1、DNS 安全威胁

    下面是攻击者对于 DNS 结构进行威胁的常见方式：

 “跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。

 “拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。

 “数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。

 “重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。

    2、减轻 DNS 安全威胁

    可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。

表1 点击看大图