ddos攻擊腳本

1. ssdp攻擊腳本ssdpddos腳本

dns防護怎麼做？

1.授權DNS伺服器限制名字伺服器遞歸查詢功能，遞歸dns伺服器要限制遞歸訪問的客戶（啟用白名單IP段）

2.限制區傳送zonetransfer，主從同步的DNS伺服器范圍啟用白名單，不在列表內的DNS伺服器不允許同步zone文件

allow-transfer{};

allow-update{};

3.啟用黑白名單

已知的攻擊IP加入bind的黑名單，或防火牆上設置禁止訪問；

通過acl設置允許訪問的IP網段；

通過acl設置允許訪問的IP網段；通過acl設置允許訪問的IP網段；

4.隱藏BIND的版本信息；

5.使用非root許可權運行BIND；

4.隱藏BIND的版本信息；

5.使用非root許可權運行BIND；

6.刪除DNS上不必要的其他服務。創建一個DNS伺服器系統就不應該安裝Web、POP、gopher、NNTPNews等服務。

建議不安裝以下軟體包：

1）X-Windows及相關的軟體包；2）多媒體應用軟體包；3）任何不需要的編譯程序和腳本解釋語言；4）任何不用的文本編輯器；5）不需要的客戶程序；6）不需要的其他網路服務。確保域名解析服務的獨立性，運行域名解析服務的伺服器上不能同時開啟其他埠的服務。權威域名解析服務和遞歸域名解析服務需要在不同的伺服器上獨立提供；

7.使用dnstop監控DNS流量

#yuminstalllibpcap-develncurses-devel

下載源代碼http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增強DNS伺服器的防範Dos/DDoS功能

使用SYNcookie

增加backlog,可以一定程度減緩大量SYN請求導致TCP連接阻塞的狀況

縮短retries次數:linux系統默認的tcp_synack_retries是5次

限制SYN頻率

防範SYNAttack攻擊:#echo1>/proc/sys/net/ipv4/tcp_syncookies把這個命令加入/etc/rc.d/rc.local文件中；

10.：對域名服務協議是否正常進行監控，即利用對應的服務協議或採用相應的測試工具向服務埠發起模擬請求，分析伺服器返回的結果，以判斷當前服務是否正常以及內存數據是否變動。在條件允許的情況下，在不同網路內部部署多個探測點分布式監控；

11.提供域名服務的伺服器數量應不低於2台，建議獨立的名字伺服器數量為5台。並且建議將伺服器部署在不同的物理網路環境中;使用入侵檢測系統，盡可能的檢測出中間人攻擊行為;在域名服務系統周圍部署抗攻擊設備，應對這類型的攻擊;利用流量分析等工具檢測出DDoS攻擊行為，以便及時採取應急措施；

12.：限制遞歸服務的服務范圍，僅允許特定網段的用戶使用遞歸服務；

13.：對重要域名的解析結果進行重點監測，一旦發現解析數據有變化能夠及時給出告警提示;部署dnssec；

14.建立完善的數據備份機制和日誌管理系統。應保留最新的3個月的全部解析日誌，並且建議對重要的域名信息系統採取7×24的維護機制保障，應急響應到場時間不能遲於30分鍾。

linux下防DDOS攻擊軟體及使用方法有哪些？

一些常用的防DDOS攻擊的方法，羅列如下：

1.增加硬體防火牆和增加硬體設備來承載和抵禦DDOS攻擊，最基本的方法，但成本比較高。

2.修改SYN設置抵禦SYN攻擊：SYN攻擊是利用TCP/IP協議3次握手的原理，發送大量的建立連接的網路包，但不實際建立連接，最終導致被攻擊伺服器的網路隊列被占滿，無法被正常用戶訪問。Linux內核提供了若干SYN相關設置，使用命令：sysctl-a|grepsyn

3.安裝iptables對特定ip進行屏蔽。A.安裝iptables和系統內核版本對應的內核模塊kernel-smp-moles-connlimitB.配置相應的iptables規則

4.安裝DDoSdeflate自動抵禦DDOS攻擊：DDoSsdeflate是一款免費的用來防禦和減輕DDoS攻擊的腳本。它通過netstat監測跟蹤創建大量網路連接的IP地址，在檢測到某個結點超過預設的限制時，該程序會通過APF或IPTABLES禁止或阻擋這些IP.