1.授權DNS伺服器限制名字伺服器遞迴查詢功能,遞迴dns伺服器要限制遞迴訪問的客戶(啟用白名單IP段)
2.限制區傳送zone transfer,主從同步的DNS伺服器範圍啟用白名單,不在列表內的DNS伺服器不允許同步zone檔案
allow-transfer{ };
allow-update{ };
3.啟用黑白名單
已知的攻擊IP 加入bind的黑名單,或防火牆上設定禁止訪問;
透過acl設定允許訪問的IP網段;
透過acl設定允許訪問的IP網段;透過acl設定允許訪問的IP網段;
4.隱藏BIND的版本資訊;
5.使用非root許可權執行BIND;
6.刪除DNS上不必要的其他服務。建立一個DNS伺服器系統就不應該安裝Web、POP、gopher、NNTP News等服務。
建議不安裝以下軟體包:
1)X-Windows及相關的軟體包;2)多媒體應用軟體包;3)任何不需要的編譯程式和指令碼解釋語言;4)任何不用的文字編輯器;5)不需要的客戶程式;6)不需要的其他網路服務。確保域名解析服務的獨立性,執行域名解析服務的伺服器上不能同時開啟其他埠的服務。權威域名解析服務和遞迴域名解析服務需要在不同的伺服器上獨立提供;
7.使用dnstop監控DNS流量
#yum install libpcap-devel ncurses-devel
下載原始碼 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9.增強DNS伺服器的防範Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度減緩大量SYN請求導致TCP連線阻塞的狀況
縮短retries次數:Linux系統預設的tcp_synack_retries是5次
限制SYN頻率
防範SYN Attack攻擊: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把這個命令加入"/etc/rc.d/rc.local"檔案中;
10.[防中間人攻擊(Man in the Middle Attack)]:對域名服務協議是否正常進行監控,即利用對應的服務協議或採用相應的測試工具向服務埠發起模擬請求,分析伺服器返回的結果,以判斷當前服務是否正常以及記憶體資料是否變動。在條件允許的情況下,在不同網路內部部署多個探測點分散式監控;
11.[防ddos攻擊]提供域名服務的伺服器數量應不低於2臺,建議獨立的名字伺服器數量為5臺。並且建議將伺服器部署在不同的物理網路環境中; 使用入侵檢測系統,儘可能的檢測出中間人攻擊行為; 在域名服務系統周圍部署抗攻擊裝置,應對這型別的攻擊;利用流量分析等工具檢測出DDoS攻擊行為,以便及時採取應急措施;
12.[防 快取窺探(Cache Snooping)]:限制遞迴服務的服務範圍,僅允許特定網段的使用者使用遞迴服務;
13.[防快取中毒(或DNS欺騙)(Cache Poisoning or DNS Spoofing)]:對重要域名的解析結果進行重點監測,一旦發現解析資料有變化能夠及時給出告警提示; 部署dnssec;
14.建立完善的資料備份機制和日誌管理系統。應保留最新的3個月的全部解析日誌,並且建議對重要的域名資訊系統採取7×24的維護機制保障,應急響應到場時間不能遲於30分鐘。
1.授權DNS伺服器限制名字伺服器遞迴查詢功能,遞迴dns伺服器要限制遞迴訪問的客戶(啟用白名單IP段)
2.限制區傳送zone transfer,主從同步的DNS伺服器範圍啟用白名單,不在列表內的DNS伺服器不允許同步zone檔案
allow-transfer{ };
allow-update{ };
3.啟用黑白名單
已知的攻擊IP 加入bind的黑名單,或防火牆上設定禁止訪問;
透過acl設定允許訪問的IP網段;
透過acl設定允許訪問的IP網段;透過acl設定允許訪問的IP網段;
4.隱藏BIND的版本資訊;
5.使用非root許可權執行BIND;
4.隱藏BIND的版本資訊;
5.使用非root許可權執行BIND;
6.刪除DNS上不必要的其他服務。建立一個DNS伺服器系統就不應該安裝Web、POP、gopher、NNTP News等服務。
建議不安裝以下軟體包:
1)X-Windows及相關的軟體包;2)多媒體應用軟體包;3)任何不需要的編譯程式和指令碼解釋語言;4)任何不用的文字編輯器;5)不需要的客戶程式;6)不需要的其他網路服務。確保域名解析服務的獨立性,執行域名解析服務的伺服器上不能同時開啟其他埠的服務。權威域名解析服務和遞迴域名解析服務需要在不同的伺服器上獨立提供;
7.使用dnstop監控DNS流量
#yum install libpcap-devel ncurses-devel
下載原始碼 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#;
9.增強DNS伺服器的防範Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度減緩大量SYN請求導致TCP連線阻塞的狀況
縮短retries次數:Linux系統預設的tcp_synack_retries是5次
限制SYN頻率
防範SYN Attack攻擊: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把這個命令加入"/etc/rc.d/rc.local"檔案中;
10.[防中間人攻擊(Man in the Middle Attack)]:對域名服務協議是否正常進行監控,即利用對應的服務協議或採用相應的測試工具向服務埠發起模擬請求,分析伺服器返回的結果,以判斷當前服務是否正常以及記憶體資料是否變動。在條件允許的情況下,在不同網路內部部署多個探測點分散式監控;
11.[防ddos攻擊]提供域名服務的伺服器數量應不低於2臺,建議獨立的名字伺服器數量為5臺。並且建議將伺服器部署在不同的物理網路環境中; 使用入侵檢測系統,儘可能的檢測出中間人攻擊行為; 在域名服務系統周圍部署抗攻擊裝置,應對這型別的攻擊;利用流量分析等工具檢測出DDoS攻擊行為,以便及時採取應急措施;
12.[防 快取窺探(Cache Snooping)]:限制遞迴服務的服務範圍,僅允許特定網段的使用者使用遞迴服務;
13.[防快取中毒(或DNS欺騙)(Cache Poisoning or DNS Spoofing)]:對重要域名的解析結果進行重點監測,一旦發現解析資料有變化能夠及時給出告警提示; 部署dnssec;
14.建立完善的資料備份機制和日誌管理系統。應保留最新的3個月的全部解析日誌,並且建議對重要的域名資訊系統採取7×24的維護機制保障,應急響應到場時間不能遲於30分鐘。