DDOS攻击DNS,如何处理?
有DDOS攻击DNS,发送不存在的域名查询和ANY域名查询。前者会查找一圈再返回,时间较长,造成大量的进程占用;后者返回的数据包太大。请问如何处理?!这个东西一直是别人在管,他搞不定了扔给我了。 最好有防火墙(硬件防火墙最好了),多台设备分流等,DDOS攻击单从软件配置上难以解决 防火墙,拉黑 DNS有一个限制递查询的功能。只开放给公司内部的网段提供查询功能。 对于递归攻击可以看看BIND里面的递归限速,好像有,也可能没有。没有的话,只能通过其它的软件或是系统来做了。有这样的系统
对于any查询,可以拒绝掉,BIND里面可能不能通过配置完成,该代码吧
防火墙不论是硬件还是软件的都不要用,会有很大的问题的。 回复 4# woxizishen
要限制就会全限制,不存在区域限制。你说的大约防火墙能做到。
ree 发表于 2016-01-15 12:14 static/image/common/back.gif
对于递归攻击可以看看BIND里面的递归限速,好像有,也可能没有。没有的话,只能通过其它的软件或是系统来做 ...
BIND竟然没有WIN08自带的DNS性能好,也是一怪。 回复 6# 大邪神
怎么说了,我之前的dns服务器也是接受了大量的伪造ip发起的查询,无法提供解析服务了。后来就开放了部分网段可以进行递归查询,已经几年没出现问题。你要从防火墙去解决,没必要吧。只需要在dns配置文件里限制递归查询,然后开放部分网段查询就可解决了呀。
页:
[1]