我一直在进行安全扫描,并为我popup一个新的:
DNS Server Spoofed Request Amplification DDoS 远程DNS服务器应答任何请求。 可以查询根区域('。')的名称服务器(NS)并获得比原始请求更大的答案。 通过欺骗源IP地址,远程攻击者可以利用这种“放大”来启动对使用远程DNS服务器的第三方主机的拒绝服务攻击。
一般解决scheme:限制从公共networking访问您的DNS服务器或重新configuration它拒绝这样的查询。
我正在为我的网站托pipe自己的DNS。 我不知道这里的解决scheme是什么…我真的在寻找一些具体的详细步骤来补丁,但还没有find。 有任何想法吗?
CentOS5与WHM和CPanel。
另请参阅: http : //securitytnt.com/dns-amplification-attack/
如果名称服务器只是权威的(即它不提供networkingrecursion服务),只需从/etc/named.conf删除“root hints”部分即可。
这通常看起来像这样:
zone "." IN { type hint; file "named.ca"; };
权威服务器不需要这个区域。
这样做应该导致服务器返回REFUSED而不是根名称服务器的副本到外部客户端。
另外,因为你的服务器是权威性的,所以你应该添加:
recursion no;
在主configuration块中。
为防止您的系统被用作此类攻击的“放大器”,您需要禁用除权威区域以外的所有查询的答案。 要在bind9中这样做,需要在named.conf中有两个指令:
allow-recursion {none;}; allow-query-cache {none;};
从named.conf中删除根提示区域没有任何帮助,因为有一个内置的提示区域,如果你没有在named.conf中显式包含它,