我收到一封来自 ISP 的电子邮件,说我们的服务器参与了针对他们的一台服务器的 DDOS 攻击——而且我们似乎正在运行“开放递归解析器”。
他们提供的 IP 地址是我们其中一台开发服务器的 IP 地址,该服务器运行的是 Windows Server 2012 R2。我进行了一些谷歌搜索,并按照以下说明操作(https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396)来禁用 DNS 管理器中的递归。我的问题是:
关闭递归选项是否足以确保这种情况不再发生?
删除此服务器上的 DNS 服务器可以吗?我甚至不知道它显然是默认安装的。我们为所有事情都使用外部 DNS 服务器。我希望总体上将我们的攻击面保持在最低限度。
答案1
如果我是你,我会从网络角度来解决这个问题。设置防火墙来记录53/udp and 53/tcp服务器上的任何流量。找出正在使用该服务的人。
如果没有人知道为什么安装了 DNS,而你禁用了它,那么唯一能知道你是否需要它将检查是哪里坏了。
答案2
正如我在评论中看到的那样,该服务器仅用作网络服务器,请仅允许向服务器开放所需的端口。此举将阻止对该 DNS 的未经授权的使用。
在小型 soho 防火墙上,许多公共服务器放在开放的 dmz 中,但使用高级防火墙时,为服务器创建公共 VLAN 并仅转发所需端口(例如,对于您的情况为 http/https)是更明智的做法。