Усиление поддельного запроса DNS-сервера DDoS-смягчение для Server 2008 R2

Question

Мы проходим проверки соответствия PCI, и наши внешние серверы имен (все Windows Server 2008 R2) были повреждены идентификатором Nessus Plugin ID: 35450 (подробности ниже).Несмотря на то, что это уровень серьезности, я вижу DDoS в заголовке и волнуюсь.

Идентификатор плагина: 35450 Имя: Усиление ложного запроса DNS-сервера Краткое описание DDoS: Удаленный DNS-сервер может использоваться в распределенном отказеслужебная атака.Вывод плагина: DNS-запрос был длиной 17 байт, ответ - 449 байт.

Я, черт возьми, гуглил это безрезультатно.Пожалуйста, ответьте, если у вас есть какие-либо предложения.

Я нашел способы тестирования (см. Ниже), но безуспешно на любых мерах по смягчению ...

В Linux: dig.NS @
[пример: коп.NS @ 192.168.1.1]

Или в сети: http://isc1.sans.org/dnstest.html

Answer 1

Вам необходимо настроить DNS-сервер на выдачу «ОТКАЗАНО» в ответ на запросы корневых подсказок (т. Е. dig . NS) вместо возврата текущего списка корневых серверов имен.

Не знаком с этим конкретным программным обеспечением DNS, я не могу посоветовать, как это сделать.

Обратите внимание, что этот тест Nessus не подразумевает слабости вашей собственной сетевой безопасности - из-за этого вы не можете получить нарушение сети.

Вместо этого это означает, что люди могут отправлять поддельные запросы на ваш сервер, ответы которых могут быть использованы как часть DDoS против кого-либо другого . См. RFC 5358 .