在两年多的实际运行中，我们对DNS网关的运行流程和策略进行多次调整，在多次网络攻击和病毒爆发中表现良好，为校园网用户提供了稳定快速的DNS服务。

图5 IP地址黑名单

　　原来每年在新学期开始，校园网会新接入大量学生的计算机。由于这些计算机未打补丁或未升级病毒库，所以网络攻击的发生率较高。很多老师学生的计算机中了木马或病毒对别人进行攻击还不知道。当应用了DNS网关后，这些IP地址的使用者就能通过IP黑名单及时发现自己中了病毒并采取有效措施，这种攻击的情况便会及时得到较好的解决。

　　日常情况下，几乎每天会有IP地址被列入黑名单，但一般也就是几个到几十个，数量不多。而当网络病毒大爆发时，最多会有800多个IP地址进入黑名单，这时需要有针对性地发布网络公告，告知校内用户查杀病毒的方法、提供专杀工具。

　　正常的DNS运行样例见图6，峰值为252×2=504次/秒。

图6 正常的DNS运行曲线（绿线）

　　一个遭受攻击的样例见图7，峰值为365×7=2555次/秒。有两个IP参加了攻击，第一个IP从16:10开始，16:21被列入黑名单，攻击结束。第二个IP从16:18开始，16:30被列入黑名单，攻击结束。

图7 遭受攻击时的DNS运行曲线（绿线）

　　图8是一次对DNS实施的兼有缓冲区漏洞溢出和DoS特点的攻击日志。本次攻击具有三个特点：

图8 一次DoS攻击日志

　　1.来源IP地址是伪造的，且无明显规律。
　　2.所请求的域名异常，分3到6段，每段为88个“x”，域名长度为264至528个字符。而根据RFC1035的规定，域名的每一段不允许超过63个字符，域名总长度不超过255个字符，DNS报文不能超过512个字符。因此这有可能会导致一些通用DNS软件的缓冲区溢出。
　　3.攻击强度达到每秒3万多次。
　　在本次攻击中，由于攻击者伪造了IP地址，而且地址不停地变换，因此DNS网关的IP黑名单机制起不了任何效果，但它对域名的格式分析机制发挥了重要作用，将这些DNS请求报文过滤掉，所以对DNS服务未造成太大影响。

　　DNS网关的研制虽然基本达到了预期的目标，但作为一个应用性很强的系统，研究工作还将继续。其中包括对IPv6域名解析的全面支持、自治性域名系统的实现、基于网络拓扑的域名服务、DNS网关本身的冗余和负载均衡、基于数据库的海量域名缓冲等。特别是新的木马和网络病毒、新的攻击手段层出不穷，需要不断地根据新情况调整和升级防护策略，才能确保DNS网关的长期安全。

　　(作者单位为郑州大学网络管理中心)

　　来源：《中国教育网络》2009年1-2月刊