本文目录一览：

• 1、攻击ip的时候，怎么进行dns防护。
• 2、DNS欺骗攻击和防范方法有哪些
• 3、国内如何有效防止网站被DNS劫持和DDOS攻击？
• 4、如何有效防止DNS欺骗攻击

攻击ip的时候，怎么进行dns防护。

DNS防护方案

进行IP地址和MAC地址的绑定

(1)预防ARP欺骗攻击。因为DNS攻击的欺骗行为要以ARP欺骗作为开端，所以如果能有效防范或避免ARP欺骗，也就使得DNS

ID欺骗攻击无从下手。例如可以通过将Gateway Router 的Ip Address和MAC

Address静态绑定在一起，就可以防范ARP攻击欺骗。

(2)DNS信息绑定。DNS欺骗攻击是利用变更或者伪装成DNS Server的IP Address，因此也可以使用MAC Address和IP

Address静态绑定来防御DNS欺骗的发生。由于每个Network Card的MAC Address具有唯一性质，所以可以把DNS Server的MAC

Address与其IP Address绑定，然后此绑定信息存储在客户机网卡的Eprom中。当客户机每次向DNS Server发出查询申请后，就会检测DNS

Server响应的应答数据包中的MAC Address是否与Eprom存储器中的MAC Address相同，要是不同，则很有可能该网络中的DNS

Server受到DNS欺骗攻击。这种方法有一定的不足，因为如果局域网内部的客户主机也保存了DNS Server的MAC Address，仍然可以利用MAC

Address进行伪装欺骗攻击。

DNS欺骗攻击和防范方法有哪些

一 什么是DNS

DNS 是域名系统 （Domain Name System） 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

二 DNS的工作原理

DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。

在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPV6中，将以128位二进制数表示一个IP地址。

大家都知道，当我们在上网的时候，通常输入的是如： 这样子的网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入： 也可输入这样子 218.30.66.101 的IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住。

DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。

DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析（如上面的 与 218.30.66.101 之间的转换），域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。

三 DNS欺骗攻击

DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。

1、缓存感染：

黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

2、DNS信息劫持：

入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。

3、DNS重定向

攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。

四 DNS的防范方法

防范方法其实很简单，总结来说就只有两条。（1） 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。（2） 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。只要能做到这些，基本上就可以避免DNS欺骗攻击了。

现在知道为什么当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站了吧，这就是神奇的DNS欺骗，希望学习DNS协议欺骗攻击技术有所帮助

国内如何有效防止网站被DNS劫持和DDOS攻击？

网页被劫持，是指打开网站被跳转到其它网站，无法访问真实的网站。

解释原因：

确定好网站地址，并且该网站拥有域名解析权（网站负责人才可以处理）。

进入Gworg获得HTTPS证书进行加密协议传输。

如果是服务器路由劫持等其它情况的，需要在Gworg获得防护方案。

DDOS攻击需要让做网络防御就可以了。

解决办法：发生劫持第一时间让Gworg进行处理。

如何有效防止DNS欺骗攻击

①启动注册表编辑器(Regedit.exe);

②在以下注册表项中找到MaxCacheEntryTtlLimit值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters;

③在编辑菜单上，单击修改，键入数值1并确定;

④后退出注册表编辑器。

一般情况下，DNS欺骗攻击是比较难以防御的，因为这种攻击大多数本质都是被动的，只有在发生DNS欺骗攻击后，才能发现以被欺骗攻击。所以，我们在尽量防止DNS欺骗攻击基础上，需要做更多的防范措施，比如：保护内部设备、不要过分依赖DNS、定时检查服务器安全以及使用DNSSEC替代DNS等。