DNS服務器欺騙請求放大服務器2008 R2的DDoS緩解

Question

我們正在進行PCI合規性檢查，我們的外部域名服務器（所有Windows Server 2008 R2）都被Nessus插件ID：35450（下面的verbage）命中。雖然這是一個低嚴重程度的命中，但我在標題中看到了DDoS，並且我非常生氣。

插件ID：35450 名稱：DNS服務器欺騙請求放大DDoS 簡介：遠程DNS服務器可用於分佈式拒絕服務攻擊。 插件輸出：DNS查詢長度爲17個字節，答案長度爲449個字節。

我google了這個無濟於事。如果您有任何建議，請回復。

我沒有找到方法來測試（見下文），但在任何緩解步驟沒有運氣...

在Linux上： 挖。 NS @
[example：dig。 NS @ 192.168.1.1]

或Web上： http://isc1.sans.org/dnstest.html

Answer 1

你需要配置你的DNS服務器發出「爲由，拒絕」響應的根提示查詢（即dig . NS），而不是返回當前根名稱服務器列表。

不熟悉特定的DNS軟件我不能建議如何做到這一點。

請注意，這個Nessus測試並不意味着你的網絡安全性有一個弱點 - 你不能因此遭受網絡攻擊。

相反，這意味着人們可能會向您的服務器發送欺騙性查詢，該服務器的回覆可能不會用作針對其他人的DDoS的一部分。見RFC 5358。