我的服务器(Microsoft Server 2008 R2 x64)平均每秒接收大约20-30个ICS.org的任何请求(使用伪造的源地址)。 recursion被禁用,答案只包含一个根服务器的列表。 不过,最近我的服务器得到了有关未经请求的DNS答案的投诉。 所以我的问题是
什么是简单的方法来configurationMicrosoft DNS不应答ISC.org的任何请求?
由于这是一个开发服务器(免费的学术许可证),我不想购买任何软件/解决scheme。
这是我迄今为止考虑的步骤:
configuration微软的DNS,以防止回答不授权的域名请求 – 这是我的第一个想法,但我没有find任何资源,我不知道这是甚至可能的。
使用一个iptable相当于通过udpstring匹配规则(在www.minihowto.eufind)丢弃ics.org数据包 – 在WIPFW登陆,但没有可用的64位版本。
阻塞IP后x udp请求/秒在端口53脚本/简单的解决scheme – 没有发现任何关于这一点。
如预期的那样,为Windows Server 2008 R2使用免费的应用程序级防火墙没有发现任何问题。
使用Windows过滤平台进行包过滤。 这是我想出的最后一个解决scheme。 如果我理解正确的话,我将不得不为“深层数据包检查”编写一个标注驱动程序来查找和删除ics.org的任何数据包。
由于我以前没有驱动程序和wfp编程方面的知识,所以我终于决定先问这个问题。
嗨,我是新的服务器pipe理员,但我会尽力回答这个最好的,我可以。 在服务器2008 R2,当你去到你的防火墙规则(通过服务器pipe理器或无论你想去那里),有自定义的规则,你可以通过url,string等过滤。这听起来像你之前尝试发布那? 这是你可以尝试你所描述的东西。 此外,防火墙可以轻松configuration为阻止特定的端口。 你可以点击防火墙规则,如果你向下滚动(或search),你会发现端口53和DNS相关的规则。 此外,我想知道是否可以在该服务器以外的下一跳路由器(NAT或无论如何configuration)上更正此问题(closures或限制53上的stream量)。