文档提供了在Mikrotik上设置缓存DNS服务器以防止DNS攻击的详细步骤。介绍了可能面临的风险，如DNS缓存中毒和DNS洪水攻击，并建议通过设置防火墙规则来进行防护。文档还提及了参考资源以获取更多信息。

1. How to Prevent DNS Attacks
on MikroTik
2022/4/4

2. 設定WAN IP位址
讓MikroTik成為一個Caching DNS Server
2

3. 設定該Interface的IP
3.3.3.3/24
3

4. 4

5. 表示該MikroTik對外提供DNS查詢服務。
使MikroTik成為一個Caching DNS Server。
同時，WAN的IP開放提供DNS網域查詢服務，
因此也稱為”開放式DNS遞迴解析伺服器” (Open
DNS Recursive Resolver或 DNS Recursor)，
如：Google的8.8.8.8。
8.8.8.8
8.8.4.4
5

6. 測試 ping youtube.com
6

7. 7

8. 8

9. 9

10. 隱憂
10

11. 易造成
• DNS 快取記憶體中毒 (DNS cache poisoning)
• DNS 反射/放大攻擊 (DNS Reflection/Amplification Attack)
• DNS洪水攻擊 (DNS Flood Attack)
• ….等
11

12. 設定防火牆預防DNS攻擊
12

13. 13

14. 14

15. 15

16. 16

17. 17
新增的兩個防火牆規則

18. 測試ping google.com和youtube.com
18

19. 19
完成

20. 參考資料
• CLOUDFLARE DNS放大攻擊
• CLOUDFLARE DNS 快取記憶體中毒
• CLOUDFLARE DNS 伺服器有哪些不同類型？
• 清華大學 Open DNS resolver 的問題
• open DNS resolver測試網站
20