熟悉，又不简单：DNS存在的那些安全隐患

责任编辑：徐振

2014-02-01 10:51:43

而在这个信息技术和互联网飞速发展的时代，陌生和不熟悉就意味不安全和恐惧，而这个不安全因素和恐惧症逐渐转化成现实。许多由于DNS问题引发的网络安全甚至信息安全问题正朝个人、企业甚至是国家袭来。该如何应对？又从哪里开始了解DNS这个既熟悉又陌生的东西？

DNS，这个单词或者名词经常使用PC或者信息设备的人肯定不陌生，而且经常会在网络设置中看到它。但是它究竟是什么，在网络连接中有扮演怎样的角色肯定很多人是非常陌生的。

DNS科普——DNS到底是什么

DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。它是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。

理论上 DNS到底存在哪些安全隐患

DNS作为一种互联网构建的基础，它理论上可能存在的安全隐患主要有以下几个：

1、针对域名系统的恶意攻击：DDOS攻击造成域名解析瘫痪。

2、域名劫持：修改注册信息、劫持解析结果。

3、国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。

4、系统上运行的DNS服务存在漏洞，导致被黑客获取权限，从而篡改DNS信息。

5、DNS设置不当，导致泄漏一些敏感信息。提供给黑客进一步攻击提供有力信息。

实际中 DNS问题涉及的问题更广泛

“1月21日下午3点多钟，淘宝店主孙小姐突然发现无法访问自己的淘宝网页，她马上检查自己的电脑、网络，甚至还更换了浏览器，折腾了半天仍然无法访问，好在几十分钟后恢复了正常。事后孙小姐了解到自己遇到的问题是因为“1.21全国DNS故障”，虽然没有发生什么损失，但孙小姐仍然有些担心，毕竟在几十分钟时间自己失去了对淘宝网店的控制。”

孙小姐的担心不无道理，虽然“1.21全国DNS故障”是偶发事件，但黑客对DNS的攻击每天都在发生，甚至可以把用户访问网银的请求劫持到钓鱼网站，直接盗取网银账号密码!

黑客攻击DNS主要利用路由器“弱密码”漏洞。据某信息安全中心发布的“路由器安全报告”显示，国内30.2%的路由器存在“弱密码”漏洞，只要访问一个带有攻击代码的恶意网页，DNS就会自动被篡改为黑客指定的DNS。全国4.7%的路由器DNS曾经遭黑客篡改。

DNS相当于上网的导航，负责把用户访问的网址指向网站所在的IP。一旦DNS被黑客控制或破坏，其风险非常严重。其中网络信息安全的风险主要有5个方面：

1、网站无法访问、网速变慢，像此次“1.21全国DNS故障”一样，用户无法正常打开淘宝、微博、QQ空间等常用网站;

2、假冒网站盗号，例如把网上银行的访问请求劫持到钓鱼网站或挂马网站，把知名网址导航替换为流氓推广的网址站等;

3、插入广告。在用户访问的正常网站页面上推送色情网页和游戏广告，把电商网站劫持到推广页面，从而赚取推广佣金;

4、窃取上网数据，把受害者输入的网址先劫持到一个上网代理服务IP上，进而中转到目标网站。这时受害者虽然访问的是真网站，但上网数据都已被黑客通过代理服务器暗中记录窃取;

5、网上诈骗，例如在用户访问微博时弹出中奖提示，诱惑受害者缴纳中奖保证金。由于是从正规知名网站弹出的中奖信息，普通网友根本无法分辨真伪。

DNS对于数据和信息的威胁最致命主动防护或是解决之道

虽然从理论上和实际中，DNS的安全问题都会造成许多网络和信息安全的威胁，但是其中，对于个人、企业甚至政府机构数据本身的威胁是最可怕的。原因很简单，在这个数据和信息构成的时代，一旦个人、企业甚至是国家的信息安全遭受窃取，那造成的损害将是难以估量的。

但是，既然知道的什么是最可怕、最致命的，那针对防护之法也就出来了，采用灵活且本源的加密防护技术或是最好的解决之道。

加密并不是一项新科技，但是它对于数据本源的防护效果却是“历史悠久”，在还没信息科技的时代，人们就通过改变信息原本的内容来形成特定的算法来保护数据本身的安全，而发展至今，算法也借由信息科技变得越来越复杂和难以被破译。同时由于加密技术直接作用于数据本身，使得数据即使丢失了、被窃了，加了密的数据依然可以保护数据的真实内容。

既然加密是最好的解决之法，那么面对多样威胁的DNS问题，采用灵活的多模加密技术进行防护又无疑是最佳的选择。

多模加密技术采用对称算法和非对称算法相结合的技术，在确保了数据本源防护质量的同时，其多模的特性能让用户自主地选择加密模式，从而能更灵活的应对DNS带来的各种信息安全的威胁。

其实，由于信息科技和互联网的特殊性，许多普通民众甚至企业在使用它们时并不清楚很多细节和安全隐患，直到许多安全事件被暴露之后才发现。而这种被动的局面是不利于现代信息安全的防护工作的，所以除了逐步提高信息安全的防护知识之外，采用灵活且本源的加密软件防护住本源的数据安全或是最可靠的做法!

dns 安全隐患