我们正在接受PCI合规性检查,我们的外部域名服务器(所有Windows Server 2008 R2)已被Nessus插件ID:35450(下面的verbage)命中。虽然这是一个低严重性的打击,我看到标题中的DDoS,我吓坏了。
插件ID:35450 名称:DNS服务器欺骗请求扩增DDoS 概要:远程DNS服务器可用于分布式拒绝服务攻击。 插件输出:DNS查询长度为17个字节,答案长度为449个字节。
我用Google搜索了这一点无济于事。如果您有任何建议,请回复。
我确实找到了测试方法(下方),但在任何缓解步骤都没有运气......
在Linux上:
挖。 NS @
[例如:挖掘。 NS @ 192.168.1.1]
答案 0 :(得分:1)
您需要将DNS服务器配置为发出“REFUSED”以响应对根提示的查询(即dig . NS),而不是返回当前的根名称服务器列表。
不熟悉特定的DNS软件,我无法就如何做到这一点提出建议。
请注意,此Nessus测试并不意味着自己的网络安全性存在缺陷 - 您不会因此而遭受网络攻击。
相反,这意味着人们可能会向您的服务器发送欺骗性查询,而这些查询的回复可能会被用作针对其他人的DDoS的一部分。请参阅RFC 5358。