У меня есть не присоединенный к домену авторитетный DNS-сервер для зоны, я отключил рекурсию DNS в настройках сервера. Когда я делаю запрос с помощью dig @ ns1.mydomain.tld. он возвращает корневые подсказки.
Я читал, что можно создать новую основную зону с именем "." который будет действовать как корневая зона. Однако это по-прежнему возвращает имя хоста моего ящика и некоторую неполную информацию о soa.
Насколько я понимаю, возвращаемые корневые ссылки могут использоваться для атак с усилением DNS. Как лучше всего справиться с этим?
К сожалению, вы не можете отключить корневые ссылки с помощью DNS-сервера Windows. Это делает вашу машину уязвимой для атак с отражением DNS, однако большинство злоумышленников ищут реальные рекурсивные DNS-серверы.
В долгосрочной перспективе вы, вероятно, захотите перейти на другое программное обеспечение DNS-сервера, чтобы исправить это.
Я знаю, что этот вопрос немного устарел, однако для тех, кто ищет хороший ответ на этот вопрос, есть отличная статья, которая расскажет, как это можно сделать:
https://websistent.com/authoritative-dns-in-windows-server-2008/
Я никоим образом не участвовал в написании этой статьи и полностью доверяю автору этой статьи (написанной в разделе «Блог Джесина»).
Вы можете попытаться удалить все корневые серверы подсказок на вкладке «Корневые подсказки», тогда он вернет ошибку сервера для рекурсивных запросов.