哎呀， 说起这个DNS平安，我一开始还以为是啥高科技呢，后来才知道，不就是上网的时候帮你找地址的那个玩意儿嘛！你说这玩意儿要是不平安了 那可不得了你想百度，它给你导到淘宝去，你想看视频，它给你导到娱乐网站去，吓死个人！所以说啊，DNS平安这事儿，不管是公司还是咱们个人用户，都得重视起来不然哪天出事了哭都来不及！

一、 先搞个预案，别等出事了抓瞎

何必呢？ 话说回来这DNS就跟咱家大门似的，平时没事儿，但万一被人撬了麻烦就大了。所以啊，得提前想好要是出了事儿该怎么办，这就是所谓的“应急响应预案”。你比如吧， 要是突然来了好多好多访问，把服务器搞崩了这就是DDoS攻击，预案里就得写清楚，先别慌，赶紧让运维的人看看是不是流量太大了然后想办法把那些恶意的流量给“洗”掉，就跟洗衣服似的，把脏水都排出去。

还有更狠的， 就是别人把你的域名给劫持了就是你输入你的网址，后来啊跳到别人的网站去了这时候你得赶紧联系域名注册商，把域名给抢回来跟抢东西似的，慢了就没了！预案里还得写清楚谁负责干嘛， 比如运维的管技术，老板的拍板，行政的负责通知大家，别到时候谁都不管，或者谁都管，乱成一锅粥，那就完了！

二、 DNS服务器别随便让人用，递归权限要管好

这个DNS服务器啊，它有个功能叫“递归查询”，就是你要访问一个网站，它帮你一层一层地问别的服务器，直到找到地址为止。这功能本来是好的， 但要是谁都让你递归，那坏人就能利用你这个服务器去攻击别人，比如什么DNS放大攻击，就是你发个小请求，它给你返回个大回应，把别人的服务器搞崩溃， 也是醉了... 你的服务器也跟着倒霉。所以说啊，这个递归权限不能随便给，只能让公司内部的人，或者你信任的IP地址用，其他的都不行！还有啊， 那些不用的DNS服务端口，比如53端口以外的，都赶紧关了少开一个端口，就少一个让坏人钻的空子，反正多关没坏处，对吧？

三、 选DNS服务商，别贪便宜找小作坊

这DNS服务商啊，就跟咱们平时买菜似的，有大菜市场，也有路边摊。大菜市场的菜新鲜，有保障，路边摊可能便宜，但谁知道它菜干不干净，会不会坏掉？DNS服务商也是一样， 别找那些没听过的小公司，说是什么“免费DNS”，后来啊平安措施一点都没有，哪天被人攻击了你的域名解析不了上不了网，找他们赔钱都找不到人！还是选那些大点的， 比如114.114.114.114，这个是国内的，访问快，还有谷歌的8.8.8.8，虽然有时候进不去，但总体来说还是靠谱的，我深信...。

这些大服务商啊， 他们都有专业的攻击拦截系统，能自动把那些恶意的域名请求给拦住而且还有很多节点，一个地方坏了另一个地方还能用，不会让你上不了网。对了 我上次听人说有些小服务商自己都没平安措施，后来啊被人攻击了连带客户的域名都遭殃，所以啊，别贪小便宜，选大准没错，换个思路。！

四、 搞个流量基线，看看啥时候不对劲

这个流量基线啊，说白了就是正常情况下你的DNS服务器每天能承受多少请求，哪些域名问得多，哪些IP地址问得多。你得先统计一下 做个表，比如平时每天100万次请求，其中www.baidu.com问了10万次www.qq.com问了8万次都是国内的IP地址。然后呢， 要是某天突然变成了1000万次请求，或者都是国外的IP地址在问同一个域名，那肯定有问题，可能是被攻击了！这时候系统就得赶紧报警，提醒你：“喂，老板，出事儿了快来看看！”然后你就得赶紧看看是不是有人搞鬼，是不是该启动预案了。这个流量基线啊，就跟体检似的，平时正常，一旦数据不对了就说明身体出问题了得赶紧去医院！

五、 装个DNS防火墙，挡住坏人请求

这个DNS防火墙啊，就跟小区门口的保安似的，专门检查进来的“人”，坏的就不让进。比如那些钓鱼网站， 你知道的，就是骗你输入银行卡号、密码的，防火墙就能把这些域名识别出来直接拦住不让你解析，你就上不了当。还有那些恶意软件， 比如病毒，它会通过DNS联系它的“老家”，防火墙也能识别出来不让它通信， 层次低了。 病毒就没法作乱了。更厉害的是防火墙还能挡DNS放大攻击，就是那种大量恶意请求的，直接给过滤掉，不让你服务器崩溃。最好啊，这个DNS防火墙跟公司现有的防火墙联动一下一起干活，一个守门，一个巡逻，平安系数更高！反正啊，多一层防护，就多一分平安，宁可信其有，不可信其无，对吧？

六、 用DoH加密，别让别人偷看你的DNS

我们都曾是... 你有没有想过你每次上网，输入网址访问什么网站，其实都是明文传输的，别人都能看到！比如你在公司用电脑，老板或者网管就能知道你访问了哪些网站，这多吓人啊！这个DoH啊， 就是DNS over HTTPS，简单说就是把DNS请求给加密了用HTTPS协议传，就像给你寄信装了个保险箱，别人打不开，就看不到你寄了啥。

行吧... 这样啊，别人就偷看不了你的DNS记录了不知道你访问了什么网站，平安多了！公司可以在内部网络里统一装个DoH客户端， 让大家都用，个人用户也可以在浏览器或者系统设置里开启，比如Chrome浏览器就有这个功能。虽然用了DoH可能会慢一点点，但平安重要，对吧？反正我觉得多花这点时间，换来平安，值了！

七、 开DNSSEC，给DNS记录盖个章

这个DNSSEC啊，听起来挺复杂，其实就是给DNS记录加了个数字签名，就像咱们平时盖章似的，证明这个记录是真的，没被人篡改过。你比如吧， 你想访问www.baidu.com，DNS服务器返回了一个IP地址，但要是坏人把这个IP地址换成了他自己的服务器，你就被带到假网站去了这叫“缓存投毒攻击”。但要是用了DNSSEC， 这个DNS记录就有签名了你收到记录后服务器会检查签名对不对，对的话就说明是真的，不对的话就是假的，你就不访问了，我算是看透了。。

所以说啊，这个DNSSEC就像给DNS记录盖了个防伪章，假不了！管理员得赶紧给域名配置DNSSEC， 然后在DNS服务器里开启验证功能，这样用户访问的时候就能确保平安了。反正啊，多一层验证，就少一分被骗的风险，这个钱花得值，当冤大头了。！

八、 定期演练，别真出事了手忙脚乱

算是吧... 光有个预案还不行，还得经常演练，不然真出事了大家都不知道干嘛，那就抓瞎了！你比如吧，模拟一下缓存投毒攻击，看看大家能不能及时发现，能不能及时恢复。或者模拟一下域名劫持，看看联系域名注册商顺不顺利，需不需要紧急联系方式。演练的时候啊，可以故意搞点小麻烦，比如把网线拔了或者把服务器关了看看大家的反应。演练完了之后一定要看看哪里做得不好，哪里需要改进。比如上次演练， 我们发现联系域名注册商要半天时间，太慢了后来我们就提前存了紧急联系方式，还跟他们搞了个绿色通道，下次就能快多了。反正啊，演练这事儿，就跟消防演习似的，平时多练练，真出事了才不会慌，对吧？

一下

哎呀， 说了这么多，其实DNS平安这事儿，说白了就是防坏人，平时多注意，多检查，别偷懒，就能少出问题。比如选个好点的DNS服务商， 装个防火墙，开个加密，搞个预案，经常演练，这些事儿都不难，但做起来就能大大提高平安性。反正我是这么觉得的，你们觉得呢？反正DNS这东西太重要了 要是它不平安，咱们上网就跟没头苍蝇似的，到处乱撞，所以啊，大家都重视起来吧！再说说说一句， 我说的这些可能不一定全对，毕竟我也不是专家，就是瞎琢磨，要是有什么不对的地方，别喷我啊，哈哈，一言难尽。！