潜在的缺点

　　3月份，一场DDoS攻击引发。这次攻击吸引了安全界人士的目光，其原因在于攻击峰值前所未有。高达300Gbps的攻击峰值让即使是专门提供云安全网络服务的专业厂商也几临崩溃。这又一次让人们重新审视DNS的安全。

　　30年前，保罗·莫卡派乔斯(Paul Mockapetris)在南加州大学信息科学学院提出了关于DNS 体系结构的RFCs882和883，本质上就是我们今天所使用的DNS。从那以后，DNS成为互联网重要的基础设施之一。正如许多事物一样，在它诞生的第一天里，人们就意识到了它的好处，但其潜在缺点却在日后慢慢显现。

　　与很多其他互联网协议一样，DNS的初始设计场景为可信环境，并没有过多考虑安全问题。互联网在发展过程中出现多种针对DNS的攻击。早期Steve Bellovin所发现的DNS欺骗攻击，以及2008年Dan Kaminsky发现的一种高效的缓存污染（DNS Cache Poisoning）攻击都曾震动整个网络安全学术界和工程界。

　　保证DNS的健壮运行主要体现在两个方面：一是性能，即保证域名解析过程的速度；二是安全，即保证域名和IP 地址对应关系的正确性。性能是DNS设计之初着重考虑的因素。其整体架构的高度可扩展性和简洁的查询协议使得DNS从1983年以来的30年中，面对持续指数级增长的网络用户和应用，在初始设计几乎没有任何变化的情况下仍然能够高效稳定运行，但是安全性却始终是DNS的软肋。

　　在国内，互联网也多次吃过DNS安全的亏。4年前的5月，由暴风影音引起的域名查询泛滥使得DNSPod当机，造成多个省份互联网中断。2010年1月，百度域名被劫持，DNS解析被篡改，网民访问百度的结果是看到一个被黑客黑掉的页面。

　　“作为互联网基础设施，一旦DNS出现问题，整个互联网就会混乱甚至瘫痪。”相关人士表示，DNS目前为止面临的安全挑战主要有几个方面。第一，域名欺骗。包括缓存感染、域名劫持、DNS重定向等常见的几种方式。第二，DDoS攻击。数据显示，自2010年以来，数10Gbps的DDoS攻击已是常事，而本文一开始提到的针对云安全厂商的攻击则刷新了DDoS攻击记录。未来会不会有比这更强的网络攻击？这种流量的DDoS攻击会不会演变为未来的常态？极有可能。因为在安全领域一直是：“道高一尺，魔高一丈。”

　　互联网的历史告诉我们，许多系统在一开始就可以成功，如果它拥有成功的设计。然而，随着用户规模的成长，系统将面临“成长的烦恼”。这时，它就要做出改变。