域名安全事件频发 如何防范与应对？

原因：域名服务体系存在薄弱环节

根据中网发布的《2011中国域名服务及安全现状报告》中的数据显示：对国内重要信息系统所涉及的域名抽样统计发现，57%的域名解析服务处于有风险的状态，其中11.8%的域名因配置不当而处于较高风险的状态。

完整的域名服务体系由递归域名服务系统（即本地域名服务器）、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。我们访问一个网站需要在全球网络中完成对应这四个层次的查询。任何一个层级发生故障，都将导致相应范围的网络应用瘫痪，大到国家和某个地区的网络全面瘫痪，小到单个网站无法访问。

在这四个层级当中，根和顶级域名的服务情况良好，二级和二级以下域名服务状态比较差。我们知道，域名服务体系最顶层是根，根下面是顶级域。根与顶级域是由ICANN（The Internet Corporation for Assigned Names and Numbers，互联网名称与数字地址分配机构）指定的一些专业机构或公司进行管理，如中国互联网络信息中心（CNNIC）负责管理.cn这个国家顶级域名，VeriSign公司负责管理.com域名，因此根与顶级域名一般不会出问题。不过瑞典也曾经因为数据出错，而导致.se这个以瑞典国家为后缀的所有域名在互联网上消失了，这种情况比较少见。

最容易出问题的就是二级和二级以下的域名，安全事故一般都是围绕这一级的域名发生。拥有域名的企业常常采用两种方式进行域名解析：一种方式是企业自己购置域名服务器进行域名解析，另一种方式是托管。“在中国缺乏专业的第三方域名托管服务商，一般都使用由注册商提供的、没有安全保障的、免费的域名解析服务。”邢志杰说。

此外，递归域名解析环节也容易发生故障，这个环节一旦出现问题，损失与影响都很大。递归域名解析服务主要由ISP网络接入服务商，如电信、联通和移动，以及一些中小ISP提供。“519断网事件”发生之后，运营商越来越重视这一环节的安全，这部分的服务状态会好一些。

“519断网事件”又被称为“519暴风门事件”。5月19日21时起，南方六省出现严重网络故障，成为自2006年海底光缆断裂以来最严重的一次大规模网络堵塞事件。事件起因源于暴风影音的域名托管在免费的域名注册商那里，而这样的域名服务商的服务器里可能为几十万域名提供解析服务。当时该服务商还托管着私服，游戏公司之间的攻击非常频繁，导致暴风影音的域名解析也因此受到了影响。

有1.2亿的用户电脑上装有暴风影音的软件，暴风影音软件的部分在线服务功能必须基于baofeng.com域名的正常解析，这些电脑同时发出对暴风影音网站域名的解析请求的时候，却找不到解析服务器。用户电脑产生的巨量域名解析请求拥塞了为这些用户提供服务的各地电信运营商的本地域名服务器，就会导致多个省份的本地域名服务器出现故障甚至无法提供正常服务。而后，这些本地域名服务器的其他互联网用户也无法上网，其实际效果相当于DDoS攻击。暴风影音称其在此次事故中直接经济损失达238万元人民币；电信运营商则损失更大，有文章推测六省加起来损失应该过亿元。

对策：第三方域名服务托管渐成趋势

美国域名服务提供商Verisign提供的调研报告显示：美国采用在线运营方式的大中企业中，约63%的企业在过去的一年内经历过DDOS的攻击，约53%的公司在过去一年内经历过系统崩溃事件，其中33%是由于DDOS攻击引起的。51%的公司表示系统崩溃事件使他们遭受损失。

域名安全所带来的损失让企业痛心疾首，尤其是那些以网络为基础的互联网公司，如搜索引擎公司，电子商务平台等等。上文中提到的百度、暴风影音等公司的惨痛教训足以让企业对域名安全刻骨铭心，并且让同类公司引以戒。那么对于这些依托网络运营的企业来说，怎样才能保障自身的域名安全呢？

1. 采用安全的操作平台和域名解析软件

域名解析服务系统所用的DNS软件极其重要，如果因配置不当或升级延迟，那么软件存在的漏洞很容易被黑客利用。近几年来，开源并且免费的软件BIND被广泛使用，在国内的应用率达到了80%以上。开源的软件的很多漏洞在业内是公开的，一旦该软件出现严重安全漏洞，互联网服务体系将面临崩溃的危险。因此，邢志杰建议企业应采用安全的操作系统和域名解析软件，尤其是一些重要的域名解析应该采用商用的、经过安全加固的软件。这种软件是收费的，但是服务商会提供完善的运营服务。不过无论是收费、还是免费的软件，企业都要定期关注软件商发布的最新安全漏洞，定期升级软件系统。

2. 分布式部署

在域名安全防护方面企业需要采用分布式部署的方式。把一台服务器作为域名解析服务器，或者只为域名解析建立一个节点的情况下，一旦域名所在的节点出现线路故障、被攻击、机器故障、软件漏洞等情况，就会使域名解析出现问题。邢志杰建议重要的域名应该建立三个以上节点，并且分布在不同的机房、不同的运营商那里。一旦某个节点出现问题，另一个节点能够继续提供服务，不会影响域名解析的连续性。

3. 要有应急预案，具备应急备份的能力

企业的域名解析服务器被攻击或出现问题的时候，企业需要具有应急备份能力。不过企业建立多个分布式节点，投资会比较大，维护起来也非常困难，邢志杰建议在可能的情况下，可以选择第三方域名服务商帮助自己建立完善的应急机制。

4. 借力专业第三方域名安全运维服务商

Verisign提供的调研报告表明：自主管理DNS服务器的公司，可靠率只有90.13%，而使用第三方管理DNS服务器的公司，DNS可靠率可以达到98%；自主管理的，也就是自建的DNS服务器发生宕机的机率是第三方提供DNS服务器的2倍。在美国市场上，企业越来越接受把DNS外包，请专业的运维服务商来帮助运维管理。

刑志杰建议对域名安全有较高要求的企业可以把域名解析托管到专业提供域名解析服务的第三方服务商那里。国内目前专业提供域名解析服务的厂商并不多，中网针对中高端用户提供了不同级别的服务。近日，在中网域名云服务的发布会上，中网董事长毛伟公布了其域名云服务产品分为三个级别：专业版、行业版和旗舰版。刑志杰则在会后的媒体专访环节中透露了这三个产品的价格：专业版针对没有太多交互信息的中型企业，年收费2万元；行业版主要针对对域名安全有较高要求的电子商务企业、政府和金融机构，年收费10万元，目前，已有人民搜索，暴风影音，易车网等互联网公司与中网初步达成合作意向；而旗舰版则针对高端客户，满足客户定制的管理需求，并根据其用户数量及访问量，收费从几十万到上百万元不等。

如果企业规模比较大，已经建立了完善的信息系统，拥有自己有域名服务器，具备域名解析的能力，邢志杰建议这类企业无需放弃原有的域名服务设备，只需在第三方服务商那里增加一项远程备份服务。第三方服务商的服务节点比较多，比如中网目前在全球已经有8个节点，由不同的运营商提供支持。企业原来可能只有一、两个节点，在中网备份之后，企业就相当于在原来的节点基础上增加了8个节点，当企业的域名解析在某一节点出现问题的时候，其域名解析不会受到影响，而且应对访问请求的解析能力会提高，服务能力得到增强。备份除了让企业域名的安全性得到提高以外，还能够实现让用户就近访问，提高访问的速度。“备份效果好，企业就可以慢慢把自建的部分去掉，全部托管。”邢志杰说。

如果企业并没有在域名解析这方面有投资，比较经济的方式是把这项工作托管到专业的第三方服务商那里。“域名很重要，但是企业自己建一个好的域名解析平台：多点运维、定期维护，消耗的人力和财力比较大。采用托管方式投资更小，维护起来也更加方便，也符合越来越细化的分工趋势。”邢志杰说。而在一些特定行业，比如银行，因为管理需要，一些重要的信息系统要求自建，那么中网也可以为其提供相关的软、硬件支持。

对于网站域名安全没有特别要求的中小型企业，这些企业可能大部分没有设置域名解析服务器，有些企业的网站空间还租用的是虚拟主机，那么域名解析可以仍然采用域名注册商提供的免费域名解析服务。不过，随着企业不断发展壮大，当域名安全、网站访问速度等对于企业的业务拓展、品牌塑造越来越重要时，企业就应该考虑把域名解析服务托管在专业的第三方域名解析服务商那里。

域名无论是作为传统企业的网上展示平台、电子商务的窗口，还是作为互联网企业的命脉，都显示了其重要性--企业在互联网上是否存在。企业的域名解析出现问题，中断了服务，一方面给企业带来经济损失，另一方面给用户体验带来负面的影响。因此，企业需要重视域名的管理，构建更加安全、智能的互联网域名基础架构，保障域名运维的安全畅通。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友