DNS服务器欺骗请求放大DDoS -防止
DNS服务器欺骗请求放大DDoS -防止
提问于 2011-11-10 14:23:04
我一直在做安全扫描,出现了一个新的:
DNS Server Spoofed Request Amplification DDoS 远程DNS服务器响应任何请求。可以查询根区域('.')的名称服务器(NS)。得到一个比最初的请求更大的答案。通过欺骗源IP地址,远程攻击者可以利用这种“放大”对使用远程DNS服务器的第三方主机发起拒绝服务攻击。一般解决方案:限制从公共网络访问DNS服务器,或重新配置它以拒绝此类查询。
我正在为我的网站托管我自己的DNS。我不知道解决办法是什么..。我真的在寻找一些具体的详细步骤来修补这个问题,但是还没有找到任何一个。有什么想法吗?
CentOS5有WHM和CPanel。
回答 2
Server Fault用户
回答已采纳
发布于 2011-11-10 16:08:13
如果名称服务器只具有权威性(即它也不为您的网络提供递归服务),那么只需从/etc/named.conf中删除“根提示”部分即可。
这通常如下所示:
zone "." IN {
type hint;
file "named.ca";
};权威服务器不需要此区域。
这样做应该会导致服务器返回REFUSED,而不是将根名服务器的副本发送给外部客户端。
此外,由于您的服务器是权威的,所以您应该添加:
recursion no; 在主配置块中。
Server Fault用户
发布于 2011-11-12 17:31:18
为了防止您的系统被用作这种攻击的“放大器”,除了您的权威区域之外,您需要禁用对所有查询的回答。要在bind9中这样做,需要在named.conf中使用两个指令:
allow-recursion {none;};
allow-query-cache {none;};从named.conf中删除根提示区域没有帮助,因为如果您不显式地将它包含在named.conf中,就会使用内置提示区域。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/329738
复制相关文章
相似问题
腾讯云开发者
