道此次事故是因为百度在美国域名服务商注册的域名，黑客获取了操作baidu.com ns记录的权限，将baidu.com的ns记录先后错误指向了三次。被指向的DNS服务器根本不知晓www.baidu.com的正确解析，甚至没有授权解析baidu.com的任何域名.根据DNS解析规范，任何来访的DNS解析请求，都会得到一个答案--- “没有这个解析”. 这个假消息在DNS系统里传播，导致所有的百度网民不能够正确的访问百度首页。我们大致可以总结出下面几个经验教训：

　　a:审查代理商的安全操作机制。代理商的操作权限和登录终端必须严格控制，避免不法分子的危险操作;

　　b:域名的备份机制。客户在维护主域名的同时，应该维护备份域名。在出现故障时，及时提示用备份域名进行访问，以便引导网民正常的访问客户的业务。

　　c:代理商的备份机制。尽量不要将业务放在一个篮子里，同时注册多家代理商，考核其运营机制和沟通是否有效，在灾难发生时能及时有效的进行沟通，修正任何非法篡改。

　　d:减小域名的缓存时间。缓存时间越长，对于解析时间在整个访问过程中所占的比重越小，访问效率越高，但是对于错误的域名，其污染时间就会越长;我们要在安全性和访问效率上寻求一个平衡点。

　　e:与各级电信运营商建立良好沟通的渠道。在域名解析的错误修正后，能够及时的将缓存清除掉，重新获取一份纯洁的解析记录。

　　DNS脆弱体系带来的行业契机

　　每一次DNS解析的事故，都给我们带来血淋淋的教训，也让我们更加重视DNS的安全性和稳定性。

　　笔者走访了中国CDN业界的领军人物蓝汛，承担维护上万台设备的DNS解析指向，每天承担着上亿次的解析重担。技术负责人告诉笔者，只有将DNS安全防范放在平时，才能为客户提供稳定、可靠和安全的DNS服务。

　　给DNS穿上坚不可摧的盔甲

　　获悉，蓝讯ChinaCache充分意识到DNS解析的重要性，申请多重业务域名，将客户的业务均匀分布在各个域名中，将风险降到最低。给客户做好备份域名的热备份，并与全国电信运营商保持紧密合作关系，在出现域名污染时，能够及时联系故障发生当地的电信运行商，及早消除故障的负面影响。同时，蓝汛严格遵守业务操作规范，对于业务的操作权限和登录终端进行严格限制。蓝讯还独创性的开发出具有自主知识产权的解析验证系统，自动绕过全球LDNS的缓存，实时直接监控DNS解析的正确性。一旦发生任何异常，将自动给出错误诊断报告，以便采取应急措施。该系统一经推出，深受工行等金融安全行业客户的青睐。

　　专家呼吁加强DNS安全意识

　　百度等知名互联网企业遭受域名劫持，使普通用户上网安全更难保障，黑客极容易将木马等恶意程序植入。DNS基础运营商、站长除了日常做好服务器基础安全漏洞的跟进和修复外，更需提高互联网安全意识。

　　业内人士指出：百度作为全球最大中文搜索网站，却遭受多次被黑事件，且这次故障恢复时间长达5小时，折射出百度对安全技术投入和应急准备明显不足。DNS解析是互联网访问中重要而又脆弱的一个环节，破坏者越来越善于利用DNS体系的脆弱，给我们站长带来一次次沉重的打击，很多公司已经开始选择将DNS服务器的维护交给一些专业公司所解决，比如中国工商银行就将DNS解析和加速安全的维护工作交给了蓝讯ChinaCache。随着DNS技术不断发展，包括IPv6、DNSSEC等新技术和新标准的适用，各DNS软件厂商和CDN运营商，也在不断地推出更多更安全的DNS产品。我们坚信，DNS体系会愈发健壮。