域名服務器DNS在Internet通信中具有舉足輕重的作用，它負責對域名和IP地址進行轉換。正是因為它的作用重要，這些服務器往往具有較高的系統配置，通常位于高速主干網上，以便快速響應大量用戶的查詢請求。另外，由于域名服務系統的分布性和開放性，域名服務器常常被安置在防火墻的外面。這些特征使其成為黑客進行攻擊的優選目標。目前，黑客對DNS服務器的攻擊主要有三種方法：地址欺騙、拒絕服務和遠程漏洞入侵。

地址欺騙攻擊利用了RFC標準協議中的某些不完善的地方，以達到修改域名指向的目的。當黑客控制著一個或多個Internet上正式運行的DNS服務器時，黑客可以指定這些服務器負責解析某個區域，并且在這個區域內加入大量偽造的數據(A記錄、NS記錄等)，然后黑客使用DNS查詢工具向受害者的DNS服務器發送一個遞歸查詢請求，引誘受害者的 DNS服務器去查詢黑客的DNS服務器，黑客的DNS服務器在返回的查詢結果中包含了那些事先偽造的數據，受害者的DNS服務器在收到查詢結果后，將此結果送回黑客的查詢工具，同時也緩存了查詢結果中的偽造數據。這樣，黑客通過修改自己的DNS服務器上的數據，可以使被攻擊的DNS服務器返回任何錯誤的地址指向。

針對DNS服務器的拒絕服務攻擊有兩種，一種攻擊針對DNS服務器軟件本身，通常利用BIND軟件程序中的漏洞，導致DNS服務器崩潰或拒絕服務。這種攻擊很容易對付，只要為BIND軟件安裝相應的補丁程序或更新軟件即可。另一種黑客攻擊的目標不是DNS服務器本身，而是利用DNS服務器作為中間的“攻擊放大器”，去攻擊Internet上其他的計算機，導致被攻擊的計算機拒絕服務。黑客首先向多個DNS服務器發送大量的查詢請求，這些查詢請求數據包中的源IP地址為被攻擊主機的IP地址，DNS服務器將大量的查詢結果發送給被攻擊主機，使被攻擊主機所在的網絡擁塞或不再對外提供服務。通過限制查詢主機的IP地址可以減輕這種攻擊的影響，但是不可能從根本上解決這個問題。

由于BIND服務器軟件的許多版本存在緩沖區溢出漏洞，黑客可以利用這些漏洞遠程入侵BIND服務器所在的主機，并以root身份執行任意命令。這就是針對DNS服務器的遠程漏洞入侵攻擊。這種攻擊的危害性比較嚴重，黑客不僅獲得了DNS服務器上所有授權區域內的數據信息，甚至可以直接修改授權區域內的任意數據，同時可以利用這臺主機作為攻擊其他機器的“跳板”。

為了保護域名服務器DNS的安全，建議采取以下措施。

1.使用最新版本的DNS服務器軟件

Internet上當前使用最廣泛的DNS服務器軟件為BIND(Berkeley Internet Name Domain)，它可以運行在各種UNIX平臺上，某些版本也支持Windows NT平臺。BIND軟件是一個免費軟件，由Internet軟件協會(Internet Software Consortium)開發和維護。BIND軟件分為兩個系列：版本4系列和版本8系列。Internet軟件協會強烈建議使用BIND 8系列中的版本8.2.2+P5。最新版本的DNS服務器軟件雖然消除了大部分目前已知的漏洞，但并不意味著DNS服務器的徹底安全，因為隨著新漏洞的發現，“最新版本”將成為不安全的舊版本，這時必須使用更新的軟件版本或安裝相應的補丁程序。Internet軟件協會網站的地址為http：//www.isc.org，最新的BIND軟件可以從它的FTP服務器下載。

2.關閉遞歸查詢和線索查找功能

    如果可能，關閉BIND服務器的遞歸查詢功能，這將使DNS服務器進入被動模式，即它決不會向外部的DNS發送查詢請求，只會回答對自己的授權域的查詢請求，因此不會緩存任何外部的數據，所以不可能遭受地址欺騙攻擊。另外，還應該關閉線索查找功能。通常DNS服務器在返回查詢結果時，如果結果中包含NS記錄而沒有NS記錄對應的A記錄，那么DNS服務器會去查找這個A記錄，這種情況叫線索查找。使用這個功能可能導致欺騙攻擊。

3.限制對DNS進行查詢的IP地址

DNS服務器接收的查詢請求按照來源可分為兩類：來自外部其他DNS服務器的查詢請求和來自本地網絡主機的查詢請求。DNS服務器之間的查詢使用交互方式(非遞歸方式)。來自外部DNS服務器的查詢，其查詢對象常常為被查詢DNS服務器所負責管理的授權區域內的數據。來自本地網絡主機的查詢一般都使用遞歸方式，其查詢對象既可以是被查詢 DNS服務器所負責的授權區域內的數據，也可以是外部的非授權區域的數據。如果查詢對象是授權區域內的數據，則DNS服務器直接將內存或緩存中的結果返回給進行查詢的主機；如果查詢對象是外部的非授權區域的數據，則DNS首先在緩存中進行查詢，如果找到匹配的結果則返回給進行查詢的主機，否則將查詢請求發送給外部的DNS服務器。早期版本的BIND軟件沒有限制進行查詢的IP地址的功能，Internet上任何主機都可以向DNS服務器發送遞歸或非遞歸查詢請求，DNS服務器都進行回答。這不僅讓他人可能濫用DNS服務器，黑客還可能利用這個功能欺騙DNS服務器，因此需要限制對DNS進行查詢的IP地址，僅允許指定IP地址網絡的主機查詢外部的非授權域。

4.限制對DNS進行遞歸查詢的IP地址

如果遞歸查詢請求來自不允許的IP地址，則應該將此查詢以非遞歸查詢對待。

5.限制區域傳輸

區域傳輸一般用于主DNS服務器和輔DNS服務器之間的數據同步，當主DNS服務器對其所管理的授權區域內的數據進行改動后，輔DNS服務器按照規定的時間間隔使用區域傳輸從主DNS服務器獲取改動后的信息，然后刷新自己相應區域內的數據。利用區域傳輸功能，還可以獲得整個授權區域內的所有主機信息，這正是黑客所感興趣的內容，根據這些信息，黑客可以輕松地推測網絡結構，并從主機的域名信息判斷其功能或發現那些防范措施較弱的計算機。BIND軟件的默認設置允許任何人進行區域傳輸。因此，必須在配置文件中加以限制。

6.限制對BIND軟件的版本信息進行查詢

黑客為了利用特定版本BIND軟件的漏洞，首先需要確定BIND軟件的版本號，默認情況下，BIND服務器軟件不限制對自身版本號的查詢，任何人都可以很容易地獲取BIND軟件的版本號。因此需要限制對BIND軟件的版本信息進行查詢。

為了保證DNS服務器的安全運行，不僅要使用可靠的服務器軟件，還要對DNS服務器進行正確的配置。