2026年6月,伴随工信部IPv6+新型算力基础设施政策落地,《IPv6网络安全扩展要求》正式纳入网络安全等级保护测评强制考核标准,其中双栈环境下的DNS安全防护成为高频必查测评点,多地网信、公安联合开展政企单位DNS安全专项合规巡检,大量上云、完成IPv4/IPv6双栈改造的企业,因为仅配置IPv4DNS防护、忽略IPv6AAAA记录解析安全,在首轮测评中被判定为高风险隐患,要求限期完成DNS安全整改。

在传统IPv4网络架构下,企业运维一般仅针对A类IPv4解析记录做安全管控,部署递归DNS访问白名单、DNS缓存防护、流量审计策略,但在IPv4/IPv6双栈环境中,域名需要同步配置A(IPv4)、AAAA(IPv6)两类解析记录,老旧防火墙、入侵防御设备大多默认放行所有IPv6DNS流量,攻击者可以利用NDP欺骗、IPv6分片攻击劫持内网IPv6DNS解析,结合REBIRTHDAY缓存投毒漏洞污染IPv6递归服务器解析缓存,用户通过IPv6网络访问官网时直接被劫持至钓鱼站点,而企业原有IPv4安全防护策略完全无法拦截IPv6侧的DNS攻击。
6月多地等保复测数据显示,三级等保系统中近58%的企业存在IPv6DNS防护缺位问题,典型违规场景包含:未对IPv6DNS53端口做访问策略管控、未开启IPv6协议下的DNSSEC端到端校验、未留存IPv6DNS全量访问日志、内网IPv6递归DNS对外开放公网递归查询。测评机构明确规则:只要业务系统已启用IPv6双栈访问,必须对IPv4、IPv6两类DNS解析流量实施同等安全管控,DNS防护缺失直接导致等保测评不合格。
本次DNS合规专项巡检覆盖政务官网、医疗平台、教育系统、金融网点、工业互联网五大重点行业,监管部门不仅核查企业自建内网DNS安全配置,同时抽查企业对外业务域名的DNSSEC部署、域名锁定、解析异常监控等安全措施,结合6月大规模DNS劫持安全事件的教训,督促政企单位补齐域名解析层安全短板,杜绝只做网络升级、忽略安全防护的裸奔上线问题。

第一,IPv6递归DNS公网暴露风险。IPv6海量地址空间下,企业云主机、内网服务器极易出现IPv653端口全网开放,攻击者通过分布式扫描批量探测开放的递归DNS服务,一方面利用开放递归发起DNS放大DDoS攻击,消耗企业服务器带宽资源导致业务瘫痪;另一方面借助REBIRTHDAY漏洞污染IPv6DNS缓存,劫持全网IPv6用户域名访问请求。很多运维人员沿用IPv4安全运维思维,仅封禁IPv4高危端口,忘记配置IPv6访问黑白名单,形成安全防护盲区。
第二,AAAA解析记录配置混乱引发域名劫持风险。部分企业IPv6改造阶段临时配置AAAA解析记录,未同步做域名锁定、DNSSEC签名防护,黑客一旦获取DNS托管后台权限,可批量篡改IPv6解析记录,用户切换IPv6网络后直接访问恶意IP,而IPv4解析正常,隐蔽性极强,企业很难通过常规IPv4解析巡检发现异常。6月多起政企官网双栈劫持事件,均是仅IPv6解析记录被篡改导致。
第三,IPv6DNS流量无审计无留存。等保要求所有网络访问日志留存不少于6个月,包含DNS解析请求、响应、访问源IP、访问时间等全维度信息,大量老旧日志审计设备仅支持IPv4日志采集,无法解析存储IPv6DNS流量日志,既无法满足合规审计要求,遭遇DNS劫持攻击后也不能完成攻击溯源排查。
第四,NDP欺骗结合IPv6内网DNS劫持攻击。NDP协议等同于IPv4的ARP协议,攻击者在内网伪造网关与DNS服务器IPv6地址,实施中间人劫持,篡改局域网内所有终端的IPv6DNS配置,即便外网权威域名部署DNSSEC防护,内网解析流量依旧会被劫持窃听,这也是双栈内网最容易爆发的局域网DNS攻击方式。
首先,网络边界设备完成固件升级,确保防火墙、IPS、流量审计设备全面兼容IPv6协议,针对IPv4、IPv6的UDP53、TCP53端口分别配置精细化访问策略,仅允许企业内网可信网段访问自建递归DNS服务器,彻底关闭对公网开放的递归查询权限,拦截外部恶意DNS请求,规避DNS放大攻击与缓存投毒风险。同时关闭内网不必要的NDP广播、RA路由自动分配功能,防范内网NDP欺骗劫持IPv6DNS配置。
其次,权威域名统一完成DNSSEC安全签名配置,同步对A、AAAA两类解析记录做加密签名,内网IPv4、IPv6双栈递归DNS服务器全部强制开启DNSSEC端到端校验,拒绝未通过签名验证的所有解析应答,从协议底层抵御双栈场景下的DNS缓存投毒、解析篡改劫持攻击;域名后台开启解析变更双因素认证、配置修改操作日志审计,绑定异常解析告警策略,实时监控AAAA记录、NS记录、TTL参数异常变更行为。
然后,部署支持双栈协议的DNS全流量审计系统,统一采集IPv4与IPv6所有DNS解析请求日志,按照等保要求留存不少于6个月,日志字段必须包含源IP、目标DNS服务器、请求域名、解析结果、操作时间,支持按照域名、IP、时间多维度检索溯源;定期梳理内网DNS解析访问日志,对高频异常NXDOMAIN请求、境外IP批量解析行为配置告警拦截规则,防范DNS隧道数据泄露攻击。
最后,规范双栈DNS解析配置管理,建立企业域名解析台账,统一登记所有业务域名的IPv4、IPv6解析记录,禁止随意临时新增、修改AAAA解析配置,所有解析变更执行审批流程;暂时不启用IPv6业务访问的域名,直接删除AAAA解析记录,在边界设备封禁IPv6协议,避免闲置双栈配置带来额外DNS攻击风险。
政企单位需要将DNS安全纳入网络常态化运维巡检清单,每月开展一次DNS安全专项自查,核查递归DNS权限配置、DNSSEC签名有效性、双栈访问策略、流量日志留存四大核心项;每季度结合漏洞扫描、渗透测试,模拟REBIRTHDAY缓存投毒、内网DNS劫持等攻击方式开展安全演练,及时发现双栈架构下的防护盲区。
针对集团型多分支机构企业,建议搭建统一的企业级安全DNS集群,集中管控所有分支机构IPv4/IPv6解析请求,部署恶意域名黑名单库,实时同步监管机构公示的涉诈、涉赌恶意DNS域名,自动拦截违规解析请求;对远程办公、云访问场景的终端强制推送企业可信双栈DNS地址,禁止员工手动修改本地DNS配置,从终端侧规避局域网DNS篡改劫持风险。
随着IPv6规模化普及与DNS攻击手段智能化升级,DNS早已不再是简单的网络基础配置,而是企业网络安全与合规运营的第一道关键防线。6月等保新规下的双栈DNS防护要求,倒逼政企单位摒弃粗放式运维模式,通过协议层加密、边界访问管控、全流量审计、常态化安全巡检,全方位补齐DNS安全防护短板,既顺利通过等保合规测评,也为数字化业务筑牢域名解析安全屏障。
最新发布
根据《中华人民共和国网络安全法》及相关法律的规定,用户不提供真实身份信息的,网络运营者不得为其提供相关服务!
详情请查看《51DNS.COM账号实名认证公告》
请未完成实名认证的用户尽快完善账户实名认证信息!
未通过实名认证的账户将无法进行正常操作,正在运行/已配置好的的产品服务不受影响,可正常生效。