免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1517 | 回复: 7

[DNS] DDOS攻击DNS,如何处理? [复制链接]

论坛徽章:
2
季节之章:冬
日期:2015-01-20 17:08:47IT运维版块每日发帖之星
日期:2016-02-24 06:20:00
发表于 2015-12-16 10:07 |显示全部楼层
有DDOS攻击DNS,发送不存在的域名查询和ANY域名查询。前者会查找一圈再返回,时间较长,造成大量的进程占用;后者返回的数据包太大。请问如何处理?!

这个东西一直是别人在管,他搞不定了扔给我了。

论坛徽章:
45
2016猴年福章徽章
日期:2016-02-18 16:42:24平安夜徽章
日期:2015-12-27 09:46:0315-16赛季CBA联赛之八一
日期:2015-12-15 17:08:23黄金圣斗士
日期:2015-12-11 09:16:31天蝎座
日期:2015-12-11 09:16:22戌狗
日期:2015-12-11 09:16:19程序设计版块每周发帖之星
日期:2015-12-11 09:15:21操作系统版块每周发帖之星
日期:2015-12-11 09:15:16IT运维版块每周发帖之星
日期:2015-12-11 09:15:09IT运维版块每月发帖之星
日期:2015-12-11 09:15:01CU十四周年纪念徽章
日期:2015-12-11 09:14:40操作系统版块每日发帖之星
日期:2015-12-11 09:13:36
发表于 2015-12-16 12:58 |显示全部楼层
最好有防火墙(硬件防火墙最好了),多台设备分流等,DDOS攻击单从软件配置上难以解决

论坛徽章:
218
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:3215-16赛季CBA联赛之上海
日期:2019-09-20 12:29:32操作系统版块每日发帖之星
日期:2016-03-02 06:20:00操作系统版块每日发帖之星
日期:2016-03-01 06:20:00操作系统版块每日发帖之星
日期:2016-02-18 06:20:00操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58月度论坛发贴之星
日期:2016-01-31 22:25:02操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2015-12-16 15:49 来自手机 |显示全部楼层
防火墙,拉黑

论坛徽章:
23
天蝎座
日期:2014-05-13 18:05:59IT运维版块每日发帖之星
日期:2015-11-26 06:20:00操作系统版块每月发帖之星
日期:2015-12-02 14:57:54IT运维版块每月发帖之星
日期:2016-01-07 23:01:56IT运维版块每周发帖之星
日期:2016-01-07 23:04:2615-16赛季CBA联赛之青岛
日期:2016-01-23 07:58:272016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控
日期:2016-03-23 14:20:06IT运维版块每日发帖之星
日期:2016-04-01 06:20:0015-16赛季CBA联赛之吉林
日期:2016-06-28 13:51:54IT运维版块每日发帖之星
日期:2015-11-23 06:20:00IT运维版块每日发帖之星
日期:2015-11-23 06:20:00
发表于 2015-12-17 07:37 |显示全部楼层
DNS有一个限制递查询的功能。只开放给公司内部的网段提供查询功能。

论坛徽章:
3
IT运维版块每日发帖之星
日期:2016-01-18 06:20:00IT运维版块每日发帖之星
日期:2016-01-19 06:20:00IT运维版块每周发帖之星
日期:2016-03-07 16:27:44
发表于 2016-01-15 12:14 |显示全部楼层
对于递归攻击可以看看BIND里面的递归限速,好像有,也可能没有。没有的话,只能通过其它的软件或是系统来做了。有这样的系统

对于any查询,可以拒绝掉,BIND里面可能不能通过配置完成,该代码吧

防火墙不论是硬件还是软件的都不要用,会有很大的问题的。

论坛徽章:
2
季节之章:冬
日期:2015-01-20 17:08:47IT运维版块每日发帖之星
日期:2016-02-24 06:20:00
发表于 2016-02-21 10:13 |显示全部楼层
回复 4# woxizishen

要限制就会全限制,不存在区域限制。你说的大约防火墙能做到。


   

论坛徽章:
2
季节之章:冬
日期:2015-01-20 17:08:47IT运维版块每日发帖之星
日期:2016-02-24 06:20:00
发表于 2016-02-21 10:14 |显示全部楼层
ree 发表于 2016-01-15 12:14
对于递归攻击可以看看BIND里面的递归限速,好像有,也可能没有。没有的话,只能通过其它的软件或是系统来做 ...


BIND竟然没有WIN08自带的DNS性能好,也是一怪。

论坛徽章:
23
天蝎座
日期:2014-05-13 18:05:59IT运维版块每日发帖之星
日期:2015-11-26 06:20:00操作系统版块每月发帖之星
日期:2015-12-02 14:57:54IT运维版块每月发帖之星
日期:2016-01-07 23:01:56IT运维版块每周发帖之星
日期:2016-01-07 23:04:2615-16赛季CBA联赛之青岛
日期:2016-01-23 07:58:272016猴年福章徽章
日期:2016-02-18 15:30:3415-16赛季CBA联赛之北控
日期:2016-03-23 14:20:06IT运维版块每日发帖之星
日期:2016-04-01 06:20:0015-16赛季CBA联赛之吉林
日期:2016-06-28 13:51:54IT运维版块每日发帖之星
日期:2015-11-23 06:20:00IT运维版块每日发帖之星
日期:2015-11-23 06:20:00
发表于 2016-02-22 11:59 |显示全部楼层
回复 6# 大邪神

怎么说了,我之前的dns服务器也是接受了大量的伪造ip发起的查询,无法提供解析服务了。后来就开放了部分网段可以进行递归查询,已经几年没出现问题。你要从防火墙去解决,没必要吧。只需要在dns配置文件里限制递归查询,然后开放部分网段查询就可解决了呀。
   
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。




----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP