目前多数校园网都同时接入多个运营商，多出口路由和域名解析问题曾经困扰着不少大学校园网管理人员。

　　最近几个月以来，一些校园网的用户和管理人员发现学校的DNS服务器陆续出现无法正常提供递归域名解析服务的情况，也有一些校园网发现一些知名的网站(如www.baidu.com, www.qq.com)域名解析出现奇怪的现象，很多用户和管理员面对这些现象仍然很困惑。

　　域名系统的安全性一直是互联网运行安全的关键之一。在国际上，DNSSec作为域名系统安全的一项重要措施，近年来也出现了新的进展。这些新的技术是否可以解决我们校园网域名解析面临的安全问题？

　　为此，我们组织了关于DNS安全防护策略的讨论，本期沙龙相聚在合肥中国科技大学，邀请清华大学、中国科技大学、郑州大学、上海聚川技术公司等相关专家，介绍和分析如何部署DNS安全防护措施，更好地保障学校的网络运行和安全。

　　DNS 安全的背景及事件分析

　　DNS的安全问题不容忽视！不要让DNS成为校园网安全的短板！

　　问题DNS服务攻击具有以下的特点：利用最少的资源，发动最具破坏力的攻击、利用最少的攻击，获得最大的收益、可以轻易绕过严密安全防护。

　　当前，DNS面临的风险包括：拒绝服务攻击、域名劫持、错误的配置、软件漏洞、缓存污染、中间人攻击、DNS恶意指向。

　　这些风险中引发的事件，多数由于管理环节的疏漏，以及DNS配置复杂性、缺乏一个有效的快速更新机制等原因引起的，下面分别举例说明：

　　Key1 拒绝服务攻击

　　攻击使用大量的请求或是流量湮灭DNS服务器，使得DNS服务无法正常提供服务。

　　典型案例：

　　暴风影音攻击事件——蝴蝶效应

　　2009年5月19日晚，由于暴风影音的域名出现无法解析的故障，而用户端的暴风影音软件持续发送大量的DNS解析请求形成了对DNS递归查询服务器的Ddos攻击，导致多省的网络服务中断。

　　事件背景：

　　DNSPod——免费的动态域名解析服务提供商，拥有ns1.dnspod.net至ns6.dnspod.net六台DNS解析服务器，为30万个域名提供权威解析服务。每天的解析请求达20亿次。

　　暴风影音——国内著名的免费媒体播放软件，拥有1.2亿的用户装机量。DNSPod的用户之一。

　　事件回放：

　　1. 游戏私服互斗，导致攻击DNSPod的服务器，瞬间的攻击流量达10G；

　　2. 电信的IDC 为避免影响网络，在路由上禁封了DNSpod的IP地址，导致DNSPod无法提供正常的DNS解析服务；

　　3. 暴风影音软件会定期自动访问自己的主站获取信息，由于域名无法解析就持续发送解析请求；

　　4. 大量的暴风影音用户持续发送域名解析请求导致递归解析服务器的资源耗尽，形成拒绝服务攻击；

　　5. 用户无法获得DNS解析服务，导致网络应用瘫痪。

　　事件分析：

　　1. DNSPod的管理和IDC的责任心问题。

　　2. 暴风影音的管理和更新机制问题。