DNS与校园网

　　在3月份欧洲反垃圾邮件组织Spamhaus宣称遭受300G流量以上DDoS攻击后不久，4月在高校也发生了一起针对DNS服务器的同种攻击事件。DNS安全对校园网来说同样值得警钟长鸣。

　　相关人士表示，目前校园网内的DNS安全攻击主要有：DDoS攻击、缓存中毒等。

　　最近几年，DNS被用作DDoS攻击的事件屡见不鲜。上海交通大学邹福泰分析认为，其原因有：1. DNS包不受防火墙限制并且具有连续高速发包的优势。2.广泛存在的开放递归服务器，成为天然的好资源。Open DNSResolver Project已统计了近3000万的开放递归服务器，并在持续增加中。3.EDNS0的支持越来越普遍，使得DNS攻击具有放大效应。如一个70字节左右的请求包可达到数K字节的攻击包。“可以预见，如果我们不加防范，这种利用DNS的放大攻击事件将会越来越严重。”

　　邹福泰表示，针对攻击放大的原理，可以限制EDNS0。但这有一定的负面影响，因为IPv6以及DNSSEC需要EDNS0，否则对于任何大于512解析响应包都转为TCP传输会对DNS服务器带来较大的影响。因此，比较好的安全实践是限定可请求解析的IP地址，不在限定IP范围内的请求都拒绝。在目前主流的DNS服务器做这种安全配置都是很容易的。

　　在DDoS攻击中，有一些通过路由器来进行。郑州大学张子蛟介绍说，目前一般高校都是一个宿舍分配一个IP 地址，宿舍里几个学生通过路由器上网。但共用路由器会带来新的安全问题。有的路由器用户名和密码都是admin，而且不会提示修改用户名及密码。这样很容易让攻击趁虚而入。一般情况下，学校DNS服务器一秒钟的用户请求数为数千次，但在有僵尸网络的情况下，一秒钟会有数万次的用户请求。而且，成为僵尸的机器会不断影响网内的其他机器，使僵尸机器大范围扩散。

　　针对此，郑州大学的解决方式是，只让校内用户使用学校所提供的DNS服务器，将DDoS攻击降低到一个较小的范围。

　　在目前DNS安全现状下，必须实施可行的安全策略。张子蛟表示，可通过设置DNS网关的办法解决此问题，其最大特点是，DNS协议做不到的事，DNS体系难以做到的事，可以由DNS网关实现。在个性化需求和DNS规范之间进行妥协。只要保证DNS网关与其他DNS服务器和客户端的接口符合DNS协议和标准即可。

　　另外，值得关注的一点变化是，DNS服务器成为越来越重要的安全防护关卡。尤其是目前各大网站为了达到一个良好的负载均衡效果，几乎都是通过DNS别名实现域名的分布式服务，不支持对IP 地址的直接访问，这意味着未来DNS的安全将更加重要。校园网作为一张连接了千万人的大网，连接了校园与校外，其涵盖的不安全因素也多种多样。这些安全隐患可为攻击者利用，因此，对DNS服务器管理人员来说，应当加强DNS安全配置，以减小安全风险，提升校园网DNS的安全感。