看了Secure64公司的一份DNS服务器安全文档,有点启发。它在四个层次建立对DNS服务器的保护:协议分析、SYN flood保护、DNS包分析、UDP/TCP flood保护,重点解决DNS容易被攻击的几个方面:
- Protocol exploit
- TCP SYN floods
- Illegal DNS packet floods
- UDP floods
- TCP floods
不过我感觉他们的技术也有几个问题:
- SYN flood保护,应该就是借鉴了Linux的syn cookies技术
- 对DNS反弹攻击,他们就是丢弃53端口的DNS响应包,正常来说这样也对,但问题是反弹攻击往往流量巨大,把1G端口跑满了,就没机会去丢弃
- UDP flood攻击基本都是spooled IP,他们的防护技术是针对non-spooled IP的,用途大打折扣
当然或许是我见解不对,欢迎指出。原始文档上传如下。