开放的DNS解析器并不过滤任何入站请求,可以接受来自任何源IP地址的查询。因此,开放的解析器可能很容易成为攻击者下手的目标。比如说,攻击者可以对开放的DNS 服务器 发动拒绝服务(DoS)攻击;或者更严重的是,发动分布式拒绝服务(DDoS)攻击。这些攻击还可能结合IP欺诈手法,即所有应答数据包都将被引导到受害者被欺诈的IP地址。在另一种名为DNS放大攻击的攻击场景下,开放的DNS服务器可能积极参与攻击。
据openresolverproject.org网站声称,除非确有必要,否则不建议运行开放的解析器。大多数公司只允许客户访问其DNS服务器。本教程将主要介绍如何配置一台DNS服务器,以便它不再是开放的DNS解析器,只应答有效的客户。
调整防火墙
由于DNS在UDP端口53上运行,系统管理员们可能试图允许端口53仅用于客户机IP地址访问,阻止互联网的其他机器访问该端口。虽然这一招很管用,但还是会有一些问题。由于根服务器与DNS服务器之间的通信也使用端口53,我们不得不确保:在防火墙中还允许根服务器的IP地址可以使用UDP端口53。
下面提供了一个示例性的防火墙脚本。如果是生产环境下的服务器,就要确保规则符合你的需求,而且还要遵守贵公司的安全政策。
# vim firewall-script ## 现有的规则被清除,以便由一组新的规则开始 ## iptables -Fiptables -A INPUT -s A.A.A.A/X -p udp --dport 53 -j ACCEPTiptables -A INPUT -s B.B.B.B/Y -p udp --dport 53 -j ACCEPTiptables -A INPUT -s C.C.C.C/Z -p udp --dport 53 -j ACCEPTiptables -A INPUT -p udp --dport 53 -j DROP## 让规则具有持久性 ## service iptables save让脚本成为可执行脚本,并运行它。# chmod +x firewall-script# ./firewall-script
阻止递归查询
DNS查询可以主要分为两类:递归查询和迭代查询。如果是递归查询,服务器使用应答或错误信息回应客户机。如果服务器缓存中没有该应答,服务器就与根服务器进行联系,以获得授权域名服务器。服务器不断查询,直到它获得应答,或者直到查询超时。另一方面,如果是迭代查询,服务器只是将客户机转到能够处理的另一台服务器,因而导致在该服务器上面的处理工作量比较少。
我们可以控制允许递归查询的IP地址。我们只要改动配置文件/etc/named.conf,并添加/修改下列参数。
# vim /etc/named.conf
## 我们定义访问控制列表(ACL),以指定一个或多个源地址##acl customer-a{ A.A.A.A/X; };acl customer-b { B.B.B.B/Y; C.C.C.C/Z; };
## 我们根据选项指令调用ACL ##options { directory "/var/named"; allow-recursion { customer-a; customer-b; };};
针对开放的解析器调整防火墙
如果你非得运行开放的解析器,那么我们建议你合理调整防火墙,以便服务器无法被不法分子钻空子。Smurfmonitor规则库(提供了一组功能强大的iptables规则,这些规则可以用在开放的解析器中,比如阻止对参与DNS放大攻击的域提出查询请求。该规则库定期更新,我们强烈建议DNS服务器管理员们使用它。
总而言之,针对开放的DNS解析器的攻击很常见,对没有采用合理安全措施的DNS服务器而言更是如此。本教程演示了如何禁用开放的DNS服务器。我们还看到了iptables如何可以用来为开放的DNS服务器增添另一层安全机制。
原文地址:
怎样关掉电脑的驱动防火墙
如果仅仅是WINDOWS自带的防火墙,就在-控制面板-安全中心-防火墙-关闭若你安装的有其他的防火墙,你可以到 窗口的右下角 鼠标停留在 每个程序上一会 看看哪个是你所防火墙程序,右键-退出然后再试着安装看看~是否在瑞星里设置了阻止该程序访问网络呢? 不用换 也不用理它 你这样几次后就可以打开防火墙玩了 我也是这样或者这样:1.找到文件控制白名单->添加->找到...->打开找到跑跑文件夹里的文件->确定->再打开文件白名单->找到...->在打开找到跑跑文件价里GameGuard的文件夹打开->找到把它也添加进去.2.关闭瑞星监控中心里面内存监控.防火墙1.右键点防火墙找到系统设置打开->找到访问规则也是把上面的那两个文件添加进去打开防火墙选择系统设置然后选择访问规则.点击增加规则 击浏览**注意**文件类型一定选择所有文件然后选择这个文件在C:\Program Files\TianCity\PopKart\M01\GameGuard下在点击下一页点击完成,注意是一个一个添加共三次关闭瑞星监控中心的内存监控,因为防WG系统在内存里运行我们只要关闭瑞星的内存监控就行了 ...没有服务器认证的解决方法如下:1.请您关闭防火墙上网助手,杀毒软件这样的程序。 2.如果是使用路由器或者内网的玩家,请在网络上设置使UDP数据通过。 3.您还可以试一下这个方法打开 宽带连接 的属性,进去之后点 网络(这个是您的ADSL连接的网络接入)然后打开 TCP/IP的属性,是 自动获取DNS服务器地址 的话 就改成 使用下面的DNS服务器地址首选:222.73.1.224备用:空白然后断开网络连接在重新连上再把 使用下面的DNS服务器地址 改成 自动获取DNS服务器地址断开网络连接在重新连上 显卡驱动有问题,内存不足,和防火墙有冲突,你的跑跑卡丁车的客户端有文件破损了,建议重新安装一次,或者去官网下载最新版本的客户端。 升级你的显卡,加大你的内存,尽量在人少的时候玩,玩电信(当然你是电信用户的话),玩卡丁时不要开其他的程序,做到这些基本就差不多了,玩竟速会好,道具赛的话都会卡,因为服务器要处理很多的数据(114)错误代码114-花了很长时间来读取游戏,最后出现错误代码114而且关闭了游戏1.在你电脑中的一个正在运行程序消耗了大量的CPU资源。 或者,你的影响驱动程序或者声音驱动程序已经过期。 请对你的电脑进行扫毒或者扫木马,而且将你的电脑内的全部驱动程序更新到最近的版本2.玩家的电脑中运行的防毒系统的监控过渡(常见于Norton 2005, McAfee, VirusBuster, etc.) 。 请关闭一些不必要的监控
本地连接dns缓存无法修复怎么办?
修复网络连接时出现DNS缓存无法清除的问题, 1遇到这种情况,我们能采取的最简单手段是刷新DNS,也就是删除 DNS 解析器缓存中的条目。 点击“开始”-“运行”-输入cmd并点击“确定”,在命令提示符窗口中键入:ipconfig /flushdns2如果上面不行的话,在系统服务里把DNS Client和DHCP client两个服务组件启动针对网络剪刀手 网络执法官 网络特工 等arp欺骗的攻击 ,可以用网卡修复操作中的清除arp缓存,可以用cmd命令中的 arp -d命令有一个好的办法是在按键精灵中写一个脚本如下:VBS Set Oshell = CreateObject()VBS cmd /c arp -d, vbHideVBS Set Oshell = NothingVBS End SubDelay 1000这个就是每隔1秒清除一次arp缓存,可以自己调整延时!!通过IPConfig提供的信息,可以确定存在于TCP/IP属性中的一些配置上的问题。 例如使用“IPConfig /all”就可以获取主机的详细的配置信息,其中包括IP地址、子网掩码和默认网关、DNS服务器等信息。 通过所获知的信息,可以迅速判断出网络的故障所在。 例如子网掩码为0.0.0.0时,则表示局域网中的IP地址可能有重复的现象存在;如果返回的本地 IP地址显示为169.254.*.*,子网掩码为255.255.0.0,则表示该IP地址是由Windows XP的自动专用IP寻址功能分配的。 这意味着TCP/IP未能找到DHCP服务器,或是没有找到用于网络接口的默认网关。 如果返回的本地IP地址显示为 0.0.0.0,则既可能是DHCP初始化失败导致IP地址无法分配,也可能是因为网卡检测到缺少网络连接或TCP/IP检测到IP地址有冲突而导致的。 众所周知每台计算机要想正常上网需要有一个地址,这个地址就是我们常说的IP地址。 在实际工作中身为网络管理员的我们如何有效的管理这些IP地址呢?为每台计算机设置对应的IP地址,子网掩码,网关地址,DNS地址等网络参数的话固然是可以的,但是非常的烦琐,工作量大不说,在实际应用中很可能经常会出现冲突的现象。 我们如何有效的分配这些网络参数呢?DHCP服务可以帮我们大忙,通过将DHCP服务配置在专业的服务器上,然后为网络中所有普通客户机分配IP等信息是件效率非常高的工作。 不过DHCP在为我们网络管理提供便利的同时也带来了一些问题。 例如网络带宽受影响,客户机经常无法获得正确的地址信息,甚至是无法获得任何信息。 其实这些故障我们都可以按照一定的规律去解决的,今天就由笔者为各位IT168的读者全面介绍排查 DHCP故障的方法。 一、概念篇:在介绍排查DHCP故障之前首先为大家阐明几个概念性的东西,只有理论上充实了,才能更好的理解下面介绍的故障排除的思路。 第一:DHCP服务能够提供什么数据?DHCP服务不是万能的,他只能提供网络层相关的参数,例如IP地址,MASK地址,网关地址,WINS与DNS服务器地址等。 对于更低层的地址,诸如MAC地址等信息是无法提供的。 MAC地址是烧录在计算机网卡中的。 第二:多台DHCP服务器是否可以同时运行?DHCP服务器是通过广播包向客户机发送网络信息的,因此如果同一个网络中确切的说是同一个广播域中存在多台DHCP服务器的话,就会出现各个服务器提供各自的网络信息,这样就造成网络中广播数据包的冲突。 客户机不知道该接受哪台DHCP服务器发来的信息。 因此微软公司设置默认情况下同一个广播域网络中只能存在一台DHCP服务器,后设置建立或启用的DHCP将无法工作。 第三:租约是什么?在配置DHCP服务器过程中会设置租约的天数,那么什么是租约呢?在DHCP服务器将网络信息分配数据包发给客户机后会收到客户机发回的答复数据包,接着DHCP服务器会将已经分配出去的IP地址与从客户机接收到的该计算机MAC地址建立一个对应关系,并把这个对应关系保存在DHCP服务器的租约池中。 为什么需要这个租约池呢?一方面为下次分配网络参数信息提高了速度。 不过如果该MAC地址对应条目的客户计算机被移到其他地方或者MAC地址发生了改变的话,如果上面建立的对应关系一直保存在DHCP服务器的租约池中就会造成可用的IP地址数量越来越少,很多有效的地址被无效的MAC占用,因此微软引入了租约这个概念。 通过租约我们可以强制每隔一段时间将DHCP服务器的租约池中保存的对应条目全部清空,从而防止了非法MAC地址霸占合法IP的现象,
希望对你有帮助。
打开QQ空间老是显示OpenDNS Guide Hmm, ptlogin2.qq.com isn't loading right now. The computers That ru
你是用的路由器吗?如果是的话 建议进去路由器设置DNS。 这种情况是你使用了OPENDNS造成的。 修改为默认DNS即可 路由器设置方法 进入192.168.1.1 输入帐号密码 然后点右侧的网络参数。 。 再选择WAN口设置 会出现一个界面 点高级选项。 。 看到有一个手动设置DNS服务器 把前面的勾去掉 再按保存 然后重启路由器 就可以了 如果不是用的路由器的话就在电脑里设置,具体方法如下。 打开网上邻居 网络连接 右键属性 然后选择协议版本(TCP/IPV4)点属性 然后在自动获得DNS服务器地址 前打勾就可以了 记得重启网络连接才有效果
发表评论