大家怎么对付病毒对DNS的影响

zzzaaaqqq

现在的蠕虫病毒很多是针对某一域名进行dos攻击，对DNS的副影响是不断要求解析同一域名的IP，速度有时高得可怕，可以达到500个查询/s以上，讨论一下如何去防范这种行为。
前部加防火墙是个办法，不过PIX好象没这类功能。
主机里做角本也是办法，不过效果不是很礼想，不如在前部设备上做。
有什么更好的提议

starbear

正想知道，哪位知道有什么好的解决方法 ？

fmccterry

我架设了防火墙和IDS

realfox

主要是内部的……
比较麻烦

mana

1 pix可以做过滤
2 如果是内网，最好的办法就是消灭病毒
3 外网，结合日志和防火墙阻止dos或DDoS攻击

zzzaaaqqq

PIX，有自动IDS功能？我们这里倒也是用的PIX，用户是拨号的，非固定IP
要靠手工加访问列表，比较困难，要被累死的，用户数量实在是比较大
上面有位说用防火墙和IDS，软件？硬件？效果怎么样

realfox

把ICMP禁了，就会安静很多，如果是外部的

zzzaaaqqq

ICMP封掉了，我只开了53的端口

fmccterry

我用了PIX和IDS，也没什么效果。IDS只能是发现攻击，并没有阻止攻击的办法。
关闭ICMP，好像也没多大意义吧，只是用户无法PING通而已，给自己排障也带来不便。
我想还是在PIX上限定允许访问DNS的ip地址段，我们这里多数是专线用户，ip固定。

zzzaaaqqq

唉，固定IP好办些，但老是手工加来加去也不是办法呵，要是用户上万的说