Ddosdnsddos+dns 가속
1. DNS 서버가 이름 서버의 재귀 쿼리 기능을 제한할 수 있도록 권한을 부여하고, 재귀 DNS 서버가 재귀 액세스를 제한할 클라이언트 (화이트리스트 IP 세그먼트 활성화) 입니다.
2.zonetransfer 는 제한 영역 전송에서 마스터-슬레이브 동기화 DNS 서버 범위 내에서 화이트리스트를 활성화합니다. 목록에 없는 DNS 서버는 영역 파일 동기화를 허용하지 않습니다.
전송 허용 {};
업데이트 허용 {};
3. 블랙리스트와 화이트리스트 사용
알려진 공격 IP 는 bind 에 의해 블랙리스트에 오르거나 방화벽에서 액세스가 금지되어 있습니다.
Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오.
Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오. Acl 을 통해 액세스 할 수있는 IP 네트워크 세그먼트를 설정하십시오.
4. BIND 버전 정보를 숨깁니다.
5. 루트 바인딩 수퍼유저가 아닌 권한을 가지고 있습니다.
4. BIND 버전 정보를 숨깁니다.
5. 루트 바인딩 수퍼유저가 아닌 권한을 가지고 있습니다.
6. DNS 에서 불필요한 기타 서비스를 삭제합니다. DNS 서버 시스템 만들기 웹, POP, gopher, NNTPNews 등의 서비스를 설치해서는 안 됩니다.
다음 패키지는 설치하지 않는 것이 좋습니다.
1)X-Windows 및 관련 패키지 2) 멀티미디어 애플리케이션 패키지; 3) 불필요한 컴파일러 및 스크립트 해석 언어; 4) 사용되지 않은 텍스트 편집기; 5) 유해한 클라이언트 프로그램; 6) 기타 불필요한 네트워크 서비스. 도메인 이름 확인 서비스의 독립성을 보장하고, 도메인 이름 확인 서비스를 실행하는 서버는 동시에 다른 포트의 서비스를 열 수 없습니다. 권위 있는 도메인 이름 확인 서비스와 재귀 도메인 이름 확인 서비스는 서로 다른 서버에서 독립적으로 제공해야 합니다.
7. DNStop 을 사용하여 DNS 트래픽 모니터링
# yuminstalllibpcap-devencurses-devel
소스 코드/tools/dn stop/src/dn stop-20140915.tar.gz 를 다운로드합니다.
#;
9. Dos/DDoS 에 대한 DNS 서버 방어 기능을 향상시킵니다.
Syn 쿠키 사용
백로그를 추가하면 대량의 SYN 요청으로 인한 TCP 접속 차단을 어느 정도 완화할 수 있습니다.
재시도 횟수 단축: Linux 시스템의 기본 tcp_synack_retries 는 5 회입니다.
한계 동기화 빈도
동기 공격 방지: # echo1> /proc/sys/net/IPv4/TCP _ syncookies /etc/rc.d/rc.local 파일에 이 명령을 추가합니다.
10.: 도메인 이름 서비스 프로토콜이 정상인지 모니터링합니다. 즉, 적절한 서비스 프로토콜을 사용하거나 적절한 테스트 도구를 사용하여 서비스 포트에 시뮬레이션 요청을 보내고, 서버가 반환한 결과를 분석하고, 현재 서비스가 정상인지, 메모리 데이터가 변경되었는지 확인합니다. 조건부로 서로 다른 네트워크에 여러 테스트 지점을 배치하여 분산 모니터링을 수행합니다.
1 1. 도메인 이름 서비스를 제공하는 서버 수는 2 대 미만이어야 하며 독립 이름 서버 수는 5 대로 하는 것이 좋습니다. 서버를 서로 다른 물리적 네트워크 환경에 배치하는 것이 좋습니다. 침입 탐지 시스템을 사용하여 가능한 한 중개인 공격을 탐지합니다. 도메인 이름 서비스 시스템 주변에 반공격 장치를 배치하여 이러한 공격에 대응합니다. 트래픽 분석과 같은 도구를 사용하여 DDoS 공격을 감지하여 적시에 긴급 조치를 취할 수 있습니다.
12.: 반복 서비스의 적용 범위를 제한하여 특정 네트워크 세그먼트의 사용자만 반복 서비스를 사용할 수 있도록 합니다.
13.: 중요한 도메인 이름의 분석 결과를 중점적으로 모니터링하고, 분석 데이터가 변경된 것을 발견하면 즉시 경고 힌트를 제공합니다. Dnssec; 배포 :
14. 완벽한 데이터 백업 메커니즘 및 로그 관리 시스템을 구축합니다. 지난 3 개월 동안의 모든 분석 로그를 보관해야 하며, 중요한 도메인 이름 정보 시스템에 7×24 유지 관리 메커니즘을 사용하는 것이 좋습니다. 긴급 응답 시간은 30 분 미만이어야 합니다.
Ddos 공격을 어떻게 방어합니까?
1, 고성능 네트워크 디바이스 사용은 우선 네트워크 디바이스가 병목 현상이 되지 않도록 해야 하므로 라우터, 스위치, 하드웨어 방화벽 등을 선택할 때 인지도가 높고 평판이 좋은 제품을 선택해야 합니다. 그렇다면 인터넷 공급업체와 특별한 관계나 합의가 있다면 더 좋을 것이다. 대량의 공격이 발생할 때 특정 유형의 DDOS 공격에 대항하기 위해 네트워크 접점에서 트래픽 제한을 수행하도록 요청하는 것이 매우 효과적입니다.
2. 가능한 한 NAT 사용을 피하십시오. 라우터든 하드웨어 방호벽 장치든 네트워크 주소 변환 NAT 를 사용하지 마십시오. 이 기술을 사용하면 네트워크 통신 기능이 크게 저하될 수 있기 때문입니다. 사실, 그 이유는 NAT 가 주소를 앞뒤로 변환하고 변환 과정에서 네트워크 패킷의 체크섬을 계산해야 하기 때문에 CPU 시간이 많이 낭비되지만 때로는 NAT 를 사용해야 하기 때문에 좋은 방법이 없습니다.
3. 충분한 네트워크 대역폭은 네트워크 대역폭이 공격을 막을 수 있는 능력을 직접적으로 결정한다는 것을 보증한다. 대역폭 100M 만 있다면 어떤 조치를 취해도 현재의 SYNFlood 공격에 저항하기가 어렵습니다. 현재 최소한 100 m 의 대역폭을 선택해야 하는데, 가장 좋은 것은 1000 m 의 백본에 매달리는 것이지만, 호스트의 네트워크 카드가 1000M 이라고 해서 네트워크 대역폭이 기가비트라는 것을 의미하지는 않는다는 점에 유의해야 합니다. 100M 스위치를 연결하는 경우 실제 대역폭은 100M 을 초과하지 않으며 100M 의 대역폭이 연결되어 있더라도 네트워크 서비스 공급자가
4. 호스트 서버의 하드웨어를 업그레이드합니다. 네트워크 대역폭을 보장하면서 하드웨어 구성을 가능한 한 업그레이드하십시오. 초당 65438+ 백만의 SYN 공격팩에 효과적으로 대응하려면 최소한 P42.4G/DDR5 12M/SCSI-HD 이상의 서버 구성이 있어야 합니다. CPU 와 메모리가 중요한 역할을 합니다. 만약 당신이 이중 CPU 를 가지고 있다면 그것을 사용하세요. DDR 고속 메모리를 메모리로 선택해야 합니다. 하드 드라이브는 가능한 한 저렴한 IDE 만 탐내지 말고 SCSI 를 선택하세요. 그렇지 않으면 높은 성능 대가를 치르게 됩니다. 또한 네트워크 카드는 반드시 3COM 이나 Intel 과 같은 유명 브랜드를 선택해야 합니다. Realtek 인 경우 자체 PC 에서 사용해야 합니다.
5. 웹 사이트를 정적 페이지로 만듭니다. 사이트를 가능한 한 정적인 페이지로 만들면 공격방지 능력을 크게 높일 수 있을 뿐만 아니라 해커에게도 많은 번거로움을 안겨줄 수 있다는 사실이 드러났다. 적어도 지금까지 HTML 의 오버플로우는 아직 나타나지 않았다. 한번 봅시다! 포털 사이트 (예: 시나닷컴, 소호, 인터넷 등). 주로 정적 페이지입니다. 동적 스크립트 호출이 필요하지 않은 경우 다른 별도의 호스트에서 공격을 받을 때 주 서버에 문제가 발생하지 않도록 합니다. 물론 데이터베이스를 제대로 호출하지 않는 스크립트를 넣는 것도 가능합니다. 또한 프록시를 사용하여 웹 사이트에 액세스하는 것은 악의적이기 때문에 데이터베이스를 호출해야 하는 스크립트에 프록시 액세스를 거부하는 것이 좋습니다.
6. 서버 운영 체제로서 운영 체제의 TCP/IP 스택 Win2000 및 Win2003 을 개선하면 DDOS 공격에 어느 정도 저항할 수 있지만 기본적으로 켜지지 않습니다. 켜는 경우 약 10000 개의 SYN 공격 패키지를 견딜 수 있습니다. 전원을 켜지 않으면 수백 개만 저항할 수 있다. 자세한 내용은 Microsoft 웹 문장 를 직접 읽어 보십시오! TCP/IP 프로토콜 스택의 보안을 강화합니다. 제가 리눅스와 FreeBSD 를 사용하면요? 아주 간단해, 이 문장 따라가면 돼! 동기 일기.
7. 전문 안티 DDOS 방화벽을 설치합니다.
8. 기타 방어 조치 위의 DDOS 에 대한 권장 사항은 자신의 호스트를 소유한 대부분의 사용자에게 적용됩니다. 그러나 위의 조치를 취한 후에도 DDOS 문제를 해결할 수 없다면 번거로울 것이다. 더 많은 투자, 서버 수 증가, DNS 라운드 로빈 또는 로드 밸런싱 기술 사용, 심지어 7 계층 스위치 장치를 구매하여 DDOS 공격에 저항하는 능력을 두 배로 늘릴 수 있습니다.
모바일 광대역 DNS 중 어느 것이 좋습니까?
대부분의 인터넷 사용자들에게' DNS' 라는 단어는 좀 낯설다. 하지만 사실, 네트워크 인프라의 중요한 부분인 DNS 는' 스케줄러' 의 역할로 웹 주소/도메인 이름을 IP 주소로 분석하는 데 없어서는 안 될 역할을 합니다.
DNS 서버가 실패하거나 공격을 받거나 잘못 구성되면 네트워크 마비, 웹 사이트 납치 및 수정, 네트워크 속도 저하, 광고 팝업과 같은 보안 문제가 발생할 수 있습니다.
일반적으로, 사람들은 모두 기본 DNS 노드로 인터넷을 하는데, 이 노드는 부근의 운영자가 제공한 것이다. 하지만 실제로 많은 누리꾼들이 인터넷 체험을 향상시키기 위해 좋은 무료 공공 DNS 를 선택해 컴퓨터를 직접 설치했다. 현재 시장에 공개 ***DNS 가 많고 양지가 고르지 않다. 우리는 특별히 비교적 유행하는 공공 ***DNS 몇 개를 모아서 비교해 보았는데, 각각 장단점이 있으니 참고하시기 바랍니다.
인터넷 거물인 구글의 공용 DNS
선호 주소: 8.8.8.8.
대체 주소: 8.8.4.4
기능 평가: 인터넷 거물인 구글의 제품은 품질면에서 항상 보장되어 왔으며, 이 공공 DNS 도 예외는 아니며, 기본적으로 많은 DNS 요구를 충족시킬 수 있으며, 이는 현재 세계에서 가장 많이 사용되는 공공 DNS 일 수 있습니다. 하지만 이 공공 DNS 실은 외국에 있어 국내에는 노드가 없다. 즉, 구글의 공공 DNS 가 구성되면' 수출전내판매' 노선을 밟아 인터넷 속도를 크게 연장해 비우호적이라는 뜻이다. (윌리엄 셰익스피어, Northern Exposure (미국 TV 드라마), Northern Exposure (미국 TV 드라마)
국내 사용자가 많은 1 14DNS.
선호 주소:114.14.16.5438+04.
대체 주소:114.14.114./kloc-
기능 평가: 1 14DNS 는 국내에서 엄청난 수의 사용자를 보유하고 있으며 DNS 분석 성공률이 높습니다. 통신, 연결, 모바일 사업자 사용자의 요구를 동시에 만족시켜 국내외 웹사이트를 더 많이 방문할 수 있습니다. 1 14DNS 는 비교적 일찍 만들어졌으며, 일정한 기술 축적이 있고, 안정성이 우수하며, 속도도 비교적 만족스럽다.
중국 최초의 IPv6 공용 DNS.
선호 주소: 240c::6666
대체 주소: 240c::6644 (순수 IPv6 전환 테스트만 해당)
기능평가: 최근 2 년 동안 국가정책의 추진으로 국내에서 IPv6 을 통해 인터넷에 접속하는 추세가 크게 늘면서 IPv6 기반 공용 DNS 를 사용해야 합니다. 차세대 인터넷 국가공학센터에서 내놓은 240c::6666, 보안, 안정성, 하이재킹 방지가 모두 좋다. 국내에 배치된 노드도 많기 때문에 액세스 속도도 괜찮다. 또한 IPv6 사용자가 IPv4 관련 서비스에 쉽게 액세스할 수 있도록 IPv6 공용 DNS 및 DNS64 분석 테스트 서비스, 즉 확인 시스템도 순수 IPv6 사용자의 순수 IPv4 네트워크 리소스 분석 요청에 응답할 수 있으므로 IPv4 에서 IPv6 로의 전환으로 인한 콘텐츠가 완전히 업그레이드되지 않는 번거로움을 어느 정도 방지할 수 있습니다.
세계에서 가장 빠른 종달새라고 불린다
선호 주소:1..1..1..1.
대체 주소: 1.0.0. 1
기능 평가: CloudFlare 는 세계 최대 규모의 CDN/DDOS 보호 서비스 제공 업체 중 하나로 전 세계 인프라 자원이 매우 풍부하고 자금과 기술력이 뛰어납니다. 그래서 Cloudflare 는 세계에서 가장 빠른 공공 DNS 라고 불린다. 하지만 구글의 공공 DNS 와 마찬가지로 국내 네티즌들도 이에 견줄 수밖에 없다.
국내 인터넷 거물인 알리 가문의 알리 DNS.
선호 주소: 223.5.5.5.
대체 주소: 223.6.6.6
기능평가: 알리바바와 아리운의 국내와 클라우드 분야에서의 기술력을 감안하면 아리운이 내놓은 무료 DNS 재귀분석시스템은 전 세계 수백 대의 서버로 구성된 클러스터가 충분한 대역폭 자원을 보유하고 있다고 주장할 만하다. 목표는 국내 인터넷 인프라의 일부가 되어 BGPAnycast 와 ECS 기술을 지원하는 것이다.
물론, 이 외에도 시중에는 많은 공개 DNS 가 있으며, 주장하는 기능도 비슷하다. 사용자들은 자신의 실제 수요와 소재한 도시에 따라 종합적으로 판단해야 한다.