受DNS攻击所影响的组织，平均损失较上一年增加约57%——从2017年的45.6万美元，到了2018年的71.5万美元——这一点尤其令人感到不安。考虑到所有因素，虽然DNS攻击从一个行业部门、转到另一个行业部门的影响差异很大。但对所有组织机构来说，部署恰当的DNS攻击检测和防护措施，仍然是至关重要的。

　　DNS服务器域名解析失败

　　1、使用DNS服务器转发器

　　使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS快取记忆体中受益。另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果您的DNS服务器保存了您内部的域DNS资源记录的话，这一点就非常重要。不让内部DNS服务器进行递迴查询并直接联繫DNS服务器，而是让它使用转发器来处理未授权的请求。

　　2、设定只缓衝DNS服务器

　　当只缓衝DNS服务器收到一个回馈，它把结果保存在快取记忆体中，然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓衝DNS服务器可以收集大量的DNS回馈，这能极大地缩短它提供DNS回应的时间。可以提高组织安全性。内部DNS服务器可以把只缓衝DNS服务器当作自己的转发器，只缓衝 DNS服务器代替您的内部DNS服务器完成递迴查询。使用您自己的只缓衝DNS服务器作为转发器能够提高安全性。

　　3、DNS服务器广告者

　　DNS广告者是一台负责解析域中查询的DNS服务器。如果您的主机对于domain.com 和corp.com是公开可用的资源，您的公共DNS服务器就应该为domain.com 和corp.com配置DNS区档。除DNS区档宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的功能变数名称的查询。这种DNS服务器不会对其他DNS服务器进行递迴 查询。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。

　　DNS服务器域名解析

　　4、使用DNS解析者

　　DNS解析者是一台可以完成递迴查询的DNS服务器，它能够解析为授权的功能变数名称。DNS解析者是仅仅针对解析互联网主机名称。DNS解析者可以是未授权DNS功能变数名称的只缓存DNS服务器。您可以让DNS 解析者仅对内部用户使用，您也可以让它仅为外部使用者服务，这样您就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，您也 可以让DNS解析者同时被内、外部用户使用。

　　5、保护DNS服务器不受缓存污染

　　DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答覆给发出请求的主机之前，就保存在快取记忆体中。DNS快取记忆体 能够极大地提高您组织内部的DNS查询性能。问题是如果您的DNS服务器的快取记忆体中被大量假的DNS资讯“污染”了的话，用户就有可能被送到恶意网站 而不是他们塬先想要访问的网站。

　　6、DNS服务器只用安全连接

　　7、禁用区域传输

　　DNS域名服务器防御方案

　　8、使用防火墙来控制DNS服务器访问

　　防火墙可以用来控制谁可以连接到您的DNS服务器上。对于那些仅仅回应内部用户查询请求的DNS服务器，应该设置防火墙的配置，阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器，应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部使用者使用DNS协定连接外部DNS服务器。

　　9、在DNS服务器註册表中建立存取控制

　　在基于Windows的DNS服务器中，您应该在DNS服务器相关的註册表中设置存取控制，这样只有那些需要访问的帐户才能够阅读或修改这些註册表设置。HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问，这些帐户应该拥有完全控制许可权。

　　10、在DNS服务器档案系统入口设置存取控制

　　在基于Windows的DNS服务器中，您应该在DNS服务器相关的档案系统入口设置存取控制，这样只有需要访问的帐户才能够阅读或修改这些档。