帮助与文档

热搜关键词:远程连接挂载域名解析发票找回密码

如何保障服务器不受DNS劫持

更新时间:2019-3-21 10:01:07

太多太多的DNS服务器被恶意人士加以劫持,并用于实施DDoS攻击。在今天的文章中,唯一网络高防服务器和你们将共同探讨如何保障服务器不受DNS劫持。

检查所有DNS服务

针对计算机及设备用于接收连接的TCP或者UDP端口53进行扫描,从而检查所有运行有DNS服务的计算机及设备并对其进行安全配置。一般来讲,大家会发现其中存在着一些运行有计划外DNS服务器的装置及网络设备(例如无线路由器等)。

DNS响应速率限制

作为防止自有DNS服务器被用于DDoS攻击活动的最佳防御手段之一,我们应当对其进行响应速率限制(简称RRL)。RRL主要面向权威DNS服务器(即那些应当对一个或者多个域名进行响应的DNS服务器),且允许DNS管理员针对DNS响应流量作出有效速率限制。

尽管在默认情况下并未启用(但绝对应该被启用!),我们可以在BIND 9.9(及其后续版本)当中找到RRL,其同时也作为微软即将推出的Windows Server 2016 DNS服务的组成部分。

如果大家的DNS服务器并不支持RRL,则可以尝试利用其它备选方案实现同样的效果,包括使用防火墙速率过滤或者其它反DDoS服务来保护自己的DNS。

禁用向上转介响应

对于大多数DNS来讲,当某台非递归权威DNS服务器收到一条未经认证的域名查询时,该DNS服务器会直接将该查询客户重新定向至顶级域名DNS服务器,能够在文件托管‘root hints’当中按照名称及IP地址进行排列。

然而DNS放大攻击的出现也使得这种使用root hints的方式饱受诟病。唯一网络一直建议大家禁用这一向上转介行为。微软公司计划在其Windows Server 2016当中默认禁用向上转介机制,而大家也可以通过删除该root hints文件。

服务器租用/服务器托管最具实力IDC提供商!十年品牌保障 – 唯一网络!
转载请注明:唯一网络https://www.wy.cn

立即注册享受唯一的服务 立即注册
服务热线:0769-23015555