参考答案
防御 DNS 攻击的方法:
- 首先,保证拥有足够的带宽,以承受小规模的洪水般的攻击。一个单一的 T1 线路对于重要的互联网连接是不够的,因为任何恶意的脚本少年都可以消耗掉带宽。如果连接不是执行重要任务的,一条T1线路就够了。否则,就需要更多的带宽以便承受小规模的洪水般的攻击。
- 但是,几乎任何人都无法承受每秒钟数GB的DNS放大攻击。因此,要准备能够与ISP随时取得联系的应急电话号码。这样,一旦发生这种攻击,可以马上与ISP联系,在上游过滤掉这种攻击。要识别这种攻击,需要查看包含DNS回复的大量通讯(源UDP端口53),特别是要查看那些拥有大量DNS记录的端口。一些ISP已经在其整个网络上部署了传感器以便检测各种类型的早期大量通讯。这样,ISP很可能在你发现这种攻击之前,就发现和避免了这种攻击(前提是你的ISP拥有这个能力)。
- 为了帮助阻止恶意使用你的DNS服务器作为一个实施这种DNS放大攻击的代理,要保证你的可以从外部访问的DNS服务器仅为你自己的网络执行循环查询,不为任何互联网上的地址进行这种查询。大多数主要DNS服务器拥有限制循环查询的能力,因此,它们仅接受某些网络的查询,比如你自己的网络。通过阻止利用循环查询装载大型有害的DNS记录,就可以防止你的DNS服务器成为这个问题的一部分。
以上,是网络安全面试题【怎么防御DNS攻击】的参考答案。
输出,是最好的学习方法。
欢迎在评论区留下你的问题、笔记或知识点补充~
—end—
