У нас запущен сервер IIS с DNS, и владелец сайта попросил нас провести специальное сканирование безопасности. Наш сайт прошел, но мы были предупреждены об этом, и я хотел бы очистить его, и я немного не знаю, как это правильно настроить.
Описание: DDoS-атаки на усиление ложного запроса DNS-сервера
Сводка: удаленный DNS-сервер может использоваться в распределенной атаке отказа в обслуживании.
Воздействие: удаленный DNS-сервер отвечает на любой запрос. Можно запросить серверы имен (NS) корневой зоны ('.') И получить ответ, больший, чем исходный запрос. Подменяя исходный IP-адрес, удаленный злоумышленник может использовать это «усиление» для запуска атаки отказа в обслуживании против стороннего хоста с помощью удаленного DNS-сервера.
См. Также: http://isc.sans.org/diary.html?storyid=5713
Полученные данные: длина DNS-запроса составляет 17 байтов, длина ответа составляет 353 байта.
Решение: ограничьте доступ к вашему DNS-серверу из общедоступной сети или измените его конфигурацию, чтобы отклонять такие запросы.
Мы отключили рекурсию, но я не знаю, какие еще настройки он может подбирать и отмечать для этого, и особенно не хочу, чтобы наш сервер использовался для помощи или попадания под любой тип DDoS-атаки.
Спасибо.
Если ваш DNS-сервер является авторитетным для общедоступного домена, что, как я предполагаю, именно для вас, то вы мало что можете сделать. Предупреждение связано с тем, что ваш DNS-сервер будет отвечать на любой запрос, который должен будет сделать общедоступный авторитетный сервер.
При атаке с усилением поддельного запроса адрес источника DNS-запроса подделывается таким образом, что ответы от DNS-сервера будут отправляться на целевой (жертва) хост, а не на источник. В дополнение к отключению рекурсии могут быть установлены фильтры для отклонения пакетов с поддельными адресами источника с целью смягчения этих атак. Однако это должно быть выполнено вашими маршрутизаторами или межсетевыми экранами. Это не предотвратит появление этого предупреждения при сканировании безопасности, но тогда у вас будет свидетельство того, что вы приняли меры для уменьшения угрозы.