DNS服务器欺骗请求放大服务器2008 R2的DDoS缓解

Question

我们正在进行PCI合规性检查，我们的外部域名服务器（所有Windows Server 2008 R2）都被Nessus插件ID：35450（下面的verbage）命中。虽然这是一个低严重程度的命中，但我在标题中看到了DDoS，并且我非常生气。

插件ID：35450 名称：DNS服务器欺骗请求放大DDoS 简介：远程DNS服务器可用于分布式拒绝服务攻击。 插件输出：DNS查询长度为17个字节，答案长度为449个字节。

我google了这个无济于事。如果您有任何建议，请回复。

我没有找到方法来测试（见下文），但在任何缓解步骤没有运气...

在Linux上： 挖。 NS @
[example：dig。 NS @ 192.168.1.1]

或Web上： http://isc1.sans.org/dnstest.html

Answer 1

你需要配置你的DNS服务器发出“为由，拒绝”响应的根提示查询（即dig . NS），而不是返回当前根名称服务器列表。

不熟悉特定的DNS软件我不能建议如何做到这一点。

请注意，这个Nessus测试并不意味着你的网络安全性有一个弱点 - 你不能因此遭受网络攻击。

相反，这意味着人们可能会向您的服务器发送欺骗性查询，该服务器的回复可能不会用作针对其他人的DDoS的一部分。见RFC 5358。