我们使用DNS运行IIS服务器,网站所有者要求我们运行特定的安全扫描。 我们的网站已经通过,但我们被警告,我想清理它,我有点不熟悉如何正确设置。
说明:DNS服务器欺骗请求放大DDoS
概要:远程DNS服务器可以用于分布式拒绝服务攻击。
影响:远程DNS服务器应答任何请求。 可以查询根区域('。')的名称服务器(NS)并获得比原始请求更大的答案。 通过欺骗源IP地址,远程攻击者可以利用这种“放大”对使用远程DNS服务器的第三方主机发起拒绝服务攻击。
- Outlook.com DNS太慢,postfix超时
- 在Route53中configurationALIASlogging时,s3端点应该是什么样的?
- 如何确定NSLOOKUP返回的IP来自哪里
- 清理梭子鱼310网页过滤DNS /网站caching?
- Ngrok自定义主机名称添加到子域名
另见:http://isc.sans.org/diary.html?storyid=5713
收到的数据:DNS查询长度为17个字节,答案长度为353个字节。
解决方法:限制从公共networking访问您的DNS服务器或重新configuration它拒绝这样的查询。
我们已经closures了recursion,但是我并不知道其他设置是否可以提取和标记,特别是不希望我们的服务器被用来帮助或受到任何types的DDoS攻击。
谢谢。
如果你的DNS服务器对于一个可公开访问的域是权威的,那么我猜你就是这种情况,那么你可以做的事情就不多了。 这个警告是由于你的DNS服务器会响应任何一个面向公众的授权服务器需要做的请求。
在欺骗性的请求放大攻击中,DNS请求的源地址被欺骗,使得来自DNS服务器的回复将被发送到目标(受害者)主机而不是源。 除了禁用recursion之外,还可以使用filter来拒绝具有欺骗源地址的数据包,以减轻这些攻击。 不过,这需要由路由器或防火墙执行。 这样做不会阻止这个警告出现在安全扫描中,但是您将有证据表明您已采取措施来减轻威胁。