我们正在运行带有 DNS 的 IIS 服务器,网站所有者要求我们运行特定的安全扫描。我们的网站通过了,但我们收到了警告,我想清理它,但我不太清楚如何正确设置它。
描述:DNS 服务器欺骗请求放大 DDoS
摘要:远程 DNS 服务器可用于分布式拒绝服务攻击。
影响:远程 DNS 服务器会响应任何请求。可以查询根区域(“。”)的名称服务器 (NS) 并获取大于原始请求的答案。通过欺骗源 IP 地址,远程攻击者可以利用此“放大”对使用远程 DNS 服务器的第三方主机发起拒绝服务攻击。
另请参阅:http://isc.sans.org/diary.html?storyid=5713
收到的数据:DNS 查询长 17 个字节,答案长 353 个字节。
解决方案:限制从公共网络访问您的 DNS 服务器或将其重新配置为拒绝此类查询。
我们已经关闭了递归,但我不知道它可能会拾取并标记什么其他设置,尤其不希望我们的服务器被用于帮助或遭受任何类型的 DDoS 攻击。
谢谢。
答案1
如果您的 DNS 服务器对可公开访问的域具有权威性(我猜您就是这种情况),那么您能做的就不多了。出现警告是因为您的 DNS 服务器将响应任何请求,而面向公众的权威服务器则需要这样做。
在欺骗性请求放大攻击中,DNS 请求的源地址被欺骗,这样 DNS 服务器的回复将被发送到目标(受害者)主机而不是源。除了禁用递归之外,还可以设置过滤器以拒绝带有欺骗性源地址的数据包,以减轻这些攻击。不过,这需要由您的路由器或防火墙执行。这样做不会阻止此警告出现在安全扫描中,但您会有证据表明您已采取措施来减轻威胁。