問題DNS服務攻擊具有以下的特點：利用最少的資源，發(fā)動最具破壞力的攻擊、利用最少的攻擊，獲得最大的收益、可以輕易繞過嚴密安全防護。

 

    當前，DNS面臨的風險包括：拒絕服務攻擊、域名劫持、錯誤的配置、軟件漏洞、緩存污染、中間人攻擊、DNS惡意指向。

 

    這些風險中引發(fā)的事件，多數由于管理環(huán)節(jié)的疏漏，以及DNS配置復雜性、缺乏一個有效的快速更新機制等原因引起的，下面分別舉例說明：

 

    Key1拒絕服務攻擊

 

    攻擊使用大量的請求或是流量湮滅DNS服務器，使得DNS服務無法正常提供服務。

 

    典型案例：

 

 

    2009年5月19日晚，由于暴風影音的域名出現無法解析的故障，而用戶端的暴風影音軟件持續(xù)發(fā)送大量的DNS解析請求形成了對DNS遞歸查詢服務器的Ddos攻擊，導致多省的網絡服務中斷。

 

    事件背景：

 

    DNSPod——免費的動態(tài)域名解析服務提供商，擁有ns1.dnspod.net至ns6.dnspod.net六臺DNS解析服務器，為30萬個域名提供權威解析服務。每天的解析請求達20億次。

 

    暴風影音——國內著名的免費媒體播放軟件，擁有1.2億的用戶裝機量。DNSPod的用戶之一。

 

    事件回放：

 

    1.游戲私服互斗，導致攻擊DNSPod的服務器，瞬間的攻擊流量達10G；

 

    2.電信的IDC為避免影響網絡，在路由上禁封了DNSpod的IP地址，導致DNSPod無法提供正常的DNS解析服務；

 

    3.暴風影音軟件會定期自動訪問自己的主站獲取信息，由于域名無法解析就持續(xù)發(fā)送解析請求；

 

    4.大量的暴風影音用戶持續(xù)發(fā)送域名解析請求導致遞歸解析服務器的資源耗盡，形成拒絕服務攻擊；

 

    5.用戶無法獲得DNS解析服務，導致網絡應用癱瘓。

 

    事件分析：

 

    1.DNSPod的管理和IDC的責任心問題。

 

    2.暴風影音的管理和更新機制問題。

 

    Key2域名劫持

 

    攻擊者通過各種手段修改權威服務器上域名的NS或者A記錄的指向，達到劫持該域名的目地。

 

    典型案例：

 

 

    2010年1月12日百度域名被劫持，導致多個地區(qū)在長達4小時內無法正常訪問百度，有的地區(qū)在24小時后才恢復正常。

 

    事件背景：

 

    Register.com——美國域名注冊代理服務商，提供.com的域名注冊服務，你只需提供一個有效的郵件地址和相應的費用便可在Register.com上注冊你想要的域名(前提是該域名還未被別人注冊)，之后你可以隨時使用該郵箱和設置的密碼登錄Register.com的網站修改你注冊域名的ns記錄或A記錄的指向。

 

    百度——國內最大的搜索服務提供商，baidu.com域名的擁有者，該域名通過Register.com公司注冊。

 

    事件回放：

 

    攻擊者冒充百度的代理商聯系Register.com公司的客服人員(通過在線聊天軟件)要求修改注冊時使用的郵箱。

 

    Register.com公司的客服人員在經過不完善的認證后將baidu.com域名的注冊郵箱改成了antiwahabi2008@gmail.com；

 

    黑客使用密碼重置功能獲得baidu.com域名管理帳號密碼，并登錄系統(tǒng)修改了baidu.com的域名指向；

 

    百度發(fā)現問題后無法用自己的帳號登錄修改域名指向，只能通過聯系Register.com公司的客服來進行處理，由于時差的關系聯系進展緩慢，導致問題出現4個多小時后才得以解決。

 

    事件分析：

 

    1.域名注冊的管理問題：商業(yè)化運作，管理混亂，沒有監(jiān)管機制；

 

    2.根域名管理權問題：根域名控制在少數一些國家手中。