dos的主要攻擊目標(biāo)就是相關(guān)的服務(wù)器，那在dns服務(wù)器上如何防止dos攻擊呢？了解網(wǎng)絡(luò)安全常識(shí)，首先就要了解常見(jiàn)電腦黑客攻擊類型與預(yù)防方法，下面佰佰安全網(wǎng)小編就帶您認(rèn)識(shí)一下吧。

1、防范Arp攻擊

主要是針對(duì)局域網(wǎng)的DNS ID欺騙攻擊。如上所述，DNS ID欺騙是基于Arp欺騙的，防范了Arp欺騙攻擊，DNS ID欺騙攻擊是無(wú)法成功實(shí)施的。

2、采用UDP隨機(jī)端口

不再使用默認(rèn)的53端口查詢，而是在UDP端口范圍內(nèi)隨機(jī)選擇，可使對(duì)ID與端口組合的猜解難度增加6萬(wàn)倍，從而降低使DNS緩存攻擊的成功率。

3、建立靜態(tài)IP映射

主要是指DNS服務(wù)器對(duì)少部分重要網(wǎng)站或經(jīng)常訪問(wèn)的網(wǎng)站做靜態(tài)映射表，使對(duì)這些網(wǎng)站的訪問(wèn)不再需要經(jīng)過(guò)緩存或者向上一級(jí)的迭代查詢，從而在機(jī)制上杜絕DNS欺騙攻擊。

4、運(yùn)行最新版本的BIND

使用最新版本的BIND，可以防止已知的針對(duì)DNS軟件的攻擊(如DoS攻擊、緩沖區(qū)溢出漏洞攻擊等)。應(yīng)密切關(guān)注BIND安全公告，及時(shí)打好補(bǔ)丁。

5、限制查詢

在BIND8和BIND9之后，BIND的allow-query子句允許管理員對(duì)到來(lái)的查詢請(qǐng)求使用基于IP地址的控制策略，訪問(wèn)控制列表可以對(duì)特定的區(qū)甚至是對(duì)該域名服務(wù)器受到的任何查詢請(qǐng)求使用限制策略。如限制所有查詢、限制特定區(qū)的查詢、防止未授權(quán)的區(qū)的查詢、以最少權(quán)限運(yùn)行BIND等。

6、利用防火墻進(jìn)行保護(hù)

這種保護(hù)方式可以使受保護(hù)的DNS服務(wù)器不致遭受分布式拒絕服務(wù)攻擊、軟件漏洞攻擊。原理是在DNS服務(wù)器主機(jī)上建立一個(gè)偽DNS服務(wù)器共外部查詢，而在內(nèi)部系統(tǒng)上建立一個(gè)真實(shí)的DNS服務(wù)器專供內(nèi)部使用。配置用戶的內(nèi)部DNS客戶機(jī)，用于對(duì)內(nèi)部服務(wù)器的所有查詢，當(dāng)內(nèi)部主機(jī)訪問(wèn)某個(gè)網(wǎng)站時(shí)，僅當(dāng)內(nèi)部DNS服務(wù)器上沒(méi)有緩存記錄時(shí)，內(nèi)部DNS才將查詢請(qǐng)求發(fā)送到外部DNS服務(wù)器上，以保護(hù)內(nèi)部服務(wù)器免受攻擊。

7、利用交叉檢驗(yàn)

這種保護(hù)方式可以從一定程度上防范DNS欺騙攻擊。原理是反向查詢已得到的IP地址對(duì)應(yīng)的主機(jī)名，用該主機(jī)名查詢DNS服務(wù)器對(duì)應(yīng)于該主機(jī)名的IP地址，如果一致，則請(qǐng)求合法，否則非法。

8、使用TSIG機(jī)制

TSIF(事物簽名)機(jī)制(RFC2845)通過(guò)使用共享密鑰(Secret Key)及單向散列函數(shù)(One-way hash function)提供信息的驗(yàn)證以及數(shù)據(jù)的完整性。當(dāng)配置了TSIG后，DNS消息會(huì)增加一個(gè)TSIF記錄選項(xiàng)，該選項(xiàng)對(duì)DNS消息進(jìn)行簽名，為消息發(fā)送者和接受者提供共享密鑰，從而保證了傳輸數(shù)據(jù)不被竊取和篡改。TSIP機(jī)制的部署步驟不做贅述，相關(guān)RFC文檔有詳細(xì)說(shuō)明。

關(guān)于網(wǎng)絡(luò)安全小知識(shí)，佰佰安全網(wǎng)小編為您介紹和普及這么多了，看完上面的介紹，您對(duì)“在dns服務(wù)器上如何防止dos攻擊”這個(gè)問(wèn)題了解多少了呢？如果你想了解更多關(guān)于dos系統(tǒng)的其他相關(guān)知識(shí)，您可以關(guān)注我們佰佰安全網(wǎng)上的詳細(xì)介紹。

責(zé)任編輯:慕丹萍