ddos防护办法？

1、DDoS网络攻击防护:当面临大量SYN Flood、UDP Flood、DNSFlood、ICMP Flood攻击时，能迅速封锁攻击源保证正常业务的运行。

2、域名解析功能障碍灾备：当根域、顶级域服务器发生故障不能正常服务时，甚至所有外部的授权服务器都出现故障时，某公司下一代防火墙DNS代理系统仍可以作为解析孤岛，提供正常的域名解析服务。

3、DNS安全策略联动：对重点域/域名的解析请求进行跟踪监控，当出现异常情况时，启动相关安全联动措施，仅对正常域名进行应答服务。

4、DNS放大攻击防护：当某IP流量异常突增时，自动启动IP分析和安全联动措施，对该IP限速，对应答结果修剪，有效防止DNS服务器成为放大攻击源。

5、多线路流量调度灾备：能够针对有多线路出口的客户，可配置不同的出口策略。

6、弱凭证感知：当合法用户通过弱口令登录各类应用管理系统时，会被智能感知并通知安全管理员存在弱口令安全风险，从而提高账号安全等级。

7、漏洞攻击防护：当攻击者对企业信息资产进行口令暴力枚举或系统漏洞攻击时能很快被检测到攻击行为，并形成有效的防御。

8、僵尸网络检测：当组织内部员工通过即时通讯工具或邮件的方式接收到了恶意软件，在恶意软件与外界发生通讯过程中能很快被检测出来，进而有效保护组织内部信息不被外泄。

9、APT定向攻击检测：某公司下一代防火墙可以通过多种流量识别算法对APT定向攻击和Zero Day攻击及传输过程中的恶意软件进行有效检测，将APT攻击拒于千里之外。

ddos防火墙原理？

DDoS防火墙是一种高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击，传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。

各种常见的攻击行为均可有效识别，并通过集成的机制实时对这些攻击流量进行处理及阻断，具备远处网络监控和数据包分析功能，能够迅速获取、分析最新的攻击特征，防御最新的攻击手段。

同时，DDoS防火墙又是一款服务器安全卫士，具有多种服务器入侵防护功能，防止黑客嗅探，入侵篡改，真正做到了外防内保，为您打造一台安全省心免维护的服务器。 作为国内网络防火界的新兴力量、后起之秀，DDoS防火墙的3D防护结构，高效的主动防御，以简约（操作）而不简单（功能）的思想， 提供防护优秀、功能实用、操作简单、占用资源低的抗DDoS防火墙。

dns防护怎么做？

1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

2.限制区传送zone transfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

allow-transfer{ };

allow-update{ };

3.启用黑白名单

已知的攻击IP 加入bind的黑名单，或防火墙上设置禁止访问；

通过acl设置允许访问的IP网段；

通过acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

4.隐藏BIND的版本信息；

5.使用非root权限运行BIND；

6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。

建议不安装以下软件包：

1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

7.使用dnstop监控DNS流量

#yum install libpcap-devel ncurses-devel

下载源代码 http://dns.measurement-factory.com/tools/dnstop/src/dnstop-20140915.tar.gz

#；

9.增强DNS服务器的防范Dos/DDoS功能

使用SYN cookie

增加backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

缩短retries次数:Linux系统默认的tcp_synack_retries是5次

限制SYN频率

防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中；

10.：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

11.提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中; 使用入侵检测系统，尽可能的检测出中间人攻击行为; 在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；

12.：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

13.：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示; 部署dnssec；

14.建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。