无论是权威还是递归DNS,防攻击都是特别需要的。但是现在一般开源的bind在这方面又总是有些欠缺。最近一段时间一直在查看相关的文档。
对于普通的ISP的递归DNS,一方面只允许自己的客户IP段来递归,另外可以配合使用rrl限流模块。rrl限流模块在有大量请求的时候还是可以起到不少作用的。只是这个限流的值需要把握好。
对于自己单独搞的递归DNS。类似114的这种,一般使用anycast模式,多个机房间用BGP进行流量分配,硬抗的能力能提升不少;另外就是做流量清洗,可以学习到每个IP段正常的DNS请求进入时候的TTL值,一般的DNS伪造的攻击很难试出这个正常的TTL值。
最简单的模式,也可以抓包做流量分析,直接把疑似黑名单封了。