DNS是互联网重要组成部分，它负责将域名与IP地址进行相互转换。近年来，随着网络应用和业务的不断发展，网络攻击事件日益频繁，DNS系统也遭受到了一系列的攻击，因此DNS安全逐渐受到人们的关注。那么针对DNS攻击类型有哪些？DNS防护措施有哪些呢？本文，防御盾针对这个问题做下简单介绍。

DNS攻击类型有哪些？

1.DDoS攻击

DDoS攻击不仅只针对web服务器，DNS服务器也会遭受DDoS攻击。针对DNS服务器的攻击有两种：一种是针对DNS服务器本身发动大量的解析请求，最终导致DNS服务器崩溃或拒绝服务；一种是将DNS服务器当作“中间人”去攻击网络中的其他主机。黑客使用被攻击的IP地址对多个DNS服务器发送大量的查询请求，DNS服务器就会将大量的查询结果返回给被攻击主机，使被攻击主机无法提供正常服务。

2.DNS劫持

DNS劫持的基本工作原理是为客户端返回一个错误的解析记录，将用户引导至一个错误的服务器IP或使得网站访问不可达。DNS劫持主要有三种攻击方式：第一种是DNS缓存投毒，DNS缓存投毒是利用了DNS缓存机制，将错误的缓存结果注入DNS服务器缓存中，当客户端请求时为其返回错误地址；第二种是DNS信息劫持，攻击者监听DNS会话，猜测DNS服务器响应IP，提前将错误的响应返回给客户端；第三种是DNS重定向，这种方式是将DNS名称查询重定向到受攻击者控制的DNS服务器上，然后攻击者在受控制的DNS服务器上添加错误的解析记录，并将错误结果返回给客户端。

3.系统漏洞

Bind目前是最常用的DNS服务软件，目前绝大多数DNS服务器都是基于bind运行的，与其他软件一样，bind也存在众多安全漏洞。目前主流的操作系统如windows、UNX、Linux均存在不同程度的系统漏洞和安全风险，操作系统的漏洞也能对DNS安全造成较大影响。

DNS安全防护措施有哪些？

DNS系统面临着来自内部和外部的两种风险，因此要提升DNS的安全性，就需要从构建DNS外部防护体系和DNS内部防护策略两方面出发。

1.DNS外部安全防护体系

DNS外部安全防护体系需要将边界路由器、防火墙策略和端口管理、负载均衡策略等软硬件防护策略结合起来，构建立体化的DNS安全防护体系。

2.DNS内部安全策略

DNS协议或者软件设计与配置上的漏洞会被黑客利用，并向DNS发起攻击以达到非法目的。使用最新版的Bind可以大大提高DNS的安全性。此外，通过采取DNSSEC安全协议为解析数据进行加密，限制DNS递归服务器的缓存能力以及在域名解析时设置较小的TTL值等方式，也能有效提升DNS解析的安全能力。

由于DNS在互联网中的重要角色以及其缺乏足够的安全验证机制，导致DNS越来越受到网络攻击的关注，因此了解DNS攻击手段以及提升DNS安全防护能力，对于提升网站的安全十分必要。