互联网世界里的任何事情都是瞬息万变。此刻还处于正常运行状态的服务器、网络，可能在下一秒钟由于不知道原因的故障而瘫痪。

　　全球竞争的展开，要求企业当前IT部门提供应用和解决方案推动营收业绩的提升，这增加了IT部门的压力，使他们面临诸多难题：预算紧张、员工更习惯于采用过时的IT模式工作，培训新技术的时间或资源有限。有什么好方法能将IT核心人员从这些困境中解放出来，将更多的时间和精力投入到企业核心业务上呢？

　　DNS解析是企业互联网门户的寻址方式，负责将网络域名解析为与之对应的IP地址。域名技术的发展以及基于域名技术的多种应用，丰富了互联网应用和协议。域名服务系统已成为影响企业互联网应用和内部业务应用系统体验的重要环节，稳定的域名解析服务是互联网业务、企业内部业务系统正常运行的基础。

　　近年来，随着互联网应用和业务的不断发展，互联网在为企业提供广阔空间进行品牌推广和商业创新的同时，用户对访问体验的要求越来越高。同时，互联网上针对DNS系统的攻击事件日益频繁，给互联网体验带来了严重的影响，甚至会出现域名劫持、机密数据泄漏等事故，给企业造成了巨大经济损失，大大降低客户信任度。这些变化给企业域名服务体系从基础架构、安全、业务智能、运维能力以及商业模式等带来重要影响。而快速增长的互联网与内部业务系统访问流量，正迫使企业不断提升域名服务体系的性能、容灾和安全防护能力，随之而来的必然是TCO的大幅攀升。

　　对网站可靠性和可信性造成潜在威胁的，并不只是简单的基础网络结构故障，还包含黑客的攻击。由于DNS本身存在一定的技术漏洞和缺陷，同时对DNS服务的攻击影响面最广，对互联网基础架构所造成的威胁也最严重，所以黑客会利用各种机会和手段针对DNS系统发动各种攻击，如DDoS攻击和DNS放大攻击等。

　　通过制造高流量的无效数据，造成网络拥塞，使受害主机无法正常和外界通讯，或者利用受害主机提供服务或传输协议上的缺陷，反复高速发出特定的服务请求，使受害主机无法及时处理所有正常请求。

　　2001年年初发布的Lion蠕虫，利用BIND8域名服务器的一个漏洞作为它基本的传播途径。事实上，早期版本的BIND系统充斥着这样的漏洞，美国计算机安全组织系统网络安全协会(SANS Institute)和美国联邦调查局(FBI)不断把这些漏洞评定为对互联网上Unix主机的一级威胁。

　　域名服务被攻击的趋势正在改变、威胁着企业的网络环境。如果一个网站经常遭到攻击，那么没有用户愿意访问这样的网站，可见缺乏DNS安全性保证的网站会严重损坏企业的声誉和动摇消费者的信心。尽管攻击者依靠DNS帮助进一步开展恶意攻击活动，但是很少有公司会出于安全目的监控DNS（或出于任何原因而监控DNS）。这种缺乏监控的情况使得DNS成为攻击者的一个理想渠道，根据ZDNS数据表明，中国大约有76%的安全专业人员报告，他们的组织不监控来自DNS的威胁。

　　为什么DNS是如此之多组织的安全盲点？一个主要原因，是大部分企业采用免费的互联网DNS解析服务或者通过开源软件来构建企业自身的互联网DNS系统。根据互联网域名系统北京市工程中心（ZDNS）调查数据显示，在我国各级域名服务系统中的所有权威服务器，90%以上的企业互联网域名服务器使用开源的ISCBIND软件自建或者ISP、域名注册商等免费提供的DNS系统。

　　造成这种情况的另外一个主要因素，是IT专家、安全团队和DNS专家通常在公司的不同IT团队工作，由于组织机制的原因，他们并不经常沟通。但是，因为监控DNS对于发现和控制DNS安全威胁很重要，也是设计其他可以用于进一步调查攻击要素的重要第一步，他们应该经常沟通。监控DNS不仅要求安全团队和DNS团队之间进行协作，而且要求采用适当的技术和专业知识进行相关性分析。

　　即使IT人员拥有丰富的网络专业知识，但很少能真正运用到DNS领域，DNS具有独特性并超出网络的范畴，还涉及到服务器操作系统、软件更新、负载平衡、客户接口和虚拟服务器等。即使这些方面都有经验，但IT人员是否有时间和精力不断优化DNS系统？而且一些先进的技术，如故障切换、智能解析等，需要花一定的时间去理解和掌握的，但是企业大多数IT人员需要关注的东西太多，不仅只是DNS系统，因此没有时间研究这些先进的技术和功能。

　　低成本和可预测的专业互联网域名服务是大势所趋。好的DNS管理系统不仅需要高性能、可靠的网络，DNS服务器和客户端也是至关重要的。为了确保最佳解析响应能力，企业应将这些DNS服务器尽可能接近他们的用户——无论是国内客户还是国外客户。很少企业有这样的资源可投入大量的人力、物力建设大规模的数据中心，企业传统上依旧依赖外部的数据中心、租用空间和基础设施。此外，他们的工作人员仍然用远程管理的方式管理着这些设备。

　　如果企业选择自建DNS系统，通常只有一个或两个数据中心。这样看似可以节省成本，但最终可能因为宕机等原因，所造成的损失远高于企业减少建设数据中心而节省下来的成本。有限的数据中心对企业来说很危险，一般来说企业的DNS会有两个节点，一个工作、一个备份，来保证服务稳定。但这种一对一的主备用方式实际上无法很好的实现冗灾备份，易受DDOS攻击，且影响严重。当大流量网络攻击发生时，节点的抗攻击能力较弱，易发生节点瘫痪，这样用户解析流量将自动转移至备用节点，备用节点也会很快瘫痪，从而导致用户服务中断。

　　任何有效的域名系统架构，都必须实现软件和硬件的冗余，但由于逐渐增加的协议复杂性和跨企业域名系统的实现一般都缺乏整体性，使之成为一个越来越困难的任务。专业DNS托管服务（如ZDNS Cloud服务）可以提供专业的技术团队，用先进的技术手段和基础设施来防范已知的风险和潜在的威胁。这些专业DNS托管平台，通常拥有数量庞大的服务器和带宽等资源，具有完善的负载均衡和冗余备份功能，确保有足够的能力应对任何威胁。而许多自建或者ISP、域名注册商免费提供的DNS系统，只有有限的硬件资源和带宽能力，在技术手段和基础设施上无法抵御黑客的攻击。

　　毕竟，大多数企业一直在自己运维或者使用ISP提供的免费DNS系统，但对DNS系统处于最佳运行状态的信心到底有多大呢？许多自运维或ISP提供的DNS系统自从建设完成后，除了因有硬件损坏必须替换外再很少有改动和优化。另外，许多ISP只有一个数据中心，这意味着如果它出现故障，就会影响到网站，这可能会导致网站性能下降，甚至出现网站无法被访问的情况。这种现象在专业DNS托管服务是完全可以避免，因为托管DNS提供商有多个数据中心广泛分布的节点服务器、提供故障转移功能，会定期监视网络情况，及时发现并解决问题。

　　DNS专家需要有更多的时间和精力专注于DNS领域的新知识和新技术。DNS是他们赖以谋生的职业，他们在管理DNS系统时会更加认真负责。专业DNS托管服务商来说，系统平台的安全、可靠、稳定运行是其生存和发展的基石，所以他们更会竭尽全力为企业客户提供高性能的DNS平台和高质量的服务。

　　关于ZDNS

　　ZDNS（互联网域名系统北京市工程研究中心）是由中科院科技成果孵化出来的高新技术企业，旨在通过市场机制实现产业化，促进域名及互联网产业发展。2011年，北京市发改委正式签发批复文件，将互联网域名系统北京市工程研究中心（ZDNS）列入北京市工程研究中心，ZDNS率先成为国内互联网域名系统领域的工程研究中心。作为整体域名服务专家，域名工程中心具备丰富的实践经验和全球化技术平台，基于企业的端到端流程架构企业的域名服务解决方案，同企业一起应对互联网新挑战。

　　ZDNS Cloud面向企业互联网业务的发展需要，以域名服务为核心构建全平台化的互联网基础架构解决方案，通过部署在云端的全球化DNS服务模型，实现更加灵活、更加快速、更加安全的智能化域名解析服务；同时，结合客户自身的业务系统特性，实现全局化的服务流量调度，帮助客户快速实现基于业务系统枢纽平台的智能化调度。

　　作者单位：互联网域名系统北京市工程研究中心有限公司