在互聯網全球化進程日益加快的今天，數據和網絡基礎設施已經成為企業或組織的核心，員工、合作伙伴和客戶之間的聯系、重要的業務進程都越來越依賴于互聯網的支撐，而提供IP地址和域名轉換的DNS系統，是實現網絡應用必不可少的前提，對確保企業互聯網化運作可謂功不可沒。

DNS作為網絡基礎設施的一個根本部分，關系到企業的生產力，但正是因為DNS應用的這種普及性和不可替代性，它又是一個主要的攻擊途徑。雖然很多企業正在全力以赴地應對網絡安全威脅，以期能檢測和規避常見及專業的網絡攻擊，但遺憾的是，大多數企業并沒有對DNS安全起到足夠的重視，使企業的數據、資產和信譽都處在風險之中。思科2016年度安全報告指出，近91.3%的“已知不良”惡意軟件被發現使用DNS作為主要手段，但68%的企業卻忽略了這個問題，并沒有對DNS解析器進行監測，思科非常形象地把這稱作“DNS盲點”——DNS是互聯網上最常見的協議，但它卻成為了最容易被忽視的。

為什么是DNS？攻擊者會抓住任何互聯網服務或協議的漏洞來發動攻擊，這當然也包括DNS。思科2016年安全報告顯示，惡意軟件一般通過DNS實現命令與控制(Command and Control)信道、竊取數據和重定向流量等三個目的。

攻擊者曾使用很多信道與他們的僵尸網絡或惡意主機通信，比如TCP、IRC或HTTP等，但通過這些通道的惡意軟件流量都可以被防火墻等網絡安全設備或方案檢測到并阻止。但對于DNS而言情況卻并非如此。由于DNS服務的不可替代性，而企業又缺乏對DNS安全的重視，所以幾乎所有類型的網絡都會允許DNS數據報文不受限制地訪問網絡，而不對其流量進行過濾或檢查。惡意軟件正是利用了這一點，通過在DNS協議中構建隧道，進行命令控制和數據滲漏。比如通過DNS響應來接收指令，并利用DNS查詢請求，傳送竊取到的數據，如用戶或企業的敏感信息。利用DNS隧道技術的攻擊近年來逐漸上升，規模也越來越大，比如2013年針對Target、2014年針對Sally Beauty和家得寶的攻擊，都是將竊取的數據偽裝在DNS查詢到數據包中外泄出去;而針對POS(Point of Sale銷售點)的惡意軟件族NewPosThings在今年四月也出現了新的變種Multigrain，客戶端感染Multigrain惡意軟件后，Multigrain會使用精心設計的DNS請求包告訴攻擊者已經成功在目標主機上進行了安裝，之后它會抓取目標機上的信用卡數據(如賬號密碼等)，將數據進行加密后，每隔5分鐘使用DNS查詢將新的數據發送給攻擊者。除了隧道技術，當客戶端與受感染或惡意的DNS服務器進行交互的時候，正常的域名請求響應可能因為DNS緩存投毒或DNS重定向而被劫持，引導至惡意網站或被惡意代碼感染。

當然，除了惡意軟件，還有很多網絡攻擊也離不開DNS，比如APT攻擊、垃圾郵件、僵尸網絡和掛馬網站等，它們都在利用DNS伺機攻擊企業的網絡。根據Forrester(一家獨立的技術和市場調研公司)最新發布的亞太地區漏洞管理趨勢調研報告顯示：在過去的一年中，80%的公司曾遭受至少一次的攻擊，最常見的是釣魚和基于DNS的攻擊。

盡管DNS是很多攻擊的源頭，但大多數企業并沒有對DNS基礎設施進行監控。對于他們來說，DNS可能僅是一種實用工具，是在后面運行的系統，只要DNS能正常運行，那些隱藏在DNS流量之下的危險就可以忽視不管了。不能任由DNS躺在那里，門戶大開了。為此US-CERT(United States Computer Emergency Readiness Team美國計算機應急小組)提出應控制企業內網到外網的DNS流量來保證DNS請求和響應的安全性：即只能向企業內部被授權的DNS緩存域名服務器發起請求和接收響應，不允許直接使用外網DNS系統。具體措施包括自建企業DNS緩存服務器，對企業DNS流量進行監控和過濾，除了內網DNS緩存域名服務器和授權域名服務器，對所有向53端口發送和接收的UDP和TCP流量進行阻止和過濾。除了這些具體措施，國內DNS解決方案提供商泰策也一再強調DNS基礎設施建設的重要性，呼吁企業盡快建立自己的DNS系統：一方面對DNS流量進行必要的監控和管理，這是檢測潛在惡意網絡活動的一個重要工具;另一方面對DNS數據報文進行分析和處理，阻斷對惡意鏈接的訪問，避免垃圾郵件、掛馬網站、僵尸網絡和釣魚網站的侵害。此外，落實DNS基礎設施建設也不僅僅是一項未雨綢繆的舉措，DNS數據中有大量的信息可向企業提供網絡內部發生的情況，在企業遭受基于DNS的安全威脅時，DNS就有了更多的用武之地，大量的DNS數據記錄可幫助網絡安全人員分提取有效信息、進行必要的取證和防護處理。總之，DNS是所有在線服務的立足之本，DNS安全涉及企業安全根本，重視DNS，正是此刻。