Я получил электронное письмо от интернет-провайдера, в котором говорилось, что наш сервер участвовал в DDOS-атаке против одного из их серверов - и что мы, похоже, запускаем «открытый рекурсивный преобразователь».
Они предоставили IP-адрес одного из наших серверов разработки, на котором работает WIndows Server 2012 R2. Я погуглил и выполнил эти инструкции (https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396), чтобы отключить рекурсию в диспетчере DNS. Мои вопросы:
Достаточно ли выключить рекурсию, чтобы этого больше не случилось?
Можно ли удалить DNS-сервер на этом сервере? Я даже не знал, что он явно установлен по умолчанию. Для всего мы используем внешние DNS-серверы. Я бы хотел, чтобы наша поверхность атаки была минимальной.
Как я видел в комментарии, сервер используется только в качестве веб-сервера, пожалуйста, разрешите открывать только необходимый порт для сервера. Этот шаг заблокирует несанкционированное использование этого DNS.
На небольшом брандмауэре soho многие помещают общедоступный сервер в открытый dmz, но с расширенным брандмауэром более разумно сделать общедоступный vlan для сервера и перенаправить только требуемый порт, например http / https для вашего случая.
На вашем месте я бы подошел к этому с точки зрения сети. Настройте брандмауэр для регистрации любого трафика на 53/udp and 53/tcp на сервере. Выясните, что использует сервис.
Если никто не знает, почему был установлен DNS, и вы отключите его, единственный способ узнать, необходимо будет разбираться, что сломалось.