防卫 Defend DNS攻击 基于重复的配置和脚本集来防御DNSAMP攻击。主要涵盖它的“重复”类型——一遍又一遍地请求相同的记录(集)。通常使用 ANY查询。无论记录类型如何,ANY查询都会返回特定域名的所有记录。当发送到递归服务器时,服务器将只返回它已缓存的记录。无论可用的递归如何,服务器都必须回复。这是目前最常见的攻击,因为 ANY请求 通常会返回大量资源记录集合,从而产生很高的放大率。基于两点: BIND配置在BIND中启用 RRL(响应速率限制)SLIP(将客户端切换到TCP) 并限制每个主机的类似 UPD请求。调整它以适应您的情况。检查 named.log 以获取主要用于DNSAMP攻击的请求类型,并为该主机创建 DROP规则 的脚本。在某些情况下,它可以阻止合法主机的某些查询类型,因此如果这对您很重要-将此主机添加。