什么是DNS解析？如何提升DNS解析安全？

DNS解析是保障网站正常运行的一项重要服务，DNS解析出现故障，就会导致网站无法被访问或者被劫持到其他的站点，对业务正常开展造成很大影响，因此网站管理人员要高度关注DNS解析的安全，才能确保网站的正常运转，那什么是DNS解析？如何提升DNS解析安全性呢？

什么是DNS解析？

DNS解析是互联网中一项重要基础服务，它负责将简单的域名翻译成可由计算机识别的IP地址，从而实现人机交互并通过域名而不是复杂的IP地址去访问web服务器，获取相应的信息和服务。因此DNS解析在整个网络互联体系中充当着导航系统的角色，其重要性不言而喻。如果DNS解析出现故障，则域名和IP地址之间的指向关系就会出现问题，往往会导致通过域名无法打开网站，或者访问到一个错误的网站。

DNS安全问题有哪些？

DNS在设计之初只考虑了实用性，没有相应的验证机制，所以安全性较低，经常成为网络攻击的重点对象。

目前针对DNS的攻击主要有两种：

一种是DNS DDoS攻击，也就是针对DNS服务器发动攻击，造成DNS服务器的线路拥堵或宕机。DNS服务器发生故障，将无法及时回应递归服务器发起的解析请求，从而会导致其所管辖的所有域名都无法正常解析，这样造成的危害比单独针对web服务器发起攻击要大得多。

另一种是DNS劫持，DNS劫持就是通过错误的域名解析记录代替正确的记录返回给客户端，将客户端引导至错误的IP地址，从而达到流量劫持，获取非法收益的目的。DNS劫持可通过DNS缓存投毒、修改NS记录等方式达成。

如何提升DNS解析安全？

（1）构建DNS外部安全防护体系

将边界路由器、防火墙策略、端口管理、负载均衡等软硬件防护策略结合起来，构建起坚实的DNS外部安全防护体系。

（2）设置DNS内部安全策略

使用最新版的bind，可以消除软件设计上的明显漏洞，大大提升DNS安全性，此外还可以通过DNSSEC安全协议为解析数据进行加密，从而确保DNS解析数据不被篡改。

（3）使用高防DNS

中科三方云解析支持高防DNS，通过弹性宽带功能，可以有效抵御超大流量解析访问和恶意的DNS DDoS攻击，此外高防DNS具备流量清洗、健康监测和DDoS防火墙改功能，可以对DDoS攻击形成有效的清洗和防御。