【IT168 应用】DNS解析是Internet绝大多数应用的实际定址方式；它的出现完美的解决了企业服务与企业形象结合的问题，企业的DNS名称是Internet上的身份标识，是不可重覆的唯一标识资源，Internet的全球化使得DNS名称成为标识企业的最重要资源。

　　然而重要的资源就可能引起有心人士的关心，随着Internet上DNS攻击事件的发生，DNS的安全问题也成为大家关心的焦点，常见的方式为：

　　1、针对DNS系统的恶意攻击：发动DNS DDOS攻击造成DNS名称解析瘫痪。

　　2、DNS名称劫持：修改注册讯息、劫持解析的结果。

　　当DNS服务器遭遇DNS Spoofing恶意攻击时，不管是正常DNS查询封包或非正常的封包都经由UDP Port53进到内部的DNS服务器，DNS服务器除了要处理正常封包外，还要处理这些垃圾封包，当每秒的封包数大到一定的量时，DNS服务器肯定无法处理了，此时正常的封包请求，也一定无法得到正常的回应，当查询网站的IP无法被回应时，用户当然连接不到网站看不见网页，如果是查询邮件服务器时，那邮件也无法被寄出，重要的资料也无法被顺利的传递了，因此，维护DNS服务的正常运作就是一件非常重要的工作。

　　针对以上的问题AX有一个解决方式，就是DNS应用服务防火墙，AX在这问题有三个有力的方法，可以有效的缓解这些攻击所造成的影响：

　　1、首先将非DNS协定的封包过滤(Malformed Query Filter)

　　2、再来将经由DNS服务器查询到的讯息做缓存(DNS Cache)

　　3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制(Connection Rate Limit)

　　Malformed Query Filter:

　　这种非正常的封包通常都是用来将对外网络的频宽给撑爆，当然也会造成DNS服务器的忙碌，所以AX在第一线就将这类的封包过滤，正确的封包传递到后方的服务器，不正常的封包自动过滤掉避免服务器的负担。

　　DNS Cache:

　　当DNS查询的回应回到AX时，AX可以预先设定好哪些Domain要Cache哪些不需要Cache,如果有Cache,当下一个同样的查询来到AX时，AX就能从Cache中直接回应，不需要再去DNS服务器查询，一方面减轻了DNS服务器的负担，另一方面也加快了回应的速度。

　　再者，当企业选用此功能时更能仅设定公司的Domain做Cache,而非关此Domain的查询一律不Cache或者拒绝回应，这样更能有效的保护企业的DNS服务器。

　　而ISP之类需提供大量查询的服务，更适合使用此功能，为DNS服务提供更好更快的回应。

　　Connection RateLimit:

　　当查询的流量大到一定的程度时，例如同一个Domain每秒超过1000个请求，此时在AX上可以启动每秒的连线控制，控制进入到后端DNS服务器的查询量，超过的部分直接丢弃，更严格的保护DSN服务器的资源。

　　相信许多人期待在日新月异的网际网络中看到创新的网络技术，并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的，这也是一切网络应用服务的基础。