当前位置：公众IT > 技术文章 > ddos域名攻击防御（域名防止ddos攻击）

ddos域名攻击防御（域名防止ddos攻击）

新闻来源：互联网资料整理发布时间：2023/4/6 7:55:39 共计：4627 浏览

域名保护是什么？怎么做域名保护？

注册域名需要申请，大部分机构、企业、事业单位都采用自己单位名称的全拼、缩写或商标来定义自己的域名，以便他人记忆和识别。域名的定义可以与公司、商标、产品名称无直接关系，但因特网上每一个域名都是独一无二的。倘若某个域名已经被注册，那么其他任何机构则不能再注册相同的域名。实际上域名存在的意义与商标、企业标识物等同，可以说是注册企业的“网络商标”，属于企业的无形资产。通过在因特网上注册域名和设立网址，企业单位对外界建立了访问通道，网络用户可以随时链接查看，从而获得广泛的商业联系，为自己赢得关注和机会。
现阶段，因特网发展日新月异，域名的商业价值也不断提升，它已成为代表一个企业形象的标志。然而，抢注域名事件频频发生。因而，域名保护刻不容缓，为做到防患于未然，应该及时进行域名注册，从根本上防止他人侵权行为，例如百度、苏宁、苹果等等互联网公司注册保护了相关的top域名。

dns防护怎么做？

1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）
2.限制区传送zone transfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件
allow-transfer{ };
allow-update{ };
3.启用黑白名单
已知的攻击IP 加入bind的黑名单，或防火墙上设置禁止访问；
通过acl设置允许访问的IP网段；
通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；
4.隐藏BIND的版本信息；
5.使用非root权限运行BIND；
4.隐藏BIND的版本信息；
5.使用非root权限运行BIND；
6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。
建议不安装以下软件包：
1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；
7.使用dnstop监控DNS流量
#yum install libpcap-devel ncurses-devel
下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz
#；
9.增强DNS服务器的防范Dos/DDoS功能
使用SYN cookie
增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况
缩短retries次数:Linux系统默认的tcp_synack_retries是5次
限制SYN频率
防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中；
10.：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；
11.提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统，尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；
12.：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；
13.：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec；
14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。

nginx怎么防止ddos攻击cc攻击等流量攻击？

网上也搜过好多方法大概是以下几种方法
1.添加防火墙；（由于价格太贵放弃了）
2.更换域名，发现被攻击后，立刻解析到其他域名上，把被攻击的域名停止解析（由于需要人工操作，且dns解析与停止不是实时的需要时间）
3.在nginx中拦截cc攻击
最终讨论方法是在nginx中拦截
下面说一下原理
由ios，android端写一个对称加密算法且吧时间戳也加密进去；作为 user-agent 来访问服务器的接口，然后在nginx中去解密这个user-agent来检验这个加密字符串是否合法或者是否过期；如果是合法的则去调用php-fpm运行程序，如果不合法则直接返回403；
那么问题了来了如何在nginx拦截cc攻击了，也就说如何在nginx中编程了，我一个php程序员肯定不会；这个时候需要引入一个lua控件；
单独安装lua插件太麻烦了，后来直接安装了 openresty 直接在openresty中编写lua脚本，成功防御了cc攻击