dns防護怎么做？

1.授權DNS服務器限制名字服務器遞歸查詢功能，遞歸dns服務器要限制遞歸訪問的客戶（啟用白名單IP段）

2.限制區傳送zone transfer，主從同步的DNS服務器范圍啟用白名單，不在列表內的DNS服務器不允許同步zone文件

allow-transfer{ };

allow-update{ };

3.啟用黑白名單

已知的攻擊IP 加入bind的黑名單，或防火墻上設置禁止訪問；

通過acl設置允許訪問的IP網段；

通過acl設置允許訪問的IP網段；通過acl設置允許訪問的IP網段；

4.隱藏BIND的版本信息；

5.使用非root權限運行BIND；

4.隱藏BIND的版本信息；

5.使用非root權限運行BIND；

6.刪除DNS上不必要的其他服務。創建一個DNS服務器系統就不應該安裝Web、POP、gopher、NNTP News等服務。

建議不安裝以下軟件包：

1）X-Windows及相關的軟件包；2）多媒體應用軟件包；3）任何不需要的編譯程序和腳本解釋語言；4）任何不用的文本編輯器；5）不需要的客戶程序；6）不需要的其他網絡服務。確保域名解析服務的獨立性，運行域名解析服務的服務器上不能同時開啟其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供；

7.使用dnstop監控DNS流量

#yum install libpcap-devel ncurses-devel

下載源代碼 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增強DNS服務器的防范Dos/DDoS功能

使用SYN cookie

增加backlog,可以一定程度減緩大量SYN請求導致TCP連接阻塞的狀況

縮短retries次數:Linux系統默認的tcp_synack_retries是5次

限制SYN頻率

防范SYN Attack攻擊: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把這個命令加入"/etc/rc.d/rc.local"文件中；

10.：對域名服務協議是否正常進行監控，即利用對應的服務協議或采用相應的測試工具向服務端口發起模擬請求，分析服務器返回的結果，以判斷當前服務是否正常以及內存數據是否變動。在條件允許的情況下，在不同網絡內部部署多個探測點分布式監控；

11.提供域名服務的服務器數量應不低于2臺，建議獨立的名字服務器數量為5臺。并且建議將服務器部署在不同的物理網絡環境中; 使用入侵檢測系統，盡可能的檢測出中間人攻擊行為; 在域名服務系統周圍部署抗攻擊設備，應對這類型的攻擊;利用流量分析等工具檢測出DDoS攻擊行為，以便及時采取應急措施；

12.：限制遞歸服務的服務范圍，僅允許特定網段的用戶使用遞歸服務；

13.：對重要域名的解析結果進行重點監測，一旦發現解析數據有變化能夠及時給出告警提示; 部署dnssec；

14.建立完善的數據備份機制和日志管理系統。應保留最新的3個月的全部解析日志，并且建議對重要的域名信息系統采取7×24的維護機制保障，應急響應到場時間不能遲于30分鐘。

linux下防DDOS攻擊軟件及使用方法有哪些？

一些常用的防DDOS攻擊的方法，羅列如下：

1.增加硬件防火墻和增加硬件設備來承載和抵御DDOS攻擊，最基本的方法，但成本比較高。

2.修改SYN設置抵御SYN攻擊： SYN攻擊是利用TCP/IP協議3次握手的原理，發送大量的建立連接的網絡包，但不實際建立連接，最終導致被攻擊服務器的網絡隊列被占滿，無法被正常用戶訪問。 Linux內核提供了若干SYN相關設置，使用命令： sysctl -a | grep syn

3.安裝iptables對特定ip進行屏蔽。 A.安裝iptables和系統內核版本對應的內核模塊kernel-smp-modules-connlimit B. 配置相應的iptables規則

4.安裝DDoS deflate自動抵御DDOS攻擊： DDoSsdeflate是一款免費的用來防御和減輕DDoS攻擊的腳本。它通過netstat監測跟蹤創建大量網絡連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP.

總結

以上是生活随笔為你收集整理的ssdp攻击脚本（ssdp ddos脚本）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。