我有一个非域join了一个区域的权威DNS服务器,我已经在服务器设置禁用DNSrecursion。 当我用dig @ ns1.mydomain.tld进行查询时。 它返回根提示。
我读过它可能创build一个名为“。”的新主区域。 这将作为根区。 但是这仍然返回我的箱子的主机名和一些不完整的soa信息。
从我的理解返回根提示可用于dns放大攻击。 处理这个最好的做法是什么?
可悲的是,你不能禁用Windows DNS服务器的根提示。 这确实会让您的机器容易被DNSreflection攻击滥用,但是大多数攻击者会寻找实际的recursionDNS服务器。
长期来看,你可能会想要移动到不同的DNS服务器软件来解决这个问题。
您可以尝试删除根提示选项卡上的所有根提示服务器,然后将返回服务器失败的recursion请求。
我知道这个问题有点过时,但是对于那些寻找这个问题很好的答案的人来说,还有一篇很好的文章能够指导你如何做到这一点:
https://websistent.com/authoritative-dns-in-windows-server-2008/
我没有以任何方式对本文作出任何贡献,并且完全赞成这篇文章的作者(写在“Jesin的博客”下)。