2

我们正在进行 PCI 合规性检查,并且我们的外部名称服务器(所有 Windows Server 2008 R2)已被 Nessus 插件 ID:35450(下文详述)击中。虽然这是一个低严重性的打击,但我在标题中看到了 DDoS,我吓坏了。

插件 ID:35450 名称:DNS 服务器欺骗请求放大 DDoS 概要:远程 DNS 服务器可用于分布式拒绝服务攻击。插件输出:DNS 查询长 17 字节,答案长 449 字节。

我用谷歌搜索了这一切无济于事。如果您有任何建议,请回复。

我确实找到了测试方法(如下),但在任何缓解步骤上都没有运气......

在 Linux 上:挖掘 . NS @
[例如:挖掘。NS@192.168.1.1]

或在网上:http: //isc1.sans.org/dnstest.html

4

1 回答 1

1

您需要将 DNS 服务器配置为发出“REFUSED”以响应对根提示(即dig . NS)的查询,而不是返回当前的根名称服务器列表。

不熟悉那个特定的 DNS 软件,我无法建议如何做到这一点。

请注意,此 Nessus 测试并不意味着您自己的网络安全存在弱点 - 您不会因此而遭受网络破坏。

相反,这意味着人们可能会向您的服务器发送欺骗性查询,其回复可以用作针对其他人的 DDoS 的一部分。请参阅RFC 5358

于 2011-06-15T13:58:21.100 回答