我被告知响应以下查询的安全问题: 挖。 NS @yournameserver 我找不到它是否会影响我的powerdns版本2.9.22-3以及如何防止响应该查询。
我的DNS服务器使用以下命令回复上述查询:
; <<>> DiG 9.7.3-P3 <<>> . NS @XX.XX.XX.XX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49208
;; flags: qr aa rd; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 13
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;. IN NS
;; ANSWER SECTION:
. 3600 IN NS A.ROOT-SERVERS.NET.
. 3600 IN NS B.ROOT-SERVERS.NET.
. 3600 IN NS F.ROOT-SERVERS.NET.
. 3600 IN NS G.ROOT-SERVERS.NET.
. 3600 IN NS E.ROOT-SERVERS.NET.
. 3600 IN NS C.ROOT-SERVERS.NET.
. 3600 IN NS D.ROOT-SERVERS.NET.
. 3600 IN NS J.ROOT-SERVERS.NET.
. 3600 IN NS K.ROOT-SERVERS.NET.
. 3600 IN NS L.ROOT-SERVERS.NET.
. 3600 IN NS I.ROOT-SERVERS.NET.
. 3600 IN NS H.ROOT-SERVERS.NET.
. 3600 IN NS M.ROOT-SERVERS.NET.
;; ADDITIONAL SECTION:
H.ROOT-SERVERS.NET. 3600 IN A 128.63.2.53
B.ROOT-SERVERS.NET. 3600 IN A 128.9.0.107
A.ROOT-SERVERS.NET. 3600 IN A 198.41.0.4
K.ROOT-SERVERS.NET. 3600 IN A 193.0.14.129
G.ROOT-SERVERS.NET. 3600 IN A 192.112.36.4
F.ROOT-SERVERS.NET. 3600 IN A 192.5.5.241
D.ROOT-SERVERS.NET. 3600 IN A 128.8.10.90
J.ROOT-SERVERS.NET. 3600 IN A 198.41.0.10
I.ROOT-SERVERS.NET. 3600 IN A 192.36.148.17
L.ROOT-SERVERS.NET. 3600 IN A 198.32.64.12
C.ROOT-SERVERS.NET. 3600 IN A 192.33.4.12
E.ROOT-SERVERS.NET. 3600 IN A 192.203.230.10
M.ROOT-SERVERS.NET. 3600 IN A 202.12.27.33
;; Query time: 62 msec
;; SERVER: XX.XX.XX.XX#53(XX.XX.XX.XX)
;; WHEN: Wed Nov 23 12:58:44 2011
;; MSG SIZE rcvd: 449
答案 0 :(得分:0)
您在dig输出中看到的内容称为根引用,它基本上意味着您查询的名称服务器内置或配置了13个根名称服务器的IP地址的知识,并且不怕让查询它的客户知道就像它对任何其他区域一样,它被配置为回答。
在名称服务器中,根据配置的数据响应IN NS查询,我只能想到一个安全问题是DNS查询产生的字节数少于相应答案的字节数,就像我们在上面看到的那样输出,因此权威或公共递归DNS服务器可以用作DoS放大器。
您可以通过在权威名称服务器上为根区域提供数据来阻止上述输出。
答案 1 :(得分:0)
send-root-referral | --send-root-referral=yes | --send-root-referral=no | --send-root-referral=lean如果设置,PowerDNS将在何时发送老式的root-referrals 查询不具有权威性的域名。浪费了一些 带宽,但如果委派域,可以解决传入的查询泛滥 你不是权威的,但是被查询的你 破碎的递归。自2.9.19起可用。
从2.9.21开始,可以指定“精益”根引用 浪费更少的带宽。
我建议将此选项设置为= no或= lean。