DNS服务器安全问题已很严重4月7日，在第七届站长大会“域名&IDC产业与发展高峰论坛”上，唯一网络总经理许渊培表示，DNS安全问题已非常严重，唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。

4月7日，在第七届站长大会“域名&IDC产业与发展高峰论坛”上，唯一网络总经理许渊培表示，DNS 安全问题已非常严重，唯一网络将在定期更新服务器、预警和监控、多点部署等方面提升安全保障。

以下为演讲实录：今天在这里非常感谢给这个机会让我在这里跟大家交流一点关于DNS在保护方面的经验或者说方法。

下面要讲的是近年来域名安全方面的一些比较大的事件。

我们目前DNS服务面临的安全挑战。

包括我们如何保障DNS服务的安全。

唯一网络DNS安全解决方案。

09年的时候有一个非常著名的事件，就是519的事件，主要是因为一些DNSPOD用户，域名互相攻击造成DNSPOD档机，不断地向它进行请求，这些所有请求的压力全部转到运营商的服务器上去，包括南方六省的服务器全部崩溃，造成整个南方六省的断网。

在这个事件里面，电信在南方六省的网络基本瘫痪了。

包括联通、铁通在内也受了很大的影响。

移动互联网的用户相对少一些，所以他们受的影响相对较小。

2010年1月份有一个很大的事件，就是百度的域名被劫持，主要是因为百度的美国运营商因为安全方面的问题，百度的域名DNS被篡改了。

整个DNS被换掉以后，访问百度以后是一个被黑客黑掉的页面。

2010年另外一个事件，DDOS攻击，最后攻击量达到50G。

2012年时候，DDOS攻击，造成Sedo停机3小时，后来官方修复之后也发了公告，包括对域名停放业务的用户一个很大的补偿。

如果一旦DNS出现问题以后，整个互联网就基本上可以说是完全瘫痪了。

DNS我们目前为止面临的安全挑战主要有几个方面。

第一是软件漏洞。

目前作为全球DNS服务软件是最高的使用量，我们目前有13台服务器，主要的漏洞包括缓冲区的移出漏洞，黑客可以使用简单的一个查询的命名，可以让整个服务器档机。

借此由此获得整个服务器的权限。

第二个DNS面临的安全问题就是DNS欺骗。

常见的几种方式，比如说缓存投毒，包括DNS 劫持。

我们用一些特定的方式可以直接修改缓冲区的一些记录，因为主要提供的是DNS的服务，基本上把所有的域名投入缓存，最后已经不可控了。

所以关于DNS的安全问题是非常非常严重的。

DDos攻击的话又分成很多种形式，比如说用流量攻击的形式，SYN FLood等等。

在保证DNS服务安全方面，我们认为通过四个方面组成一个有机的整体，保证DNS服务的安全。

首先我们看看软件服务器方面的安全。

我们需要定期的更新相关的服务器，一旦官方报出一些高危漏洞的时候，我们需要及时地弥补它。

采取一些认知审核，包括远程登录的端口，各种方式保证服务器本身的安全。

运维及管理体系，作为域名提供的服务商，我觉得需要一支高效和非常迅速的运维队伍专门应对DNS的安全事件。

在遇到攻击或者档机的情况下的时候，我们有一支高效的团队能够及时地把问题发现并处理。

其实在遇到DNS事件的时候，人为或者管理方面的错误造成的档机事件也是时有发生。

比如说09年的时候，瑞典的.SE，就是因为管理员在做配置文件的时候没有注意少了一个点，让整个运营在网上消失。

再有就是预警和监控。

我们需要在DNS采取7×24小时的监控。

包括服务器的本身的响应速度上面都需要有安全的循环和安全的人员做相应的监控。

然后就是网络安全。

现在针对DNS的攻击大部分都是像DDOS，或者是查询工具。

在这方面我们有自己的一些解决方案。

DNS服务器我们目前建议域名提供商采用多点部署的方案，尽量不要采用单点部署。

例如某一个数据中心出问题的时候，那么肯定DNS服务就完全中断了，采用多点部署，比如几个不同的数据中心部署不同的DNS服务器，就算有某一个数据中心由于物理连接的问题出问题，至少有其他的数据中心能够保证服务的延续。

比如说某个数据中心内部的立体式防护，整个互联网的接入，从柜机交换机下来以后第一层是防火墙的保护，主要做的上层的大流量的清洗，通过这层防火墙的过滤，可以把大部分攻击过滤掉，通过第二层保护，是针对DNS服务器本身的防御。

DNS网关是我们目前正在研发中的一个产品，它有几个比较重要的一个功能。

比如我们DNS网关可以针对域名查询的一些数据做一个基础的建模。

比如说单位时间内域名解析的总量，整个DNS域名服务器解析的总量，单位时间内域名请求失败的总量，也可以做一个单位时间内的建模。

再有单个域名查询总量的一个数据，当这三个数据有异常的时候，DNS网关可以针对这个情况做特殊处理。

比如说对管理人员报警，有各种声音的方式、短信的方式、邮件的方式，告诉DNS管理员它已经出现异常了。

到底是遇到了DNS攻击还是流量攻击，这种情况下对于我们判断具体的攻击情况是非常有帮助的。

正常的DNS工具有两种情况，一种是伪造IP的海量查询，还有一种是真实IP的查询。

通过DNS网站都可以对这两种查询做一个基本的判断。

那么在三层防火墙上通过智能的保护切换，包括IP也好，域名也好，这是我们部署的一个方案和建议。

希望所有域名界的朋友能够多交流，对我们日后DNS的安全方面能够有一个更好的方案来为整个互联网公众做服务。

就算那些嚣张一时的攻击威胁是愚蠢的言论，我们也不妨来假设一下，如果黑客真的要击垮整个互联网，他们将如何下手？在前面提到的威胁中，黑客显然将矛头指向了DNS漏洞，这是否也给IT安全经理们敲响了警钟？他们在未来应该更加关注DNS漏洞，因为一旦DNS的漏洞被利用，就可能带来难性的后果。

四个主要的DNS漏洞：· DNS IPv6漏洞——从“DNS Quad-A attack”攻击场景到IPv4与IPv6的交叉穿织，都为攻击者指出了一条发动DDoS洪水攻击的途径。

·公用DNS服务器上的漏洞——公用DNS(BIND, DJBDNS, MS, OpenDNS) 域名根服务器允许缓存域名记录在被删除的情况下依然活跃。

这也许不是什么漏洞和错误，但的确是DNS在设计上的一个瑕疵。

·内部威胁——当今黑客发起攻击的目的已经不仅仅是为了获取经济利益。

近来，我们看到了一个让人不安的趋势，一些信息安全专业人士也加入了黑客队伍之中，其目的是为了某种意义上的“正义”。

·社会工程学——在过去的24个月中，每一起破坏较大的网络攻击在初期所采取的入侵策略都是利用各种社会工程学漏洞(这一点多见于以经济利益为目的的攻击行为)。

当今黑客得逞的动力：以Anonymous 和LulzSec为代表的黑客组织，究竟具备哪些特征才最终得逞呢?黑客攻击之所以得逞，主要源于以下几点：·狂热的激情——黑客的斗志是攻击得逞的关键因素。

·不断收集可利用的漏洞——Anonymous的成员会收集全世界范围内所有有关DNS根域名服务器运行、设计和安全的知识，并找出加入利用和攻击的弱点和潜在漏洞。

·无穷尽的资源——黑客组织能够利有的资源取决于他们能在全世界激发起多少跟随者的偏执和狂热。

Radware安全副总裁Carl Herberger认为：“只有保持高度警觉，并且团结所有热衷网络安全事业的安全人士才能在网络安全防御战争中的竖起坚固的堡垒。

”着力构建科学的网络安全防护体系各位同仁下午好!非常高兴有这个机会，中国联通在安全防护上做一个介绍，做一下交流，有很多在安全方面的服务的需求，一些合作的机会。

在这之前，因为我这是一个当时准备的材料，内部给领导汇报的材料，有些内容过一下，应该说在目前我们这个大的环境下，网络安全，钓鱼网站，网页串改、垃圾邮件等等，都面临一些安全问题，应该说我们业界有一个说法，尤其跟互联网相关的，比较起来非常的安全，这本身也是有些非常传统的，比如我们的病毒，僵尸，刚才强调的针对互联网、云计算，移动互联网最新面临的一些问题。

应该说这些问题本身都有一个身体的特点，一个是低门槛，一个是广泛性，一个是趋利性，目前越来越多的敌意性。

低门槛都可以看到这个结构，某一个控制成败上万各，趋利性从安全问题出现以来，是一直存在的，并且整个形成一个产业链。

在广泛性上我们也可以了解一下，2010年的时候，原来可能都针对我们计算机网络的，后来针对工业控制平台，专业网络无线的出现了，再一个是我们敌意性，应该说从国家安全的角度来说，海陆空天，到网络空间是成为第五围的国际战略空间。

这明显一个，当时伊朗暴露，可能没有明确的举证，大家都认为这是一个非官方的，是一个有官方背景的，类似于战略性的攻击。

应该说从90年代，我们从当时的工程开始到现在为止，我们整个网络应用，这些服务越来越多的以互联网的基础上承载在网络上面，空间系统，印痕证券、保险，医疗教育制造业，包括游戏，各个方面，包括我们现在，尤其是我们的智能手机，在智能手机上的应用，跟我们个人生活工作是紧密相关的，他们本身针对安全问题，尤其是个人，相应一些企业，包括我们的国家，都是有很大的危险的，包括最早的熊猫烧香病毒，519断网，客户信息的泄漏等等，天涯网客户信息的泄漏，这些事件给我们一次次敲响了警钟。

跟专家聊天的时候也认为，有时候天涯的信息泄漏，很长时间形成一个泄漏的状态，如果说大家调查前，我们会有更多的事件发生，或者已经发生。

目前我们面临网络安全的现状，中国联通在这方面开展相应的工作，今天的发言分四个部分，第一个部分是安全防护工作政策的一个回顾。

整个行业到我们企业的工作情况，这是我们电信研究院，介绍一下防护背景，最早应该从公安部门，计算机系统的一个安全保护，到后来形成的整个信息系统的防护，一直到通信行业，通信安全防护，这个在通信行业是工业信息化部负责进行管理。

从通信角度来讲，大概正式开始是从2008年，一个是当年颁布的一系列的各个专业网络的人员防护的行业规范，开展针对奥运的一些单元的安全检查，到09年开始，开展3G以上的一个检查，2010年是一个比较关键的事件，2010年工信部的十号令管理办法出台，目前开展的工作，基于十号令来做的。

到现在应该说从2010年开始，包括今年，形成比较正规的体系在推进。

这是十一号令主要的一些内容，明确了这个概念，原则，谁运行谁负责的这样一个工作要求。

以及三同步，最后把网络单元按照影响的程度，分成了一二三四五级。

包括我们单元的划分，一些备案，以及对二级三级进行评测评估，这种时间的要求，进行不同的明确。

这是我们这个通信行业的网络体系，包括一个管理指南，系列专业的安全防护的一些规范，这是我们开展检查工作的一个基础。

应该说安全防护工作包括三部分内容，一个是安全等级保护，一个是安全风险保护，一个是灾难备份及恢复，风险评估方面，对于我们基层人员来说，社会识别，可能有一些方面的基础，操作起来还是非常困难的。