Я проводил сканирование безопасности, и у меня выскочила новая:
DNS Server Spoofed Request Amplification DDoS
Удаленный DNS-сервер отвечает на любой запрос. Можно запросить серверы имен (NS) корневой зоны ('.') И получить ответ, больший, чем исходный запрос. Подменяя исходный IP-адрес, удаленный злоумышленник может использовать это «усиление» для запуска атаки отказа в обслуживании против стороннего хоста с помощью удаленного DNS-сервера.
Общее решение: ограничьте доступ к вашему DNS-серверу из общедоступной сети или перенастройте его, чтобы отклонять такие запросы.
Я размещаю собственный DNS для своего сайта. Я не уверен, какое решение здесь ... Я действительно ищу конкретные подробные шаги, чтобы исправить это, но пока не нашел. Любые идеи?
CentOS5 с WHM и CPanel.
Чтобы ваша система не использовалась в качестве «усилителя» для такой атаки, вам необходимо отключить ответы на все запросы, кроме ваших авторитетных зон. Для этого в bind9 вам понадобятся две директивы в named.conf:
allow-recursion {none;};
allow-query-cache {none;};
Удаление корневой зоны подсказок из named.conf не помогает, потому что есть встроенная зона подсказок, которая используется, если вы не включаете ее явно в named.conf.
Если сервер имен только авторитетный (то есть он также не предоставляет рекурсивный сервис для вашей сети), просто удалите раздел "корневые подсказки" из /etc/named.conf.
Обычно это выглядит примерно так:
zone "." IN {
type hint;
file "named.ca";
};
Авторитетным серверам эта зона не нужна.
Это должно привести к тому, что сервер вернется REFUSED а не копию корневых серверов имен для внешних клиентов.
Кроме того, поскольку ваш сервер является авторитетным, вам следует добавить:
recursion no;
в основном блоке конфигурации.