Częstym przypadkiem są także ataki związane z wyciekiem informacji. W takich przypadkach najrozsądniejszym rozwiązaniem będzie maksymalne zabezpieczenie ścieżki wiadomości DNS, ograniczenie transferów strefy do zaufanych odbiorców, a także wdrożenie mechanizmu NSEC3 w DNSSEC.

Dobrą obroną przed każdą formą ataków na DNS będzie wprowadzenie ograniczeń na liczbę pakietów oraz źródłowych adresów dla każdego systemu DNS. Warto monitorować ruch DNS, który ma inną charakterystykę niż standardowe zachowanie protokołów. Doskonałe rozwiązanie ochrony infrastruktury DNS mogą stanowić zabezpieczenia oparte na mechanizmach zapór ogniowych oraz systemów IDS/IPS. Zazwyczaj metody zabezpieczania się przed atakami na DNS realizowane są w trzech fazach: detekcji, stworzeniu sygnatury (jeżeli nie istnieje dla danego typu ataku) oraz wykorzystania sygnatury do likwidacji ataku. W fazie detekcji monitorowany jest cały ruch przychodzący i wychodzący DNS na porcie UDP 53. Na tym etapie systemy uczą się tradycyjnych zachowań sieci. Przy użyciu znanych sygnatur oraz nowych (stworzonych przez analizę aktualnych zagrożeń) jest realizowane monitorowanie sieci pod kątem ataków. Jeżeli atak zostanie wykryty, następuje przejście do fazy likwidacji zagrożenia.

DNSSEC

DNS Security Extensions (DNSSEC) to ważne narzędzie zwiększania bezpieczeństwa DNS. DNSSEC jest zestawem rozszerzeń dołączonych do protokołów DNS, który zapewnia integralność oraz uwierzytelnianie wymienianych danych. Uwierzytelnianie pozwala upewnić się, że administrator danej strefy dostarcza autentyczne informacje dla danej domeny. Sprawdzenie integralności pozwala upewnić się, że dane nie zostały zmodyfikowane w momencie przekazywania. DNSSEC wymaga odpowiedniego serwera DNS, ale i klienta obsługującego mechanizmy bezpieczeństwa DNSSEC. Serwery zgodne z DNSSEC powinny obsługiwać dodatkowe typy rekordów, niezbędne dla zachowania warunków bezpieczeństwa. Z kolei klient DNS powinien wykryć możliwość wykorzystania rozszerzeń DNSSEC, a także sprawdzić otrzymane dane pod kątem uwierzytelniania oraz integralności danych. W procesie komunikacji wykorzystywane są silne mechanizmy kryptograficzne. Każda modyfikacja danych DNS, które były oryginalnie zabezpieczone (podpisane) przez DNSSEC może zostać wykryta przez klienta DNS. Choć rozwiązanie zostało ustandaryzowane w 2005 r. roku, to i dziś nie jest powszechnie wykorzystywane. Teoretycznie od 2010 r., kiedy DNSSEC zaczęły wykorzystywać główne serwery "Root" DNS, wdrażanie mechanizmu powinno odbywać się szybciej.

Stosowane rozwiązania

Nowoczesna architektura infrastruktury DNS ewoluowała na przestrzeni lat. Najczęściej jednak mamy do czynienia z farmą serwerów DNS, w których działa mechanizm dystrybucji obciążenia. Odpowiednio skonfigurowana redundancja pozwala znosić nawet duże i rozproszone ataki DDoS na usługi DNS. Ochrona klientów DNS jest realizowana przez dostawców usług coraz częściej z wykorzystaniem transparentnej usług DNS Proxy. Wykorzystujący ją operator nasłuchuje wszystkich zapytań DNS, które przetwarzane są przeźroczyście dla użytkownika w ramach serwera proxy. Pozwala to efektywnie forsować wykorzystanie własnych usług DNS operatora dla wszystkich zapytań. Chroni to potencjalnie przed wieloma atakami, które mogą powodować skompromitowane stacje klienckie. Co więcej istnieje możliwość przeprowadzenia dość precyzyjnego filtrowania treści przy użyciu takich mechanizmów. Przykładem i wzorem dla podobnych rozwiązań mogą być dostępne otwarte usługi DNS, takie jak Google, Comodo czy OpenDNS. Wykorzystanie mechanizmów DNS do realizacji usług bezpieczeństwa nie jest jednak nowością. Od dawna na usługach serwerów nazw są filtry antyspamowe.