防止dns的偽造來源UDP的攻擊  DNS FLOODING ATTACK

攻擊目標為各校DNS，利用DNS本身的特性，造成疊加的攻擊效果+ 利用udp偽造來源封包，借力使力攻擊別人。

防範：無有效的防範方法，無特效藥，一般防火牆和idp/ips無法阻擋。因此採用限制外部IP遞迴查詢(recursive queries)，只允許內部使用遞迴查詢來防止。

[BIND]

在named.conf內options段加入這行，並寫入你們學校的ip。

allow-recursion { 163.17.x.0/24; 2001:288:54xx::/48; }; 

這樣只允許163.17.x.0/24及2001:288:54xx::/48可以進行遞迴查詢。但我在CentOS 4.x版(bind-9.2.4-38)發現外部來源的DNS查詢仍可以查到在DNS Cache中的的紀錄。

[Windows DNS Server]

學校有兩台以上dns，一台供外部查詢，另一台供內部使用，外部的dns限制僅供查詢校內的zone：

dnscmd <ServerName> /Config /NoRecursion {1|0}

外部(把所有的遞迴查詢全部停止)：
dnscmd <ServerName> /Config /NoRecursion 1