我有一个区域的非域加入权威 DNS 服务器,我在服务器设置中禁用了 DNS 递归。当我使用 dig @ns1.mydomain.tld 执行查询时,它会返回根提示。
我读到过,可以创建一个名为“.”的新主区域,用作根区域。但是,这仍然会返回我的机器的主机名和一些不完整的 soa 信息。
据我所知,返回根提示可用于 DNS 放大攻击。处理此问题的最佳做法是什么?
答案1
遗憾的是,您无法使用 Windows DNS 服务器禁用根提示。这确实使您的机器容易受到 DNS 反射攻击,但大多数攻击者都会寻找实际的递归 DNS 服务器。
从长远来看,您可能需要转移到不同的 DNS 服务器软件来解决此问题。
答案2
您可以尝试删除“根提示”选项卡上的所有根提示服务器,然后它将返回递归请求的服务器失败。
答案3
我知道这个问题有点过时了,但是对于其他正在寻找这个问题的好答案的人来说,有一篇优秀的文章可以指导你如何做到这一点:
https://websistent.com/authoritative-dns-in-windows-server-2008/
我没有以任何方式为本文做出贡献,并将全部荣誉归功于本文的作者(写在“Jesin 的博客”下)。