DNS放大攻击

确定 – 首先要做的事情是：让服务器防火墙，让组织外的人不能访问它，或者禁用recursion ：

1. 打开DNSpipe理器。
2. 在控制台树中，右键单击适用的DNS服务器，然后单击“属性”。
3. 点击高级选项卡。
4. 在“服务器”选项中，选中“禁用recursion”checkbox，然后单击“确定”。

（克里斯张贴了一个方便的图片和你想要启用的选项 ）
现在就做这个。

现在你已经不再积极地打破互联网， 你可以阅读DNS放大攻击 ，他们是如何发生的，为什么他们不好，还有一些你可以做的事情，以防止他们成为一个棋子。
您也可以阅读这篇关于DNSSEC和DNS Amplification攻击的Technet文章，其中包含一些有用的参考资料。

然后，您可以确定如何最好地防止在此类攻击中使用您的服务器。
通常情况下，您只需回答已知的主机组（您的内部机器）的recursion查询即可完成此操作，但也可以使用其他选项。

• 打开DNSpipe理器控制台。
• 右键单击服务器，select属性。
• 高级选项卡。
• 禁用recursion。

禁用recursion可能不会阻止对公共服务器的攻击。

问题是，查询大约是94个字节，响应（说明它是一个NXDOMAIN）至less有119个字节，所以攻击略微放大，几乎总是来自欺骗性IP。

您还必须有点区域（。）没有logging，以获得回复下降到119个字节。

这些攻击中最常见的是要求freeinfosys.com

以上都不能阻止攻击本身，但会减less它的影响。

当dns服务器是一个公共权威的服务器时，它需要允许来自任何人的任何地方的查询，以及它携带的区域的位置，所以你不能通过p和其他步骤来限制私人或内部dns服务器的使用。

下一个版本的微软的2016年发布的dns将会有RRL，这将大大有助于他们，但是他们并没有发布Bind多年来所需要的function。

当你运行一个权威的dns服务器和jerkwad脚本小子或那些想要使你的dns服务器额外的stream量可以并将查询发送到你的dns服务器（从欺骗ips）的域名，你的服务器是权威的。

如果点（。）区域不存在，即使closures了recursion，服务器也会尝试并回答该查询。

只有在创build点区域之前，您才能减less对119字节的响应。 如果我记得，任何时候你开始用SOA以外的任何logging填充点区域，响应数据包将变大。

现在，如果你有一个现实的例子，并有证据表明做其他事情将100％的这种攻击停止，我全部耳朵，并会真正喜欢看到另一个答案。

我已经研究了很长一段时间，并且尝试了很多东西，根据我的研究，我上面详述的东西似乎是尽可能减less外向反应的最好方法。

如果您还没有这样做，请阅读我列出的与dns攻击相关的域名，因为这是此类攻击中唯一请求最多的域名。

当然，它通常与recursion服务器上的攻击相关联，但是这种types的攻击发生在禁用recursion的授权服务器上。

我有运行的服务器已经清除了根提示，recursionclosures了，并且在这些types的攻击过程中花费了大量的时间来研究wireshark的数据包，而且我从来没有见过像你这样详细的响应。 （我承认我对Wireshark足够了解，使我略微危险）

你有没有或知道现场演示或实验室，我可以看到这在行动？ 你是否知道这个响应的大小是多less，因为数据包大小的减less会有所改善？

其他DNS服务器软件回应什么不答复微软DNS服务器的问题，原来的问题是有关服务器2008年。

顺便说一下，也有查询块列表，但也不会拒绝列表中的域的查询。

有趣的是，自从我正在经历这种攻击以来，我再次尝试了其中一个build议。

我删除了。 并根据需要添加根提示，但忽略它。

我停下来，重新启动了DNS服务，并确保根本的提示仍然清晰。

响应数据包从119个字节到超过700个字节，所以现在我把这个攻击放了10倍。

所以，如果有人向我发出一个兆我发送10X带宽查询我不权威的一个没有发送请求的IP。

我希望这个build议能够奏效，而且我确信我之前曾经尝试过这个build议，但是之后我再次这样做了，因为我碰巧遇到了一个现场攻击的情况。