Ситуация: Сервер (Win 2008R2) используется в DDoS-атаке DNS (усиление). Коэффициент усиления уже снижен до 1: установите DNS-сервер в нерекурсивный режим и удалите все корневые подсказки -> DNS отвечает отказ сервера для неавторизованных доменов -> размер входящего запроса DNS EQ размер исходящего запроса DNS.
Тем не менее, даже без усиления мы по-прежнему неохотно участвуем, хотя бы в качестве простого дефлектора (поскольку, скорее всего, адрес назначения был подделан для направления трафика ответа DNS на цель DDoS).
Вопрос: Есть ли и если да, то каков самый простой способ предотвратить ответы DNS на запросы DNS определенного домена? Причина этого вопроса в том, что все эти вредоносные DNS-запросы относятся к одному домену, но с разных IP-адресов. Так что блокировка IP не так эффективна.
Итак, как отфильтровать эти DNS-запросы для определенных доменов и где (может ли DNS-сервер обрабатывать это или это должно быть сделано на брандмауэре?)?
Есть ли какая-то конкретная причина, по которой ваш сервер вообще должен отвечать на внешние запросы?
В идеале вы должны настроить внешний преобразователь для своего общедоступного преобразователя (используется для разрешения всех ресурсов, к которым должен быть доступ извне: MX, веб-сервер и т. Д.), Использовать DNS-сервер Windows только для своей внутренней сети и блокировать все входящие DNS-запросы на своем периметр.
Однако есть одна вещь, которую вы просто не можете предотвратить: как только у вас есть DNS-сервер, который отвечает на внешние запросы, даже если он предназначен только для вашего собственного домена, его можно использовать в атаке с отказом DNS. Вы можете настроить его для предотвращения усиления DNS, но не для предотвращения простых отказов. Это не должно иметь большого значения, если только вы сами не получаете DDoS-атаки.
Редактировать:
Типичный способ настройки DNS в небольшой (ish) структуре следующий:
Атака с усилением работает очень хорошо даже при выключенной рекурсии и при запросе доменов, что сервер не авторитетный для.
Входящий пакет UDP (с поддельным IP-адресом) составляет 72 байта, если я помню, и если зона с точкой (.) Не настроена с нулевыми записями, ответ может достигать 720 байтов ... с коэффициентом 10.
После этого ответ будет составлять около 90+ байтов, поэтому большая часть эффекта усиления исчезнет.
Что касается фильтрации запросов для определенных доменов, я думаю, что единственная ОС Microsoft, которая будет это делать, - это Server 2016 с новой политикой запросов DNS. Единственное серьезное обновление DNS, которое я вижу, - это ограничение скорости отклика, которое связывало в течение многих лет.
Как уже говорили другие, если это рекурсивно для внутренней сети или определенных клиентов, заблокируйте весь доступ к порту 53, кроме тех IP-адресов, которые вы хотите разрешить.
В качестве побочного примечания я возьму небольшую ставку, что многие из тех, кто получает поддельные запросы, это будет запрос для freeinfosys.com