摘要：DNS全称Domain Name System域名解析系统，通俗地说，DNS就是帮助用户在Internet上寻找名称与IP对应的解析服务。为了更方便使用网络资源，DNS服务提供一种将电脑或服务名称对应到关联该名称IP位址的方法。

第1页:防止恶意攻击三大方法保护DNS服务器 第2页:防止恶意攻击三大方法保护DNS服务器

　　名称一定比枯燥的IP地址更容易了解和记忆。大多数使用者喜欢使用易记的名称(例如www.enet.com.cn)来寻找网络中像是邮件服务器或网页服务器，而不是使用如123.196.118.10的IP地址。当使用者在应用程式中输入易记的DNS名称时，DNS服务会将此名称解析成它的数值位址。
　　
　　DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题，企业的DNS名称是Internet上的身份标识，是不可重覆的唯一标识资源，Internet的全球化使得DNS名称成为标识企业的最重要资源。
　　
　　然而重要的资源就可能引起有心人士的关心，随着Internet上DNS攻击事件的发生，DNS的安全问题也成为大家关心的焦点，常见的方式为：
　　
　　1、针对DNS系统的恶意攻击：发动DNSDDOS攻击造成DNS名称解析瘫痪。
　　
　　2、DNS名称劫持：修改注册讯息、劫持解析的结果。
　　
　　当DNS服务器遭遇DNS Spoofing恶意攻击时，不管是正常DNS查询封包或非正常的封包都经由UDPPort53进到内部的DNS服务器，DNS服务器除了要处理正常封包外，还要处理这些垃圾封包，当每秒的封包数大到一定的量时，DNS服务器肯定无法处理了，此时正常的封包请求，也一定无法得到正常的回应，当查询网站的IP无法被回应时，用户当然连接不到网站看不见网页，如果是查询邮件服务器时，那邮件也无法被寄出，重要的资料也无法被顺利的传递了，因此，维护DNS服务的正常运作就是一件非常重要的工作。
　　
　　针对以上的问题AX有一个解决方式，就是DNS应用服务防火墙，AX在这问题有三个有力的方法，可以有效的缓解这些攻击所造成的影响，
　　
　　1、首先将非DNS协定的封包过滤(Malformed Query Filter)
　　
　　2、再来将经由DNS服务器查询到的讯息做缓存(DNS Cache)
　　
　　3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制(Connection Rate Limit)