如果每一小時更改一次域名的nameserver,可以頂住黑客對DNS的DDOS攻擊嗎?
如題,假設我有很多域名和IP
《解決方案》
沒用啊。
反正我用 dns 來找 IP,不管你怎換,我都找得到。
如果找不到,那正常的使用也不能進行了。
《解決方案》
一小時更換一次,那你的客戶就不能訪問了
《解決方案》
我是在想,如果有人在ddos你的DNS Server的時候,我們也要用web伺服器那樣同樣的方案嗎?那可是很花錢的。有沒有其它的方案??
DSN的作用只是告訴客戶你的web伺服器IP.在更換過域名的name server這一項后。原來的本地DNS緩存和新的DNS Server就會一起工作。這樣客戶可以正常訪問。但ddos你的人就要更改他的攻擊目標了。
《解決方案》
回復 4樓 pesci123 的帖子
想法挺有趣的,但是有點不明白你的意思。
《解決方案》
我也沒想得很清楚,所以把不成熟的想法說出來,讓各位大哥幫忙看看。
假設:有人要ddos cu.net,通常的辦法是直接ddos www.cu.net的IP,但另一種方法是ddos CU的
dns1.cu.net,dns2.cu.net。這樣客戶還是不能訪問cu.net,你不可能告訴所有客戶用IP訪問你的網站。
我說的方案就是要解決這種攻擊。
當然,我們可以採用集群之類的方案加強我們的DNS Server,但是這樣很花錢。所以我想有一個便宜的方案。
我想準備500個域名和IP也比一個硬防便宜。
如果我們在遇到攻擊時不停的更換cu.net的nameserver.比如換去dns1.cu-a.net(IP:10.0.0.1),再換去dns1.cu-b.net(IP:10.0.3.1)。同時在dns server上更改自己的IP和載入不同的name.conf。這樣被攻擊的DNS
伺服器很快就會下線,由新的頂上。那攻擊如果不調整他們的攻擊程序,他的攻擊就會失效。如果攻擊者不停的跟隨我們調整攻擊對象,或把所有的DNS SERVER納入攻擊列表,那他們的攻擊成本就會提高。因為某一時刻,只有一個伺服器(一個IP)是他要攻擊的,列表中其它的IP都是沒有使用的。
《解決方案》
網中人兄巳說了 , 不可能
別人查得到, hacker 一樣也查得到 !
《解決方案》
改進一點。我們用兩個伺服器(A,B),每個伺服器分配100個IP和對應的domain.
1,當域名的nameserver換去B時。
2,更換A的IP並重置所有連接。1小時后,更換域名的nameserver為新的domain, 攻擊數據包被轉到A伺服器。
3,更換B的IP並重置所有連接.
4,1小時后,重複第1步.
《解決方案》
改進一點。我們用兩個伺服器(A,B),每個伺服器分配100個IP和對應的domain.
1,將域名的nameserver由A換去B。
2,更換A的IP並重置所有連接。
3,1小時后,更換域名的nameserver為新的domain(A伺服器), 攻擊數據包被轉到A伺服器。
4,更換B的IP並重置所有連接.
5,1小時后,重複第1步.
《解決方案》
中間的更換由程序自動完成。
