關(guān)鍵信息基礎(chǔ)設(shè)施DNS攻擊威脅與防范

摘要：域名系統(tǒng)（Domain Name System，DNS） 是互聯(lián)網(wǎng)中用于將域名解析為IP地址的重要服務(wù)，DNS覆蓋了絕大多數(shù)網(wǎng)絡(luò)活動場景。關(guān)鍵信息基礎(chǔ)設(shè)施涉及國家安全和社會穩(wěn)定，其網(wǎng)絡(luò)服務(wù)的正常運(yùn)行依賴于DNS解析的完整性。DNS攻擊不僅會導(dǎo)致服務(wù)中斷，還可能竊取敏感信息，嚴(yán)重威脅關(guān)鍵信息基礎(chǔ)設(shè)施的安全。因此，研究關(guān)鍵信息基礎(chǔ)設(shè)施面臨的DNS攻擊威脅及其防范措施十分必要。文章梳理了DNS攻擊的類型及其危害，深入分析了DNS攻擊對關(guān)鍵信息基礎(chǔ)設(shè)施的威脅，并提出了技術(shù)與管理協(xié)同的縱深防御體系，以期為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行提供參考。

關(guān)鍵詞：DNS攻擊；關(guān)鍵信息基礎(chǔ)設(shè)施；威脅分析；網(wǎng)絡(luò)安全

中圖分類號：TP393" " " " 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2025）08-0077-03

開放科學(xué)（資源服務(wù)） 標(biāo)識碼（OSID）

0 引言

域名系統(tǒng)是互聯(lián)網(wǎng)功能的基本組成部分，其核心功能是通過遞歸或迭代查詢機(jī)制將域名轉(zhuǎn)換為IP地址。DNS的設(shè)計初衷并非用于傳輸復(fù)雜數(shù)據(jù)，部分入侵檢測系統(tǒng)或防火墻會默認(rèn)放行DNS流量，這為攻擊者利用DNS進(jìn)行網(wǎng)絡(luò)攻擊提供了可乘之機(jī)。近年來，網(wǎng)絡(luò)攻擊手段呈現(xiàn)多樣化趨勢，攻擊者利用DNS進(jìn)行攻擊的方式日益增多，嚴(yán)重危害網(wǎng)絡(luò)安全。

《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》國家標(biāo)準(zhǔn)中明確指出，關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure， CII） 是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等[1]。

當(dāng)前，國際局勢復(fù)雜多變，關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“關(guān)基”） 遭受安全攻擊的事件頻發(fā)。DNS服務(wù)在關(guān)基中具有普遍性，同時，由于DNS本身的脆弱性，導(dǎo)致借助DNS攻擊關(guān)基成為網(wǎng)絡(luò)攻擊者的主要手段[2]。本文梳理了DNS攻擊的主要類型與特點(diǎn)，深入分析DNS攻擊對關(guān)基的威脅，并提出多技術(shù)手段和多管理方式協(xié)同的防范措施，以期為關(guān)基的安全防護(hù)提供參考。

1 DNS攻擊簡介與危害

1.1 DNS攻擊簡介

DNS是互聯(lián)網(wǎng)中用于將域名轉(zhuǎn)換為IP地址的一項(xiàng)重要服務(wù)。DNS主要由根域名服務(wù)器、頂級域名服務(wù)器、權(quán)威域名服務(wù)器和本地域名服務(wù)器四個層級組成，每個層級的服務(wù)器存儲其管轄區(qū)域內(nèi)的映射關(guān)系，通過遞歸和迭代的方式完成域名到IP地址的解析[3]。

DNS攻擊是指攻擊者利用DNS協(xié)議的設(shè)計缺陷、服務(wù)器漏洞或權(quán)限篡改等手段，破壞域名解析過程的完整性與可靠性。其核心目的是干擾正常域名與IP地址的映射關(guān)系，導(dǎo)致網(wǎng)絡(luò)服務(wù)中斷、用戶流量劫持或敏感信息泄露等。根據(jù)DNS攻擊目標(biāo)和手段的不同，DNS攻擊可分為數(shù)據(jù)篡改型攻擊、資源耗盡型攻擊和隱蔽通信型攻擊。DNS部分攻擊示意圖如圖1所示。

數(shù)據(jù)篡改型攻擊的主要方法包括DNS劫持和DNS緩存投毒。DNS劫持是指攻擊者非法篡改域名解析過程，通過注入偽造響應(yīng)報文、篡改本地DNS配置等手段，將用戶請求重定向至惡意IP地址。DNS緩存投毒是指攻擊者預(yù)測遞歸服務(wù)器的事務(wù)ID與源端口號，向遞歸服務(wù)器緩存注入偽造的DNS權(quán)威響應(yīng)，從而污染遞歸服務(wù)器緩存。DNS緩存投毒污染了服務(wù)器緩存，導(dǎo)致后續(xù)同一域名的解析請求均被重定向至惡意IP地址。DNS緩存投毒的影響時間較長，若DNS緩存未清空或更新，將持續(xù)影響用戶的正常訪問。

資源耗盡型攻擊的主要方法包括DNS拒絕服務(wù)攻擊和DNS放大攻擊。DNS拒絕服務(wù)攻擊是指攻擊者向目標(biāo)DNS服務(wù)器發(fā)送超量請求或占用關(guān)鍵資源，導(dǎo)致其無法正常響應(yīng)合法請求。DNS放大攻擊是指攻擊者利用DNS響應(yīng)報文體積顯著大于請求報文的特性，通過偽造受害者IP地址向開放解析器發(fā)送特定查詢，觸發(fā)響應(yīng)報文規(guī)模擴(kuò)大，從而侵占帶寬資源。該類型攻擊會導(dǎo)致服務(wù)器崩潰和網(wǎng)絡(luò)癱瘓，嚴(yán)重影響DNS的正常運(yùn)行。

隱蔽通信型攻擊的典型攻擊方法為DNS隧道攻擊。攻擊者將非授權(quán)數(shù)據(jù)封裝于DNS報文中，繞過安全設(shè)備的檢測，與攻擊者控制的服務(wù)器建立隱蔽的通信信道。DNS的設(shè)計初衷并非用于復(fù)雜數(shù)據(jù)傳輸，入侵檢測系統(tǒng)或防火墻出于便利性考慮，通常會默認(rèn)放行DNS流量，因此DNS隧道攻擊難以檢測[4]。DNS隧道攻擊可以實(shí)現(xiàn)攻擊者與被攻擊主機(jī)之間的持續(xù)通信，為持續(xù)的控制提供便利，成為高級持續(xù)性威脅組織常用的攻擊手段。

1.2 DNS攻擊的危害

DNS是用于域名解析的基礎(chǔ)設(shè)施，其服務(wù)覆蓋了多數(shù)網(wǎng)絡(luò)活動場景。因此，DNS攻擊會對網(wǎng)絡(luò)系統(tǒng)構(gòu)成嚴(yán)重破壞，導(dǎo)致網(wǎng)絡(luò)癱瘓、服務(wù)器崩潰、用戶隱私數(shù)據(jù)泄露等[5]。DNS攻擊的主要危害包括服務(wù)中斷、用戶隱私數(shù)據(jù)泄露、經(jīng)濟(jì)損失、高級持續(xù)性威脅等。

服務(wù)中斷是DNS攻擊最直接的危害。攻擊者通過向DNS服務(wù)器發(fā)送大量偽造的查詢請求，迫使服務(wù)器資源耗盡，無法響應(yīng)用戶的合法查詢請求。這種攻擊不僅影響單個DNS服務(wù)器的正常運(yùn)行，還可通過域名系統(tǒng)的層級結(jié)構(gòu)引發(fā)連鎖反應(yīng)，導(dǎo)致依賴網(wǎng)絡(luò)的行業(yè)大面積服務(wù)癱瘓。

隱私數(shù)據(jù)泄露是網(wǎng)絡(luò)安全的重災(zāi)區(qū)。DNS攻擊不僅導(dǎo)致服務(wù)中斷，還會引起隱私數(shù)據(jù)泄露。攻擊者通過DNS欺騙、劫持等手段將用戶訪問導(dǎo)向惡意IP地址，進(jìn)而截獲或篡改用戶數(shù)據(jù)流中的隱私數(shù)據(jù)。隱私數(shù)據(jù)泄露會給用戶造成人身威脅和財產(chǎn)損失。

DNS攻擊直接引起的服務(wù)中斷會產(chǎn)生經(jīng)濟(jì)損失。在關(guān)基領(lǐng)域，尤其是通信、電力、金融等領(lǐng)域，DNS攻擊會使運(yùn)營商產(chǎn)生巨額的經(jīng)濟(jì)損失。除直接損失外，還會產(chǎn)生維護(hù)成本增加、客戶流失、危機(jī)公關(guān)及法律訴訟等間接損失。

DNS隧道攻擊為高級持續(xù)性威脅組織提供了長期潛伏在網(wǎng)絡(luò)內(nèi)部的機(jī)會。攻擊者采用DNS隧道攻擊的隱蔽手段，持續(xù)傳輸惡意數(shù)據(jù)或指令，對目標(biāo)系統(tǒng)進(jìn)行滲透和破壞。DNS隧道攻擊難以檢測和防范，對網(wǎng)絡(luò)安全構(gòu)成了長期持續(xù)的威脅。

2 DNS攻擊對關(guān)鍵信息基礎(chǔ)設(shè)施的威脅分析

世界格局的復(fù)雜多變使關(guān)基成為網(wǎng)絡(luò)攻擊的主戰(zhàn)場。DNS攻擊作為網(wǎng)絡(luò)攻擊的主要手段，嚴(yán)重威脅關(guān)基的安全。DNS攻擊對關(guān)基的威脅主要體現(xiàn)在關(guān)基業(yè)務(wù)服務(wù)、關(guān)基數(shù)據(jù)、關(guān)基系統(tǒng)控制權(quán)和社會信任體系等方面。

2.1 中斷服務(wù)連續(xù)性

DNS攻擊通過阻斷或干擾域名解析，中斷關(guān)基服務(wù)的連續(xù)性。例如，DNS拒絕服務(wù)攻擊會耗盡服務(wù)器資源，導(dǎo)致網(wǎng)絡(luò)崩潰。關(guān)基的業(yè)務(wù)邏輯依賴毫秒級解析響應(yīng)，服務(wù)中斷會引發(fā)控制指令丟失或協(xié)同邏輯失步。此外，DNS攻擊不僅影響單一業(yè)務(wù)，還會引發(fā)跨系統(tǒng)的連鎖反應(yīng)，造成多區(qū)域、多行業(yè)的服務(wù)級聯(lián)崩潰。

2.2 破壞數(shù)據(jù)完整性

關(guān)基的數(shù)據(jù)流包含高度敏感信息，數(shù)據(jù)完整性是關(guān)基安全運(yùn)行的基石。DNS攻擊通過數(shù)據(jù)包劫持或建立隱蔽通信信道，篡改或竊取敏感數(shù)據(jù)，對關(guān)基的數(shù)據(jù)完整性造成威脅。此外，DNS攻擊還會將非法數(shù)據(jù)封裝至合法流量中，繞過防護(hù)邊界進(jìn)行數(shù)據(jù)篡改。此類攻擊不僅威脅數(shù)據(jù)完整性，還會為高級持續(xù)性威脅提供支持。

2.3 瓦解系統(tǒng)控制權(quán)

關(guān)基業(yè)務(wù)的運(yùn)轉(zhuǎn)離不開指令，關(guān)基多業(yè)務(wù)之間通過指令實(shí)現(xiàn)高度自動化，操作指令的分發(fā)與執(zhí)行依賴安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境。DNS攻擊利用DNS協(xié)議漏洞將控制指令封裝至查詢報文，突破網(wǎng)絡(luò)防護(hù)邊界，對關(guān)基進(jìn)行滲透，逐步獲取核心系統(tǒng)的控制權(quán)。此類威脅會直接動搖基礎(chǔ)設(shè)施的技術(shù)根基，可能引發(fā)物理設(shè)備失控等嚴(yán)重后果。

2.4 社會信任體系崩塌

公眾對政府的信任是社會信任體系的基礎(chǔ)。關(guān)基主要由政府機(jī)構(gòu)主導(dǎo)，其公信力依賴用戶對服務(wù)真實(shí)性的認(rèn)可。DNS攻擊造成的服務(wù)中斷、數(shù)據(jù)泄露等安全問題，會降低公眾對數(shù)字服務(wù)的信任，進(jìn)而引發(fā)對政府和社會的信任危機(jī)，最終導(dǎo)致信任體系崩塌。社會信任體系的崩塌修復(fù)成本遠(yuǎn)高于技術(shù)服務(wù)中斷，可能引發(fā)公眾對政府公信力的長期質(zhì)疑。

3 關(guān)鍵信息基礎(chǔ)設(shè)施防范DNS攻擊的措施

關(guān)基具有不可替代性、復(fù)雜互聯(lián)性和深度耦合性，這些特性導(dǎo)致DNS攻擊對關(guān)基構(gòu)成了嚴(yán)重威脅。基于DNS攻擊對關(guān)基的威脅分析，構(gòu)建基于技術(shù)和管理協(xié)同的縱深防御體系至關(guān)重要。

3.1 強(qiáng)化DNS服務(wù)保障

針對服務(wù)連續(xù)性中斷威脅，技術(shù)層面應(yīng)強(qiáng)化DNS架構(gòu)的彈性與抗壓能力。采用分布式解析架構(gòu)分散流量，部署Anycast技術(shù)，構(gòu)建多地冗余節(jié)點(diǎn)，結(jié)合邊界網(wǎng)關(guān)協(xié)議分流流量，降低單點(diǎn)失效風(fēng)險。針對可能出現(xiàn)的泛洪攻擊，結(jié)合TCP回退機(jī)制與動態(tài)負(fù)載均衡，確保高并發(fā)場景下的可用性。管理層面應(yīng)制定業(yè)務(wù)連續(xù)性計劃，明確故障切換閾值與人工介入流程，基于復(fù)雜網(wǎng)絡(luò)理論構(gòu)建級聯(lián)失效模型，量化攻擊傳播路徑以優(yōu)化資源調(diào)度優(yōu)先級。定期組織壓力測試與紅藍(lán)對抗演練，提升應(yīng)急響應(yīng)的敏捷性。

3.2 防護(hù)數(shù)據(jù)完整性

針對數(shù)據(jù)完整性破壞威脅，技術(shù)層面應(yīng)聚焦增強(qiáng)協(xié)議安全與異常行為檢測。權(quán)威服務(wù)器、遞歸解析器及關(guān)基終端應(yīng)強(qiáng)制實(shí)施DNS安全擴(kuò)展（Domain Name System Security Extensions， DNSSEC） ，結(jié)合數(shù)字簽名與信任鏈驗(yàn)證，確保解析結(jié)果的完整性與真實(shí)性。采用DNS over HTTPS（DoH） 、DNS over TLS（DoT） 或DNS-over-QUIC（DoQ） 方式加密傳輸協(xié)議，防止流量篡改。遞歸服務(wù)器應(yīng)實(shí)施緩存動態(tài)凈化策略，自動清理污染緩存。管理層面應(yīng)將DNSSEC部署與加密傳輸協(xié)議納入關(guān)基安全基線，通過第三方機(jī)構(gòu)定期審驗(yàn)協(xié)議實(shí)施的有效性。DNS查詢?nèi)罩九cDNSSEC驗(yàn)證結(jié)果應(yīng)采用分布式存儲，確保日志的不可篡改性和可追溯性。此外，應(yīng)嚴(yán)格評估第三方DNS服務(wù)商的安全性，限制非授權(quán)遞歸解析器的接入權(quán)限，并建立供應(yīng)商黑名單機(jī)制以降低外部風(fēng)險。

3.3 提升基礎(chǔ)設(shè)施抗毀能力

針對系統(tǒng)控制權(quán)瓦解威脅，技術(shù)層面應(yīng)部署覆蓋行為監(jiān)控和流量分析的防護(hù)系統(tǒng)。實(shí)時監(jiān)測異常DNS請求并阻斷惡意進(jìn)程。結(jié)合信息熵與機(jī)器學(xué)習(xí)等方法實(shí)現(xiàn)DNS隧道檢測。部署零信任架構(gòu)，限制關(guān)基設(shè)備僅能訪問業(yè)務(wù)必需的DNS服務(wù)與端口。管理層面應(yīng)建立白名單機(jī)制，僅允許授權(quán)應(yīng)用發(fā)起DNS解析請求。模擬DNS隧道攻擊場景，驗(yàn)證端點(diǎn)檢測與防護(hù)系統(tǒng)的有效性，優(yōu)化響應(yīng)流程。此外，應(yīng)建立設(shè)備指紋庫與安全狀態(tài)評估模型，通過網(wǎng)絡(luò)準(zhǔn)入控制動態(tài)調(diào)整終端的DNS訪問權(quán)限，實(shí)時阻斷非法終端的接入。

3.4 構(gòu)建動態(tài)信任模型

社會信任體系是長期逐步形成的，包括用戶對關(guān)基運(yùn)營商的信任和關(guān)基運(yùn)營商與DNS服務(wù)商之間的信任。技術(shù)層面應(yīng)在關(guān)基內(nèi)部部署私有根區(qū)，減少對公共根服務(wù)器的依賴。將HTTPS證書鏈與DNSSEC信任錨綁定，實(shí)現(xiàn)數(shù)字身份驗(yàn)證的雙重一致性，確保服務(wù)身份的真實(shí)性。基于圖神經(jīng)網(wǎng)絡(luò)構(gòu)建信任傳播模型，動態(tài)評估DNS解析路徑的可信度，實(shí)時檢測異常。管理層面應(yīng)建立關(guān)基態(tài)勢感知平臺，不同關(guān)基業(yè)務(wù)之間聯(lián)合共享情報，實(shí)現(xiàn)DNS攻擊的早期預(yù)警與聯(lián)合響應(yīng)。積極推動DNS治理體系改革，參與資源公鑰基礎(chǔ)設(shè)施的全球部署，通過多邊合作機(jī)制提升根區(qū)管理的透明度。同時，應(yīng)推進(jìn)關(guān)基運(yùn)營商定期發(fā)布DNS安全態(tài)勢報告，公開解析服務(wù)的可用性指標(biāo)與安全事件處置進(jìn)展，加強(qiáng)透明度建設(shè)以增強(qiáng)公眾對服務(wù)的信任。

4 結(jié)束語

關(guān)基是指關(guān)乎國家安全、國計民生的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，DNS是關(guān)基業(yè)務(wù)運(yùn)行的基礎(chǔ)。關(guān)基業(yè)務(wù)在技術(shù)和管理上高度復(fù)雜耦合。因此，亟須研究防范DNS攻擊的多方協(xié)同防御體系。本文針對關(guān)基領(lǐng)域的DNS攻擊威脅和防范措施展開研究，提出多技術(shù)手段和多管理方式協(xié)同的縱深防御體系。DNS攻擊方式多樣、隱蔽性強(qiáng)，對關(guān)基構(gòu)成長期嚴(yán)峻的安全挑戰(zhàn)，后續(xù)仍需對高性能網(wǎng)絡(luò)環(huán)境下的DNS攻擊檢測方法進(jìn)行深入研究。

參考文獻(xiàn)：

[1] 國家市場監(jiān)督管理總局，國家標(biāo)準(zhǔn)化管理委員會.信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求：GB/T 39204—2022[S].北京：中國標(biāo)準(zhǔn)出版社， 2022.

[2] 李建華，唐俊華.關(guān)鍵信息基礎(chǔ)設(shè)施安全威脅與防護(hù)[J].中國網(wǎng)信，2024（3）：79-83.

[3] 王青，韓冬旭，盧志剛，等.惡意域名檢測方法研究進(jìn)展[J].信息安全學(xué)報，2024，9（5）：229-249.

[4] 鄭智強(qiáng)，王銳棋，范子靜，等.DNS隧道檢測技術(shù)研究綜述[J/OL].計算機(jī)應(yīng)用，2024：1-16.（2024-10-28）[2024-11-10].https：//kns.cnki.net/kcms/detail/51.1307.TP.20241028.1045.004.html.

[5] 章堅武，安彥軍，鄧黃燕.DNS攻擊檢測與安全防護(hù)研究綜述[J].電信科學(xué)，2022，38（9）：1-17.

【通聯(lián)編輯：代影】