DNS是互联网最关键的基础设施之一，它最主要的功能是将域名与IP地址进行映射。随着互联网应用的发展，DNS被赋予越来越多的职责。然而，由于DNS协议设计之初并没有足够的安全考虑，协议缺陷、实现和配置缺陷等一系列问题一直以来都威胁着DNS的安全运行。

　　2008年，Dan Kaminsky提出的一种DNS缓存中毒攻击方法引起学术和企业界对DNS安全的广泛关注，时至今日绝大多数DNS服务器都已实现了源端口随机化以加强对缓存中毒攻击的防御。2009年“暴风”事件造成全国多省网络瘫痪，促使运营商重视并加大对DNS运行安全的投入。

　　尽管如此，DNS安全现状依然不容乐观。一方面，利用DNS发起的各种DDoS攻击泛滥，对DNS服务的正常运行，乃至整个互联网都构成了极大的威胁；另一方面，大量配置和维护不当的DNS服务器正在成为攻击者的帮手。

　　DNS反射放大攻击

　　DDoS攻击可以说是目前最难防御的攻击方式之一，如今大规模的DDoS攻击流量都在100Gbps以上，DNS反射是攻击者放大攻击流量的常用手法。

　　DNS反射攻击利用易于伪造的UDP源IP地址、互联网上数量庞大的开放解析器和DNS回答尺寸的高放大比三个关键因素，达到了可观的DDoS流量放大效果。事实上许多基于UDP的协议都可以用作反射攻击，如NTP、SSDP等，近期都被攻击者利用，但互联网上DNS的反射源（开放解析器）数量是最多的。

　　Open Resolver Project持续探测互联网上的开放DNS解析器，尽管近一年来开放解析器数量呈缓慢下降趋势，但至今全球依然有超过2000万个IP地址响应DNS请求。2014年5月我们做的教育网范围内的调查也显示，教育网内有2万多个IP地址响应DNS查询，其中6663个能够提供正确的递归解析。

　　DNS反射攻击主要利用以下几个DNS技术和方法。首先，攻击者发送的DNS请求通常启用EDNS0扩展，以突破DNS消息通过UDP传送时的512字节限制，使服务器向受害者发送更大尺寸的响应包。在利用现有正常域名进行反射攻击时，攻击者通常发送ANY类型的请求，要求服务器返回该域名所有类型的资源记录。同时，攻击者倾向于选择支持DNSSEC的域名，利用RRSIG数字签名记录的大尺寸来达到较好的放大效果。DNS反射对流量的放大比例最高可达90倍以上。

　　在我们的监测中发现的另一现象是，一些攻击者注册了专门用于反射攻击的域名。这些域名有的设置了上百个A记录IP地址，有的在TXT或MX记录中填入大量无意义内容用于增加回答尺寸，如图1所示。利用自己注册的域名进行反射放大，可以控制回答的尺寸，避免回答尺寸过大被截断。

图1 TXT记录反射攻击域名示例

　　互联网上每一个开放的DNS服务器都可能成为攻击者进行DNS反射攻击的帮手，作为DNS服务的运行和管理者，有责任杜绝自己管理的DNS服务器被DDoS攻击利用。

　　对于递归（缓存）服务器，其服务的对象通常是一定范围内的，对于高校网络而言，递归服务器一般只为校园网内的用户服务。因此，可以配置ACL规则，只响应校园网IP地址范围内的主机请求，对于来自其他源地址的DNS查询，采取拒绝（回答REFUSED）或丢弃（无任何回应）的方式处理。