加强DNS安全系数

　　暴风也波及了校园网。5月19日晚，中国科技大学网络中心张焕杰在其博客上说，发现多对异常*.baofeng.com的 DNS 请求。此外，多所高校也发现5月19日DNS服务存在异常情况。

　　提及此事，CERNET国家网络中心李星教授表示：“这件事情给我们的警醒是：一，机制不能太复杂，二，网络不能太‘天真’，三，应用不能太流氓。”

　　李星认为，如果这件事影响到了一些校园网，最主要的原因是某些校园网内DNS解析服务器的缺失。他表示，CERNET一直没有提倡集中的、统一的域名解析，主张DNS解析服务应该归属到各个校园网，校园网应有自己的DNS解析服务。这次案例说明，“从来就没有什么救世主”，将宝押在商业的DNS解析服务器上，那么安全风险必然存在。

　　DNS是一个沉默的技术，过多人忽视DNS本身的技术而较为关注根域名服务器的安全问题，而DNS服务本身被忽视了。而该事件让大家重新关注DNS的技术问题，尤其是配置策略。

　　李星教授表示，互联网多年的发展，从理论和实践上证明DNS的机制是经得住考验的。目前全球有十三个DNS根域名服务器,采用的是逐级Cache的机制。互联网的快速扩张,但是这么多年根服务器都没有崩溃,原因就是全球的根服务器利用了anycast任播技术和Cache缓存技术,起到了一个负载均衡的作用。

　　由于互联互通的问题，中国大陆地区存在许多域名解析服务提供商，使网络服务本地化、本网化，DNSPod就是其中之一。但遗憾的是，这种机制开始复杂化，同时由于DNSPod是一个免费的服务，服务能力有限，没法大规模地实施和维护。许多提供商表示其DNS解析服务绝对是安全的，但是事实上没有绝对安全的服务。

　　此外，李星表示，无论是运营商的网络还是校园网，任何服务都要有监测有保护。比如这次中国电信断网，在事故出现之后，如果有一个应急响应的策略，通过自己进行解析，也可以马上解决问题。“所以，从网络来说，不能太天真了，一定要自己保护自己。”

　　配置DNS应有总体策略

　　该事件提醒校园网的是，要有充分的、合理的、优化的DNS服务器配置策略，从DNS服务器管理员角度来说，需要增强DNS服务器的安全性，并且增加监控手段。

　　中国科技大学网络中心张焕杰表示，为了增强DNS服务的安全性，常见的做法是分开建立两类DNS服务器，一类是自己域信息的发布服务器，用于让其他服务器来查询自己域的信息，这类服务器可以禁止递归查询；另一类是解析服务器，用于给自己的用户提供查询服务，这类服务器允许自己的用户进行递归查询。

　　另外，对DNS服务器要进行优化。CERNET国家网络中心NIC负责人朱爽表示，可以在服务器中留出一部分空间做缓存，这样的话，遇到相同的域名就不需要重新到商业服务器中查询了。

　　她同时表示，校园网要实施优化的DNS服务配置策略。需要遵循以下几个方面。

　　首先，合理配置DNS服务器。避免单点故障、配置至少两台服务器；操作系统多样化，可以选择BSD, Linux, Solaris等。

　　她表示，在这次事故中，在清华大学，基于BSD操作系统的DNS域名解析服务器没有出现问题，而基于Solaris的就出现了问题；DNS服务软件及时更新，比如如果是BIND软件，应使用BIND9的最新版本；设置访问权限，只允许本地用户访问本地的DNS服务器；指导用户正确设置。校园网用户所有DNS设置都应是本地可控的DNS服务器。对外界公开的DNS服务器保持审慎。