DNS安全为何是网络安全的核心？

对于大多数公司和用户来说，DNS可以分为三个基本类别：内部权威DNS，外部权威DNS和递归DNS。总的来说，DNS（域名系统）是一个分布式系统，为IP地址映射提供域名，以便用户和应用程序可以利用结构化命名约定来记忆和连接到分布式的服务，而不是用难记的IP地址访问这些服务。这很像在电话联系人列表中记住朋友或同事的姓名，而不是记住他们的实际电话号码。

内部权威DNS 负责回答来自企业的内部用户，应用程序，服务器和网络基础设施的所有DNS查询，保证它们与企业的网络和服务连接并进行交互。例如对于Active Directory，最终用户的系统必须执行DNS查找以定位域控制器及其服务。分层的应用程序将执行DNS查询来查找Web服务器，数据库服务器，存储等等。内部权威DNS尽可能快地提供了所有这些答案——通常每秒处理数千个查询——所以服务响应时间（例如电子邮件检索和网页浏览器中的网页加载）没有明显的延迟。内部权威DNS应包含所有公司基础设施的所有这些IP到名称的映射。

外部权威DNS 为互联网上公开可用的DNS域和DNS记录提供相同类型的查找服务。对于客户到达指定公司的公开网站或向该公司发送电子邮件，必须查询该公司的外部权威DNS服务器。查询响应提供相应的IP地址让客户工作站或移动设备来建立连接。

递归DNS 负责代表客户端或其他DNS服务器处理对其不具有权威性的域和记录的查询。例如，当您要求您的内部DNS服务器查询它非权威的记录（例如www.google.com）时，它可以配置为递归到互联网根DNS服务器以开始解析答案或者到第三方递归DNS服务为您提供答案。

为什么DNS是网络安全的核心

为什么DNS如此重要？如果您的内部DNS表现不佳或者不可用，那么您的所有应用程序的性能将会很差或者会明显下降。如果您的内部DNS受到攻击，那么攻击者将对您的网络上的所有服务一目了然并且可以十分容易到达目标服务器。黑客也可能会控制和更新DNS记录，将您的内部流量重定向到他们自己的恶意目的地。

如果您的外部DNS表现不佳或不可用，则客户可能无法联系您的网站或向您的企业发送电子邮件。如果网络体验不佳，客户可能会流逝或转向竞争对手。外部DNS表示您的品牌和互联网的可用性，根据您的业务性质，可能会对您的品牌和收入产生重大影响。不安全的外部DNS可能会悄悄地将您的客户引向恶意网站，欺骗您的网站以窃取客户信息或拦截电子邮件。

如果您的递归DNS表现不佳或者不可用，您的互联网访问就会变得无效或严重退化。这是因为您无法快速解析任何外部网站或资源的IP地址。不安全的递归DNS可能会导致您在不知情的情况下进入恶意或受损目的地。不安全的递归DNS会导致进行恶意软件通过DNS 与命令与控制（C2）通信，另外数据泄露也会经常利用不安全的DNS服务。

DNS安全是网络安全的核心，所有企业必须重视。针对企业的DNS我们必须问自己如下四个问题：

总而言之，当我们设计一个DNS架构时，仅仅从带宽和QPS查询性能上来考虑是远远不够的，我们必须考虑到我们需要一个可以伸缩的安全DNS，网络安全的核心离不开DNS的安全。