dns防护怎么做？

1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

2.限制区传送zone transfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{ };

allow-update{ };

3.启用黑白名单

已知的攻击IP 加入bind的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。

建议不安装以下软件包：

1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

7.使用dnstop监控DNS流量

#yum install libpcap-devel ncurses-devel

下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增强DNS服务器的防范Dos/DDoS功能

使用SYN cookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中；

10.：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

11.提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统，尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；

12.：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13.：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec；

14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。

ddos攻击防护思路？

1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要
尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好
了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻
击是非常有效的。

2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此
技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过
程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用
NAT，那就没有好办法了。

3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都
很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在
1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽
就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M
的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为
10M，这点一定要搞清楚。

4、升级主机服务器硬件
在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，
服务器的配置至少应该为：P42.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，
若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，
别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用
3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面
大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入
侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易
等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机
去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此
外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网
站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是
默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能
抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化TCP/IP堆栈安全》。
也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN
Cookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施
以上几条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然
不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮
巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，
只要投资足够深入。

移动宽带dns哪个好？

对于大部分互联网用户来说，“DNS（域名系统）”这个名词稍显陌生。但实际上，作为网络基础设施的重要组成部分，DNS以其“调度员”的角色，将网址/域名解析成 IP 地址，在我们的上网过程中承担着不可或缺的重要地位。

一旦DNS服务器出现故障、被攻击或配置不合理，可能导致网络瘫痪、网站被劫持修改、网速缓慢、弹出广告等种种安全问题。

通常情况下，大家上网都是采用默认的DNS节点，由运营商就近提供。但事实上，为提升上网体验，很多网友都自行选择不错的免费公共DNS，对自己的电脑进行自行设置。目前市面上的公共DNS比较多，良莠不齐，特意搜集比较热点的几款公共DNS进行对比，优缺点各异，供大家选择参考。

互联网巨头Google家的公共DNS

首选地址：8.8.8.8

备用地址：8.8.4.4

功能测评：互联网巨头 Google的产品向来是有品质保证的，这个公共DNS也不例外，基本能够满足诸多DNS需求，这个可能也是目前全球范围内使用量最大的公共 DNS。BUT，这个公共DNS的机房在国外，国内没有节点，也就是说，对于国内上网的盆友们，一旦你配置了谷歌的公共DNS，就意味着走了一条“出口转内销”的路线，大大延长了上网速度，实在是不甚友好啊。

国内用户量较大的114DNS

首选地址：114.114.114.114

备选地址：114.114.114.115

功能测评：114 DNS在国内的用户量相当巨大，其 DNS 解析成功率高，同时满足电信、联通、移动各运营商用户，能访问更多的国内外网站。114DNS 做得比较早，有一定的技术积累，稳定性不错，速度虽然没有很优秀但也能让人满意。

我国首个IPv6公共DNS

首选地址：240c::6666

备选地址：240c::6644（仅作为纯IPv6过渡测试使用）

功能测评：这两年，由于国家政策的推动，国内通过IPv6上网的趋势明显增加，所以基于IPv6的公共DNS就显得非常必要。由下一代互联网国家工程中心推出的240c::6666，在安全性、稳定性、防劫持等方面都不错，节点在国内部署比较多，因此访问速度也是可以的。除此之外，为方便IPv6用户访问IPv4相关服务，IPv6公共DNS还有DNS64解析的测试服务，即通过该解析系统同样可以响应纯IPv6用户对纯IPv4网络资源的解析请求，这也在一定程度上避免了IPv4至IPv6过渡期所带来的内容尚未完全改造升级的困扰。

号称全球最快的CloudFlare DNS

首选地址：1.1.1.1

备选地址：1.0.0.1

功能测评：CloudFlare 是全球最大的 CDN / DDOS 防护服务提供商之一，其遍布全球的基础设施资源极其丰富，资金和技术实力相当雄厚，因此CloudFlare DNS 号称是全球最快的公共 DNS 。不过和Google家的公共DNS同理，国内网友只能是可望而不可及。

国内互联网巨头阿里家的AliDNS

首选地址：223.5.5.5

备选地址：223.6.6.6

功能测评：联想到阿里巴巴和阿里云在国内及云领域的技术实力，阿里云推出的免费 DNS 递归解析系统还是值得尝试的，宣称全球数百台服务器组成的集群，拥有充足的带宽资源，目标是成为国内互联网基础设施的组成部分，支持 BGP Anycast 以及 ECS 技术。

当然，除了以上这些，市面上还有很多公共DNS，宣称的功能也大同小异，用户还是要结合自己的实际需要及所处的城市来综合判断。