如何有效防止DNS欺骗攻击

2024年11月18日 17:28
有4个网友回答
网友(1):

  ①启动注册表编辑器(Regedit.exe);
  ②在以下注册表项中找到MaxCacheEntryTtlLimit值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters;
  ③在编辑菜单上,单击修改,键入数值1并确定;
  ④后退出注册表编辑器。
  一般情况下,DNS欺骗攻击是比较难以防御的,因为这种攻击大多数本质都是被动的,只有在发生DNS欺骗攻击后,才能发现以被欺骗攻击。所以,我们在尽量防止DNS欺骗攻击基础上,需要做更多的防范措施,比如:保护内部设备、不要过分依赖DNS、定时检查服务器安全以及使用DNSSEC替代DNS等。

网友(2):

可以把DNS和网关做绑定. 最好是双绑, 也可以下载安装防毒软件, 比如360的ARP防火墙,360安域。

网友(3):

一般家用电脑网络路由器用不着这项的。不用理会杀毒软件提示。

网友(4):

1、使用较新的DNS软件
因为其中有些可以支持控制访问方式记录DNS信息,域名解析服务器只对那些合法的请求做出响应。内部的请求可以不受限制地访问区域信息,外部的请求仅能访问那些公开的信息。
2、直接用IP访问重要的服务
这样至少可以避开DNS欺骗攻击,但需要记住自己要访问的IP地址。
3、正确配置区域传输
即只允许相互信任的DNS服务器之间才允许传输解析数据。
4、配合使用防火墙
使用防火墙可使得DNS服务器位于防火墙的保护之内,只开放相应的服务端口和协议。
5、保护DNS服务器所存储的信息
部分注册信息的登录方式仍然采用一些比较过时的方法,如采用电子邮件的方式就可以升级DNS注册信息,这些过时的方法需要添加安全措施,如采用加密的口令,或者采用安全的浏览器平台工具来提供管理域代码记录的方式。
6、系统管理员也可以采用分离DNS的方式
内部的系统与外部系统分别访问不同的DNS系统,外部的计算机仅能访问公共的记录。