dns防护怎么做 怎样在linux上使用BIND建立DNS服务器

1.授权DNS服务器限制名字服务器递归查询功能，递归DNS服务器要限制递归访问的客户（启用白名单IP段）

2.限制区传送zone transfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{ };

allow-update{ };

3.启用黑白名单

已知的攻击IP 加入BIND的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。

建议不安装以下软件包：

1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

7.使用dnstop监控DNS流量

#yum install libpcap-devel ncurses-devel

下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增强DNS服务器的防范Dos/DDoS功能

使用SYN cookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中；

10.[防中间人攻击(Man in the Middle Attack)]：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

11.[防ddos攻击]提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统，尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；

12.[防 缓存窥探(Cache Snooping)]：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13.[防缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing)]：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec；

14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。

DNS防护可以通过以下几个方面来实现：

1.配置防火墙，限制DNS流量来自非授权的IP地址；

2.使用DNS缓存服务器，减少DNS查询次数，降低攻击风险；

3.启用DNSSEC，确保域名解析的安全性和完整性；

4.使用DDoS防护服务，及时发现和防御DDoS攻击。同时，定期更新DNS软件和补丁，及时发现并修复漏洞，也是DNS防护的重要环节。

1、安装DNS服务器组件：安装bindyum install -y bind bind-chroot bind-utils

2、编辑DNS主配置文件：vi /etc/named.conf修改主配置文件

3、接着修改named.rfc1912.zones文件，vi /etc/named.rfc1912.zones

4、添加设置DNS正向解析：修改zone配置文件，正向解析：cd /var/named/cp named.localhost szlpt.cn.zonevi szlpt.cn.zone（要和主配置文件[/etc/named.rfc1912.zones]里面定义的zone文件名一致）

5、修改zone配置文件，反向解析：cd /var/named/cp named.localhost 32.168.192.zonevi 0.168.192.zone（要和主配置[/etc/named.rfc1912.zones]文件里面定义的zone文件名一致）

6、更改防火墙设置和selinux设置：Getenforce（查看selinux是否开启）setenforce 0vi /etc/sysconfig/iptables #配置防火墙端口-AINPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT-AINPUT -m state --state NEW -m udp -p udp --dport 53 -j ACCEPT-AINPUT -m state --state NEW -m tcp -p tcp --dport 953 -j ACCEPTservice iptables restart #重启防火墙，使规则生效

7、启动DNS服（注意DNS服务名称在linux是叫做bind）：service named start

8、测试检测域信息是否正常（重要）：检查之前先看下 配置文件有没有读取权限 ll /var/named（如果没有读取全线， chmod +r /var/named/* 即可）

9、检查bind文件配置过程中容易出错：以下命令用以检查bind配置文件及zone文件语法named-checkconf /etc/named.confnamed-checkzone szlpt.cn /var/named/ szlpt.cn.zone

10、启动重启DNS服务，查看服务状态：service named restartservice network restart用户端测试解析，通过nslookup进行测试。