设置DNS服务器时,服务器管理员可以选择是将DNS服务器指定为主服务器还是辅助服务器(也称为从服务器)。在某些情况下,服务器可以是一个区域的主要服务器,也可以是另一个区域的辅助服务器。
DNS主服务器
主服务器托管控制区域文件,该文件包含域的所有权威信息(这意味着它是重要信息的可信源,例如域的IP地址)。这包括重要信息,例如域的IP地址以及负责该域管理的人员。主服务器直接从本地文件获取此信息。只能在主服务器上更改区域的DNS记录,然后主服务器才能更新辅助服务器。
DNS辅助服务器
辅助服务器包含区域文件的只读副本,它们通过称为区域传输的通信从主服务器获取其信息。每个区域只能有一个主DNS服务器,但它可以有任意数量的辅助DNS服务器。无法在辅助服务器上更改区域的DNS记录,但在某些情况下,辅助服务器可以将更改请求传递到主服务器。
为什么要有辅助DNS服务器?
主DNS服务器包含所有相关资源记录,并且可以处理域的DNS查询,但是标准(并且许多注册商需要)至少具有一个辅助DNS服务器。这些辅助服务器的好处是它们在主DNS服务器关闭时提供冗余,并且它们还有助于将请求的负载分配到域,以便主服务器不会过载,这可能导致拒绝服务。他们可以使用循环DNS来实现这一点,循环DNS是一种负载平衡技术,旨在为群集中的每个服务器发送大致相等的流量。
以上就是关注主DNS服务器和辅助DNS服务器的相关介绍。
服务器被DDOS攻击最佳解决方案是什么?报网警有用么?
目前,有效缓解DDoS攻击的解决方案可分为 3 大类:
架构优化
服务器加固
商用的DDoS防护服务
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署DNS智能解析通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
屏蔽未经请求发送的DNS响应信息
典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
丢弃快速重传数据包
即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同- -DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
启用TTL
如果DNS服务器已经将响应信息成功发送了,应该禁 止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。
每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大查询请求时,可以屏蔽掉不需要的数据包。
丢弃未知来源的DNS查询请求和响应数据
通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击( DDoS攻击) , 而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
丢弃未经请求或突发的DNS请求
这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击(non-flood) 时段,可以创建一个白名单 ,添加允许服务器处理的合法请求信息。
白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
启动DNS客户端验证
伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
对响应信息进行缓存处理如果某- -查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
使用ACL的权限
很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
利用ACL , BCP38及IP信营功能
托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置-个简单的过滤器可阻断不需 要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡通过部署负载均衡( SLB )服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道
不止是日常的量,有-定的带宽余量可以有利于处理大规模攻击。
服务器加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
确保服务器的系统文件是最新的版本,并及时更新系统补丁。
对所有服务器主机进行检查,清楚访问者的来源。
过滤不必要的服务和端口。例如, WWW服务器,只开放80端口,将其他所有端口关闭,或在防火墙上做阻止策略。
限制同时打开的SYN半连接数目,缩短SYN半连接的timeout时间,限制SYN/ICMP流量。
仔细检查网络设备和服务器系统的日志。一旦出现漏洞或是时间变更,则说明服务器可能遭到了攻击。
限制在防火墙外与网络文件共享。降低黑客截取系统文件的机会,若黑客以特洛伊木马替换它,文件传输功能无疑会陷入瘫痪。
充分利用网络设备保护网络资源。在配置路由器时应考虑以下策略的配置:流控、包过滤、半连接超时、垃圾包丢弃,来源伪造的数据包丢弃, SYN阀值,禁用ICMP和UDP广播。
通过iptable之类的软件防火墙限制疑似恶意IP的TCP新建连接,限制疑似恶意IP的连接、传输速率。
识别游戏特征,自动将不符合游戏特征的连接断开。
防止空连接和假人攻击,将空连接的IP地址直接加入黑名单。
配置学习机制,保护游戏在线玩家不掉线。例如,通过服务器搜集正常玩家的信息,当面对攻击时,将正常玩家导入预先准备的服务器,并暂时放弃新进玩家的接入,以保障在线玩家的游戏体验。
商用的DDoS防护服务
针对超大流量的攻击或者复杂的游戏CC攻击,可以考虑采用专业的DDoS解决方案。目前,阿里云、磐石云、腾讯云有针对各种业务场景的DDOS攻击解决方案。
目前,通用的游戏行业安全解决方案做法是在IDC机房前端部署防火墙或者流量清洗的一些设备, 或者采用大带宽的高防机房来清洗攻击。
当宽带资源充足时,此技术模式的确是防御游戏行业DDoS攻击的有效方式。不过带宽资源有时也会成为瓶颈:例如单点的IDC很容易被打满,对游戏公司本身的成本要求也比较高。
您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。
安全防护有日志留存的可以选择报网警,前提是你自己的业务没有涉灰问题。
报网警有用吗?
至于报警,肯定有用,你不报警,警方没有线索,怎么抓人?
但是,这个作用不一定立即体现,警方需要时间侦查,需要取证。
DDoS的特点决定了,如果不在攻击时取证,证据很快就没了。因此要攻击者反复作案,才好抓。
对一一个被害人,只作案一次,或者随机寻找被害人的情况,最难抓。
而且调查涉及多方沟通、协调,比如被利用的主机的运营者,被害人,可能涉及多地警方的合作等等。
指望警方减少犯罪分子是可以的,但是指望通过报警拯救你的业务,只能说远水解不了近渴。
DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。下面是我收集整理的国内各省市首选dns地址,欢迎阅读。
北京:
202.96.199.133
202.96.0.133
202.106.0.20
202.106.148.1
202.97.16.195
202.138.96.2
深圳:
202.96.134.133
202.96.154.15
广州:
61.144.56.100
61.144.56.101
广东:
202.96.128.86
202.96.128.143
上海:
202.96.199.132
202.96.199.133
202.96.209.5
202.96.209.133
天津:
202.99.96.68
202.99.104.68
广西:
202.96.128.68
202.103.224.68
202.103.225.68
河南:
202.102.227.68
202.102.245.12
202.102.224.68
河北:
202.99.160.68
福建:
202.101.98.54
202.101.98.55
厦门:
202.101.103.55
202.101.103.54
湖南:
202.103.0.68
202.103.96.68
202.103.96.112
湖北:
202.103.0.68
202.103.0.117
202.103.24.68
江苏:
202.102.15.162
202.102.29.3
202.102.13.141
202.102.24.35
浙江:
202.96.102.3
202.96.96.68
202.96.104.18
陕西:
202.100.13.11
202.100.4.16
202.100.4.15
202.100.0.68
山东:
202.102.154.3
202.102.152.3
202.102.128.68
202.102.134.68
山西:
202.99.192.68
202.99.198.6
四川:
202.98.96.68
61.139.2.69
重庆:
61.128.128.68
成都:
202.98.96.68
202.98.96.69
辽宁:
202.98.0.68
202.96.75.68
202.96.75.64
202.96.69.38
202.96.86.18
202.96.86.24
安徽:
202.102.192.68
202.102.199.68
10.89.64.5
吉林:
202.98.5.68
202.98.14.18
202.98.14.19
江西:
202.101.224.68
202.109.129.2
202.101.240.36
新疆:
61.128.97.74
61.128.97.73
贵州:
202.98.192.68
10.157.2.15
云南:
202.98.96.68
202.98.160.68
黑龙江:
202.97.229.133
202.97.224.68
219.150.32.132
海南:
202.100.192.68
202.100.199.8
宁夏:
202.100.0.68
202.100.96.68
甘肃:
202.100.72.13
内蒙古:
202.99.224.68
青海:
202.100.128.68
内容拓展:
常用的公共的DNS服务地址
DNS,全称Domain Name System,即域名解析系统,帮助用户在互联网上寻找路径,它在互联网的作用是把域名转换成为网络可以识别的IP地址。
DNS是互联网上存储域名与IP映射关系的一个分布式数据库。使用DNS,用户可以方便的用域名访问互联网,而不用关心复杂难记的IP地址。通过域名获取对应IP地址的过程叫域名解析。
目前国内电信运营商经常通过使用DNS劫持和DNS污染的方法,干扰用户正常上网,比如弹广告,某些国外网站无法访问,因此今天介绍一些国内外的公共的DNS服务器地址,供大家选择使用。
国内公共的DNS服务器地址
OneDNS (112.124.47.27)
OpenerDNS(42.120.21.30)
aliDNS (223.5.5.5, 223.6.6.6)
114DNS (114.114.114.114, 114.114.115.115)
114DNS安全版 (114.114.114.119, 114.114.115.119)
114DNS家庭版 (114.114.114.110, 114.114.115.110)
Dns派:电信/移动/铁通 (101.226.4.6, 218.30.118.6)
Dns派:联通 (123.125.81.6, 140.207.198.6)
国外公共的DNS服务器地址
Google Public DNS (8.8.8.8, 8.8.4.4)
OpenDNS (208.67.222.222, 208.67.220.220)
OpenDNS Family (208.67.222.123, 208.67.220.123)
V2EX DNS (199.91.73.222, 178.79.131.110)
Dyn DNS (216.146.35.35, 216.146.36.36)
Comodo Secure (8.26.56.26, 8.20.247.20)
UltraDNS (156.154.70.1, 156.154.71.1)
Norton ConnectSafe (199.85.126.10, 199.85.127.10)
科普知识
什么是公共的DNS
我们都知道,我们要能上网,就必须要使用DNS。这个DNS可能是你的`运营商提供给你的,也可以是一些其它组织提供的,比如我们熟知的谷歌的8.8.8.8,国内114dns的114.114.114.114. 。他们负责给我们的请求提供解析服务。
不过首先要明白,公共的DNS不是:
公共的DNS服务的特点就是服务的域名数量巨大,用户数多,同时要求具有安全性和抗攻击性,低延迟(响应快),无拦截(无广告)以及对解析成功率要求非常的高。
不是根服务器
不是权威dns托管商,不提供域名注册等服务,比如万网和DNSpod
不是权威dns,不针对个别域名进行解析
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)