1、授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）2、限制区传送zone transfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件allow-transfer{ }allow-update{ }3、启用黑白名单已知的攻击IP 加入bind的黑名单，或防火墙上设置禁止访问通过acl设置允许访问的IP网段通过acl设置允许访问的IP网段通过acl设置允许访问的IP网段4、隐藏BIND的版本信息5、使用非root权限运行BIND4、隐藏BIND的版本信息5、使用非root权限运行BIND6、删除DNS上不必要的其他服务。
创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTP News等服务。建议不安装以下软件包：1）X-Windows及相关的软件包2）多媒体应用软件包3）任何不需要的编译程序和脚本解释语言4）任何不用的文本编辑器5）不需要的客户程序6）不需要的其他网络服务。
确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供7、使用dnstop监控DNS流量#yum install libpcap-devel ncurses-devel下载源代码 http://dns。
measurement-factory。com/tools/dnstop/src/dnstop-20140915。tar。gz#9、增强DNS服务器的防范Dos/DDoS功能使用SYN cookie增加backlog，可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况缩短retries次数:Linux系统默认的tcp_synack_retries是5次限制SYN频率防范SYN Attack攻击: # echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc。

d/rc。local"文件中10、[防中间人攻击(Man in the Middle Attack)]：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。
在条件允许的情况下，在不同网络内部部署多个探测点分布式监控11、[防ddos攻击]提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中 使用入侵检测系统，尽可能的检测出中间人攻击行为 在域名服务系统周围部署抗攻击设备，应对这类型的攻击利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施12、[防 缓存窥探(Cache Snooping)]：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务13、[防缓存中毒(或DNS欺骗)(Cache Poisoning or DNS Spoofing)]：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示 部署dnssec14、建立完善的数据备份机制和日志管理系统。
应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×24的维护机制保障，应急响应到场时间不能迟于30分钟。