内容导读:导航目录:1、如何有效防止DNS欺骗攻击2、ZDNS产品可以防护那种DNS攻击3、网站DNS被恶意攻击了,有没有什么办法可以防御攻击呢?如何有效防止DNS欺骗攻击①启动注册表编辑器(Regedit.exe);②在以下注册...……
导航目录:
如何有效防止DNS欺骗攻击
①启动注册表编辑器(Regedit.exe);
②在以下注册表项中找到MaxCacheEntryTtlLimit值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters;
③在编辑菜单上,单击修改,键入数值1并确定;
④后退出注册表编辑器。
一般情况下,DNS欺骗攻击是比较难以防御的,因为这种攻击大多数本质都是被动的,只有在发生DNS欺骗攻击后,才能发现以被欺骗攻击。所以,我们在尽量防止DNS欺骗攻击基础上,需要做更多的防范措施,比如:保护内部设备、不要过分依赖DNS、定时检查服务器安全以及使用DNSSEC替代DNS等。
ZDNS产品可以防护那种DNS攻击
DNS攻击只能换服务器躲避,IP地址攻击可以避免。现在所有的杀毒软件也无法完全防御DNS攻击,跟别提别的了
网站DNS被恶意攻击了,有没有什么办法可以防御攻击呢?
防御DNS攻击,需要注意以下几个方面:
1、保证带宽
一个单一的T1线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉你的带宽。如果你的连接不是执行重要任务的,一条T1线路就够了。否则,你就需要更多的带宽以便承受小规模的洪水般的攻击。
2、ISP过滤
一旦发生这种攻击,可以马上与ISP联系,让他们在上游过滤掉这种攻击。
要识别这种攻击,要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个 *** 上部署了传感器以便检测各种类型的早期大量通讯。这样,你的ISP很可能在你发现这种攻击之前就发现和避免了这种攻击。你要问一下你的ISP是否拥有这个能力。
3、确保安全
为了帮助阻止恶意人员使用你的DNS服务器作为一个实施这种DNS放大攻击的 *** ,你要保证你的可以从外部访问的DNS服务器仅为你自己的 *** 执行循环查询,不为任何互联网上的地址进行这种查询。大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些 *** 的查询,比如你自己的 *** 。通过阻止利用循环查询装载大型有害的DNS记录,你就可以防止你的DNS服务器成为这个问题的一部分。