這幾天在研究DNS amplification attacks,目前看到基本的防護方式都著重在修改DNS server的設定.
例如:BIND DNS可以透過disable recursion和additional-from-cache做防護.
而Windows DNS只能disable recursion.所以我珍對Windows DNS,會另外在IPS
設備上作rule,將DNS response內有回root server list的這種response packet
drop掉.
我在想有沒有更積極的做法,可以利用網路安全設備.只允許正向表列的DNS zone的DNS query,以減輕DNS sever的loading.
不知市場上有哪種網路安全設備,可以符合上述的需求.
例如:BIND DNS可以透過disable recursion和additional-from-cache做防護.
而Windows DNS只能disable recursion.所以我珍對Windows DNS,會另外在IPS
設備上作rule,將DNS response內有回root server list的這種response packet
drop掉.
我在想有沒有更積極的做法,可以利用網路安全設備.只允許正向表列的DNS zone的DNS query,以減輕DNS sever的loading.
不知市場上有哪種網路安全設備,可以符合上述的需求.