我最近发现我的服务器正被用作DNS DDOS的一部分。 基本上,我的BIND设置允许recursion,它被用来利用IP欺骗攻击某个IP地址。 我采取了必要的措施来阻止这一点,并禁用recursion。 我不再是一个放大器,我猜想解决了这个大问题,但是我仍然在接受这个问题,BIND正在回答“拒绝”所有这些问题。 我只是好奇,知道我还能做些什么。 我认为我可能会configurationfail2ban来阻止他们,做类似于Debian的build议 ,但根据其他网站和合理的逻辑,这是不理想的,因为攻击者可以很容易地阻止任何IP访问我的服务器。 那么还有什么可以做的? 或者我应该等待攻击者放弃? 或者希望他们可以重新扫描,并把我作为一个放大器?
我有两台运行BIND9的DNS服务器,一台主机和一台从机。 当区域文件在主服务器上更新时,我想让从服务器立即开始服务更改的logging,但是BIND给了我一些guff。 主区域和从区域之间的DNS区域传输已经正常工作。 我可以login到从服务器并运行dig @dnsmaster myzone. AXFR dig @dnsmaster myzone. AXFR并打印出该区域的全部内容。 为了做到这一点,DNS主服务器configuration了notify yes和also-notify { dnsslave } 。 同样,从站configuration了allow-transfer { dnsmaster } 。 当dnsmaster更新时,我运行rndc reload ,它告诉我通知正在发送。 这在slave上通过检查/var/named/slavedata/ 。 他们包含最新的数据,匹配主人所知道的。 现在来了怪异的一部分。 从属服务器将继续提供旧的,陈旧的DNSlogging,完全忽略在主服务器收到通知后磁盘上有新数据的事实。 我正在用dig命令检查结果: dig @slaveserver record.zone.tld 。 我以为BIND可能会保留其权威区域的内存caching,所以我设置max-cache-size和max-cache-ttl为0,但是没有效果。 我尝试了其他方法来刷新这个所谓的caching,通过在从服务器上运行诸如rndc flush和rndc reload类的命令,但它仍然返回旧的陈旧logging。 最后,我注意到该区域的MINTTL被设置为86400(24小时),所以我暂时将MINTTL改为15秒,然后重新启动从属服务器。 没有效果 – 从属服务重新启动后,只会提供更新的DNS结果。 这里发生了什么? 当接收到区域更新的通知时,BIND9的预期行为是什么? 它是否始终尊重TTL和MINTTL ? 我会假设它总是使用最新的可用数据。 在我的机智的结尾,我正在考虑设置一个crontab来重新启动BIND奴隶小时,只是为了避免提供陈旧的数据。 有更好的吗?
假设你有一个小的Windows域configuration如下: 域名是ad.example.com (按照这些准则 ) DC1在10.10.10.3 DC2在10.10.10.4 DC1和DC2正在运行AD集成的DNS和DHCP服务器angular色 AD DHCPconfiguration了10.10.10.50-99的地址池 AD DHCP发布的客户端租约的006 DNS Servers选项设置为DC运行AD集成DNS的地址(即10.10.10.3和10.10.10.4) AD集成的DNS服务器将google 8.8.8.8configuration为转发器 10.10.10.0/24子网通过内部地址为10.10.10.1的Cisco ASA连接到Internet ASA是10.10.10.0/24networking的网关 vpn.example.com是parsing为ASA外部IP地址的公共DNS项 远程Windows计算机使用指向vpn.example.com的Cisco IPSec VPN客户端通过ASA连接到10.10.10.0/24networking 远程Windows计算机从10.10.10.200-10.10.10.254发布IP地址 分离隧道被启用,使得只有10.10.10.0/24stream量被隧道化(该站点的最高可用上游带宽仅为2Mbps) 对于有时通过VPN连接的Windows笔记本电脑,他们的DNS应该如何configuration? 如果移动Windows笔记本电脑只接受随机的公共DNS服务器地址,则当隧道处于非活动状态时,它将向随机公用DNS服务器发送_ldap._tcp.site._sites.ad.example.com DNS查询。 这是标准的做法吗? 不知何故,这似乎是一个坏主意。 另一方面,如果Windows笔记本电脑configuration了只有内部DNS服务器10.10.10.3和10.10.10.4(如此处严格推荐 ),那么VPN客户端无法parsingvpn.example.com以build立VPN连接 – 这是一个鸡与鸡的问题。 在通过VPN连接的Windows笔记本电脑上,DNS应该有什么更奇怪的事情发生吗? VPN客户端对Windows DNS查询有多less控制? 应该启用DNS分割隧道? 启用DNS拆分隧道似乎意味着我们依靠VPN客户端拦截DNS查询,如_ldap._tcp.site._sites.ad.example.com以防止它们被发送到公共DNS服务器。 VPN客户端中的DNS拆分隧道是严格可靠的吗? 对于这一点,似乎有些应用程序可能完全忽略了VPN适配器,并尝试使用物理适配器上的公共DNS服务器来parsingWindows域地址。 这是我应该关心的吗? 另一种select – 通过隧道发送所有的DNS查findAD集成的DNS服务器 – 这似乎是一个坏主意,原因有两个:1)当用户是通道时,通道可能比公共DNS服务器高得多来自ASA的许多跳跃。 2)似乎名称将parsing为与ASA附近的服务器对应的IP地址,而不是远程计算机。 如果我正确理解这一点,那就意味着在CDN上访问媒体时遇到问题。 (编辑: 这是一个经历这个问题的人的例子。 )
是否有办法强制Windows 2008R2 DHCP服务器更新所有当前租赁的所有DNS条目? (猜测服务器端相当于ipconfig /registerdns ) 我们的dynamicDNS有一个configuration问题,DNS与当前的租约严重不同步。 现在需要几天的时间赶上,我们已经解决(我认为)原来的问题。
在星期五,我将公开的DNS Alogging更改为我们公共网域的提供商DNS服务上的新IP地址。 为了使这些更改在我们的Intranet(对于我们的Intranet客户端/用户)中填充得更快,我在Windows 2012R2 DNS服务器计算机上使用了powershell命令Clear-DnsServerCache 。 我对命令的理解是只有caching将被删除。 没有logging或其他东西会被触动。 因此(所以我认为)删除整个caching唯一的负面影响可能是解决名称速度较低的性能。 因此,我没有打扰只删除受影响域名的cachinglogging,但删除了整个caching。 由于我们在这个网站上只有20人左右的工作,我认为被删除的caching的性能损失可以忽略不计。 注意:运行DNS服务器的机器也是一个同步的AD域控制器。 这是一个Windows 2012 R2标准机器。 该DNS服务器托pipeAD集成区域。 复制与位于总部的其他两台DNS / ActiveDirectory服务器处于激活状态。 在这台服务器上,我们也设置了反向DNS查询,并且对所有复制的服务器(每个DNS服务器都有另外两个复制服务器作为查询转发服务器)进行查询转发。 今天(周末之后),我们有大量的DNS问题。 AD集成区域中的_gc , _kerberos和_ldap正向查找条目在DNS服务器中丢失。 因此,我们遇到了人们无法find域名服务器等问题。 我的团队现在讨论可能的原因。 Clear-DnsServerCache确实会造成这种情况吗? https://technet.microsoft.com/en-us/library/jj649893(v=wps.630).aspx上的Technet文章也没有帮助。 Side-question: Clear-DnsServerCache和dnscmd /clearcache ,也和GUI一样(DNSpipe理控制台, View – > Advanced ,然后右键单击Cached Lookups ,然后Clear Cache )? 更新2017-02-08感谢所有的评论者。 根据您的意见,我现在确信我们的问题与Clear-DnsServerCache 。 这就造成了我们丢失了多个与AD有关的SRVlogging。 如果我发现我会回来写另一个更新。 虽然我怀疑我们是否会发现。
几个月前我在堆栈溢出问了这个问题 ,并没有得到任何有用的答案。 也许这里有人有更好的信息。 请注意,我正在谈论客户端DNSparsing器caching。 此消息不涉及Windows DNS服务器。 我有一个C#程序,它执行大量的DNSparsing。 因为HTTPWebRequest组件不会让我更改主机头,我不能创build我自己的内部DNScaching。 所以我必须依靠Windows DNScaching,这看起来不会改变。 有一个相当不错的TechNet文章有关Windows Server 2003中的DNScachingregistry设置,但我还没有能够certificate,设置它们在XP,Server 2003,Vista或Server 2008中做任何事情。所有其他页面,我通过谷歌search引用该页面或解释它,有时不正确。 Windows的ipconfig命令有一个/displaydns开关,它将输出caching的内容。 据我所知,这是确定DNScaching大小的唯一方法。 在使用2 GB内存的32位Windows XP机器上进行的实验中,无论我设置DNScachingregistry值如何,我总是会在caching中使用30到40个项目 – 甚至在执行数千个DNSparsing。 在具有16 GB内存的64位Windows 2008计算机上,caching中总是有270到300个项目。 我很难过 我不知道答案是什么,但我认为以下情况之一是: 无法更改DNSparsing器caching的大小。 这是可能的,但文件是错误的。 文件是正确的,但它是不完整的。 文档是正确的,完整的,但我太愚蠢,没有意义。 logging的registry项实际上改变了caching的大小,但ipconfig并没有显示caching中的所有条目。 任何人都可以告诉我是否可以在Windows XP,Vista或Server 2008中configurationDNSparsing器caching的大小?
我有一个服务器需要很长时间才能查找主机名。 这是一个Ubuntu 12.04盒子,所以我试着按照新的resolvconf指令。 在我的/etc/network/interfaces文件中,我定义了我的名字服务器,如下所示: auto eth0 iface eth0 inet static address someaddress netmask 255.255.255.0 gateway 198.58.103.1 dns-nameservers 74.14.179.5 72.14.188.5 在我的/etc/resolv.conf ,我看到这些名称服务器,如下所示: # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND — YOUR CHANGES WILL BE OVERWRITTEN nameserver 74.14.179.5 nameserver 72.14.188.5 在另一个盒子上,我直接按照主机的设置帮助文件的指示编辑了resolv.conf文件。 它看起来像这样: domain members.linode.com search members.linode.com […]
是否有可能解决HTTPS服务于Web服务器的情况,并且必须可以通过www.domain.com和www.domain.com.访问www.domain.com. ? 并注意尾随点。 所有的例子: GitHub 证书当然是github.com而不是github.com. 。 这个问题可以解决吗? 我完全误解了DNS架构吗?
我有一个问题,logging从我的主DNS区域“消失”。 这些设备的客户端logging是静态条目。 条目复制正确,但随机删除。 我已经通过审计跟踪了PDC的编辑。 我从哪里出发? 这是设置: 4个Win7客户端通过VPN连接到我的域。 三台服务器2012R2 DC; 两个在我的本地站点和一个在Azure上。 DNS被集成到Active Directory中。 DNS清除已closures。 “删除logging时陈旧”未选中。 从我的在线search中,我发现了一篇关于消失的DNSlogging的文章 。 使用ASDIEdit检查Configuration的Partitions ,并能够加载DomainDnsZones和ForestDnsZones 。 我还设置了对DNS条目的审计 。 这使我能够跟踪正在编辑的内容 学科: 安全ID:SYSTEM 帐户名称:系统 帐户域名:NT AUTHORITY loginID:0x44936 目录服务: 名称:example.com 键入:Active Directory域服务 目的: DN:DC = computer_name,DC = example.com,cn = MicrosoftDNS,DC = DomainDnsZones,DC =示例,DC = com GUID:DC = computer_name,DC = example.com,CN = MicrosoftDNS,DC = DomainDnsZones,DC =示例,DC […]
我的DNS服务器曾经是公司域名的DNS服务器。 然而,他们搬到别处。 奇怪的是,多年以后,他们仍然把我的DNS服务器列入他们的whoislogging(或者更恰当地说,在他们的胶水logging中)。 现在我很好奇,如果有其他领域做同样的事情。 有没有一种方法,我可以find哪些域列出我的服务器作为他们的名称服务器? 在过去,人们可以用whois来查询“主机logging”,但现在看不出有办法做到这一点