Código fuente DDOS Código fuente DDOS gratuito

¿Cómo proteger Dns?

1. Restrinja la función de consulta recursiva del servidor DNS autorizado y restrinja el acceso recursivo del servidor DNS recursivo al cliente (habilite el segmento IP de la lista blanca)

2. Restringa la transferencia de zona , los servidores DNS maestro-esclavo dentro del rango de sincronización habilitan una lista blanca y los servidores DNS que no están en la lista no pueden sincronizar archivos de zona

allow-transfer{};

allow- actualizar{};

3. Habilitar listas blancas y negras

Agregar IP de ataque conocidas a la lista negra de Bind o configurar el firewall para denegar el acceso;

Establecer IP direcciones a las que se permite acceder a través del segmento IP de acl;

Establecer el segmento de IP al que se permite acceder a través de acl;

4. Ocultar la información de la versión de BIND;

5. Ejecute con permisos no root BIND;

4.>Elimine otros servicios innecesarios en DNS. Servicios como Web, POP, Gopher, NNTPNews, etc. no deben instalarse al crear un sistema de servidor DNS.

Se recomienda no instalar los siguientes paquetes:

1) X-Windows y paquetes relacionados; 2) Paquetes de aplicaciones multimedia 3) Cualquier lenguaje de programa de interpretación de scripts y compiladores innecesarios; 4) cualquier editor de texto innecesario; 5) programas cliente innecesarios; 6) otros servicios de red innecesarios. Asegúrese de que el servicio de resolución de nombres de dominio sea independiente; no se pueden abrir otros servicios de puerto en el servidor que ejecuta el servicio de resolución de nombres de dominio al mismo tiempo. Los servicios de resolución de nombres de dominio autorizados y los servicios de resolución de nombres de dominio recursivos deben proporcionarse de forma independiente en diferentes servidores;

7. Utilice dnstop para monitorear el tráfico DNS

#yuminstalllibpcap-develncurses-devel

Descargar código fuente/tools/dnstop/src/dnstop-20140915.tar.gz

#;

9. Mejorar el servidor DNS para evitar Dos/DDoS

Usar SYNcookie

Aumentar el trabajo pendiente puede ralentizar hasta cierto punto el bloqueo de la conexión TCP causado por una gran cantidad de solicitudes SYN

Acortar el número de reintentos. Acorte el número de reintentos: tcp_synack_retries predeterminado de Linux es 5 veces

Limita la frecuencia de SYN

Evita ataques SYNAttack: #echo1gt /proc/sys/net/ipv4/tcp_syncookies Añade esto comando Vaya al archivo /etc/rc.cc.html.etc/rc.d/rc.local;

10: Supervise si el protocolo del servicio de nombres de dominio es normal, es decir, utilice el servicio correspondiente acuerdo o utilice la herramienta de prueba correspondiente Inicie una solicitud de simulación al puerto de servicio y analice los resultados devueltos por el servidor para determinar si el servicio actual es normal y si los datos de la memoria han cambiado. Si las condiciones lo permiten, se pueden implementar múltiples puntos de detección en diferentes redes para el monitoreo distribuido;

11. La cantidad de servidores que brindan servicios de nombres de dominio no debe ser inferior a 2, y se recomienda que la cantidad de servidores independientes Los servidores de nombres de dominio serán de 5 torres.

Se recomienda implementar servidores en diferentes entornos de red físicos; utilizar sistemas de detección de intrusiones tanto como sea posible para detectar ataques de intermediarios; implementar equipos antiataques alrededor del sistema de servicios de nombres de dominio para hacer frente a dichos ataques; análisis y otras herramientas para detectar ataques DDoS para que se puedan tomar medidas oportunas Medidas de emergencia;

12: Limitar el alcance del servicio recursivo y solo permitir que los usuarios en segmentos de red específicos utilicen el servicio recursivo;

13: Centrarse en monitorear la resolución de nombres de dominio importantes una vez que se encuentre la resolución. Proporcionar alertas oportunas cuando los datos cambien;

14. sistema. Se deben conservar los registros de análisis de los últimos tres meses. Se recomienda adoptar un mecanismo de mantenimiento 7 × 24 para sistemas de información de nombres de dominio importantes para garantizar que la respuesta de emergencia a la escena no pueda tardar más de 30 minutos.