1.授權dns服務器限制名稱服務器的遞歸查詢功能,遞歸DNS服務器要限制遞歸訪問的客戶端(白名單IP段啟用)。
2.zonetransfer在限制區域傳輸,在主從同步DNS服務器範圍內啟用白名單。不在列表中的DNS服務器不允許同步區域文件。
允許傳輸{ };
允許更新{ };
3.啟用黑名單和白名單
已知攻擊IP被bind列入黑名單,或者防火墻上禁止訪問;
設置允許通過acl訪問的IP網段;
設置允許通過acl訪問的IP網段;設置允許通過acl訪問的IP網段;
4.隱藏BIND的版本信息;
5.根綁定;具有非超級用戶權限;
4.隱藏BIND的版本信息;
5.根綁定;具有非超級用戶權限;
6.刪除DNS上不必要的其他服務。創建DNS服務器系統不應安裝Web、POP、gopher、NNTPNews等服務。
不建議安裝以下軟件包:
1)X-Windows及相關軟件包;2)多媒體應用軟件包;3)任何不必要的編譯器和腳本解釋語言;4)任何未使用的文本編輯器;5)有害的客戶端程序;6)其他不必要的網絡服務。保證域名解析服務的獨立性,運行域名解析服務的服務器不能同時開放其他端口的服務。權威域名解析服務和遞歸域名解析服務需要在不同的服務器上獨立提供;
7.使用dnstop監控DNS流量
# yuminstalllibpcap-deven curses-devel
下載源代碼/tools/dn stop/src/dn stop-20140915 . tar . gz。
#;
9.增強DNS服務器防禦Dos/DDoS的功能。
使用SYNcookie
添加backlog可以在壹定程度上緩解大量SYN請求造成的TCP連接阻塞。
縮短重試次數:Linux系統默認的tcp_synack_retries是5次。
極限同步頻率
防範同步攻擊:# echo 1 & gt;/proc/sys/net/IP v4/TCP _ sync ookies將此命令添加到文件/etc/rc.d/rc.local中;
10.:監控域名服務協議是否正常,即使用相應的服務協議或使用相應的測試工具向服務端口發送模擬請求,分析服務器返回的結果,判斷當前服務是否正常,內存數據是否發生變化。有條件的話,在不同網絡部署多個檢測點,進行分布式監測;
11.提供域名服務的服務器數量應不少於2臺,建議獨立名稱服務器數量為5臺。建議將服務器部署在不同的物理網絡環境中;使用入侵檢測系統,盡可能檢測中間人攻擊;在域名服務系統周圍部署反攻擊設備,應對這類攻擊;使用流量分析等工具檢測DDoS攻擊,以便及時采取應急措施;
12.:限制遞歸服務的服務範圍,只允許特定網段的用戶使用遞歸服務;
13.:重點監控重要域名的分析結果,壹旦發現分析數據發生變化,及時給出報警提示;部署dnssec;
14.建立完善的數據備份機制和日誌管理系統。應保留所有最近3個月的分析日誌,建議對重要域名信息系統采用7×24維護機制,應急響應時間不晚於30分鐘。
10滲透書籍?
滲透打擊紅隊,助力“互聯網空間-十億守護者計劃”。在此推薦10本與互聯網安全相關的書籍,獲得了眾多好評。希望對大家有幫助。文末還有互動贈書環節。歡迎參與。
推薦列表
01
互聯網安全建設從0到1
推薦:這是壹本適合從安全到企業安全負責人的安全書籍。作者林鵬把自己多年豐富的安全經驗融入到這本書裏,通俗易懂,文質彬彬,通俗易懂。可以作為安全工程師解決各類常見安全問題的工具手冊,也可以指導安全負責人從0到1系統構建企業安全體系,強烈推薦。
02
CTF特訓營:詳細的技術講解,解題方法,比賽技巧
推薦語:國內第壹本CTF賽事技術分析書,由資深CTF戰隊FlappyPig撰寫,從安全技術、解題方法、比賽技巧三個維度全面展開。Web、Reverse、PWN、Crypto、APK、IoT6共6個章節,30個章節,厚達518頁。三屆Pwn2Own冠軍側衛和CTF賽事是中國的先驅。考慮到CTF學生多,學生群體會更多,作者團隊強烈要求降低圖書定價,象征性只拿1%版稅用於公益捐贈。
03
Python安全攻擊和防禦:滲透測試實用指南
推薦:在網絡安全領域,是否具備編程能力是“腳本小子”和真正黑客的本質區別。本書重點介紹了Python在網絡安全滲透測試各個領域的應用。通過大量的插圖,從實際的攻防場景中分析代碼,幫助初學者快速掌握使用Python進行網絡安全編程的方法,深入淺出地講解如何在滲透測試中使用Python,讓Python成為讀者手中的法寶。由MS08067安全實驗室生產。
04
KaliLinux高級滲透測試(第三版)
推薦語:原書第三版全面升級,KaliLinux滲透測試經典。本書從攻擊者的角度審視網絡框架,詳細介紹了攻擊者“殺鏈”的具體步驟,包含大量實例,並提供了源代碼。
05
Linux系統安全:深度防禦、安全掃描和入侵檢測
推薦:這是壹本從技術原理和工程實踐兩個方面系統深入講解Linux系統安全性的書,從深度防禦、安全掃描、入侵檢測三個維度詳細講解如何構建壹個像銅墻鐵壁壹樣的Linux防護體系。作者徐峰是Linux系統安全和運維技術資深專家,13年經驗。這本書得到了來自騰訊、阿裏等知名企業的多位行業專家的高度評價。書中不僅包含了大量的工程實踐案例,還為各種核心知識點繪制了思維導圖。
06
數據安全架構的設計與實踐
推薦:數據安全暢銷書。隨著數據時代的到來,安全架構逐漸從“以網絡為中心”(稱為網絡安全)向“以數據為中心”(稱為數據安全)轉變。本書將利用數據安全的概念——並針對數據的安全收集或生成、安全使用、安全傳輸、安全存儲、安全披露、安全流通和跟蹤、安全銷毀——來透視整個安全體系——進而將安全架構的概念融入產品開發過程、安全技術體系和流程——更好地服務於企業的安全目標。
07
網絡空間安全防禦和態勢感知
推薦:本書匯集了網絡空間安全防禦和態勢感知的學術文章,全面涵蓋了網絡空間安全態勢感知研究的理論要點,並包含了豐富的面向實踐的實驗數據和經驗教訓,對從事網絡空間安全態勢感知研究和開發的讀者很有指導意義,對廣大網絡安全從業者也有很大的參考價值。
08
基於數據科學的惡意軟件分析
推薦:是國內第壹本從數據分析角度系統闡述惡意軟件分析的實用指南。JoshuaSaxe和HillarySanders都是壹線安全公司Sophos的首席數據科學家。基於他們豐富的實踐經驗,他們全面展示了如何應用數據科學和技術解決重大網絡安全問題。曹建農、小、周宏_、強烈推薦!
09
Linux網絡安全精要
推薦:本書強調的是網絡安全這壹部分,在Linux的書籍或課程中經常被忽略。從Linux的基礎知識開始,它涵蓋了用戶和用戶組、文件和數據存儲、自動化、網絡、進程和日誌管理、軟件包管理、安全任務等等。英文原版入選BookAuthority2019+09評選的“10學習Linux的新書”,涵蓋了CompTIALinux+和LPIC-1考試的重點題目。
10
有效安全(中文版)
建議:有效的網絡安全很難實現。許多組織投入了大量的人力物力,制定了實施和評估網絡安全的最佳實踐文檔和標準。這本書合理地組織、加強和解釋了所有這些材料,以便安全從業人員能夠有效地使用它們。
如何保護網頁反彈殼?
反彈殼實際上是通過linux的socket技術進行通信的。這個過程需要建立TCP三次握手,然後通過固定端口進行通信。對於Centos6.9,反彈殼的TCP通信端口是壹個隨機端口,我們只需要任意限制iptables的過濾表的輸入或輸出鏈,使其TCP連接不成功,就可以限制反彈殼。
需要註意的是,linux中iptables的默認策略是ACCEPT。這時候防火墻實際上使用的是黑名單策略,很容易被繞過,這也是很多攻擊者往往能成功彈回外殼的原因。