我一直在进行安全扫描,然后出现了一个新问题:
DNS Server Spoofed Request Amplification DDoS
远程 DNS 服务器会响应任何请求。可以查询根区域(“。”)的名称服务器 (NS) 并获取比原始请求更大的答案。通过伪造源 IP 地址,远程攻击者可以利用这种“放大”对使用远程 DNS 服务器的第三方主机发起拒绝服务攻击。
常规解决方案:限制从公共网络访问您的 DNS 服务器或重新配置它以拒绝此类查询。
我为我的网站托管了自己的 DNS。我不确定这里的解决方案是什么……我真的在寻找一些具体的详细步骤来修补此问题,但尚未找到。有什么想法吗?
带有 WHM 和 CPanel 的 CentOS5。
答案1
如果名称服务器是仅有的权威的(即它不为您的网络提供递归服务),只需从中删除“根提示”部分/etc/named.conf。
这通常看起来像这样:
zone "." IN {
type hint;
file "named.ca";
};
权威服务器不需要这个区域。
这样做会导致服务器返回REFUSED根名称服务器的副本而不是将其返回给外部客户端。
此外,由于您的服务器仅具有权威性,因此您应该添加:
recursion no;
在主配置块中。
答案2
为了防止您的系统被用作此类攻击的“放大器”,您需要禁用除权威区域之外的所有查询的答案。要在 bind9 中执行此操作,您需要在 named.conf 中添加两个指令:
allow-recursion {none;};
allow-query-cache {none;};
从 named.conf 中删除根提示区域没有帮助,因为有一个内置提示区域,如果您没有在 named.conf 中明确包含它,则会使用它。