Ashian Asked: 2013-07-24 10:58:11 +0800 CST2013-07-24 10:58:11 +0800 CST 2013-07-24 10:58:11 +0800 CST DNS放大攻击 772 我有一个 Windows 2008 服务器,它为在该服务器上运行的网站运行一个 dns 服务器。我报告说我们的服务器用于 DNS 放大攻击。在日志中,我看到许多关于 isc.org 的查询。如何将我的 windows dns 服务器设置为仅响应有关本地站点的查询?我删除了所有根提示并转发,但它仍然收到并响应有关 isc.org 的查询 windows-server-2008 5 个回答 Voted Chris S 2013-07-24T11:22:03+08:002013-07-24T11:22:03+08:00 打开 DNS 管理器控制台。 右键单击服务器,选择属性。 高级选项卡。 禁用递归。 Best Answer voretaq7 2013-07-24T11:23:24+08:002013-07-24T11:23:24+08:00 好的 - 首先要做的事情是:为您的服务器设置防火墙,以便组织外部的人无法访问它,或者禁用递归: 打开 DNS 管理器。 在控制台树中,右键单击适用的 DNS 服务器,然后单击属性。 单击高级选项卡。 在服务器选项中,选中禁用递归复选框,然后单击确定。 (克里斯发布了一张方便的页面图片和您想要启用的选项) 现在就这样做。 现在您不再主动破坏互联网,您可以阅读有关 DNS 放大攻击、它们如何发生、它们为什么不好以及您可以采取的一些措施来防止成为其中的棋子。 您可能还想阅读这篇关于 DNSSEC 和 DNS 放大攻击的 Technet 文章,其中包括一些信息参考。 然后,您可以确定如何最好地防止您的服务器被用于此类攻击。 通常,您将通过仅回答已知主机组(您的内部机器)的递归查询来做到这一点,但也存在其他选项。 Universal4 2016-03-31T00:37:42+08:002016-03-31T00:37:42+08:00 禁用递归可能无法阻止对公共服务器的攻击。 问题是查询大约有 94 个字节,而响应(声明它是 NXDOMAIN)最少有 119 个字节,因此攻击被略微放大并且几乎总是来自欺骗性 IP。 您还必须具有其中没有记录的点区 (.),以便将响应减少到 119 字节。 这些攻击中最常见的将要求 freeinfosys.com 以上都不能阻止攻击本身,但会减少它的影响。 当 dns 服务器是公共权威服务器时,它需要允许来自任何人、任何地点对其承载的区域的查询,因此您可以不受 p 和其他可用于私有或内部 dns 服务器的步骤的限制。 微软 2016 年附带的下一个版本的 dns 将具有 RRL,这将有很大帮助,可惜他们没有发布 Bind 多年来所拥有的这么多需要的功能。 Universal4 2016-03-31T01:47:39+08:002016-03-31T01:47:39+08:00 当您运行权威 dns 服务器和 jerkwad 脚本小子或那些想要导致您的 dns 服务器额外流量的人可以并且将向您的 dns 服务器(来自欺骗性 ips)发送查询到您的服务器不具有权威性的域。 如果点 (.) 区域不存在,即使关闭了递归,服务器也会尝试回答该查询。 只有在创建点区域之前,您才能将响应减少到我所说的 119 字节。如果我记得,每当您开始用 SOA 以外的任何记录填充点区域时,响应数据包都会变大。 现在,如果你有一个活生生的例子,并且有证据证明做其他事情会 100% 阻止这种攻击,我会全神贯注,真的很想看到另一个答案。 我已经研究了很长时间,并且尝试了很多东西,根据我的研究,我上面详述的似乎是尽可能减少外向响应的最佳方法。 如果您还没有这样做,请阅读我列出的域以及 dns 攻击,因为它是此类攻击中请求最多的单个域名。 诚然,它通常与对递归服务器的攻击有关,但这类攻击确实发生在禁用递归的权威服务器上。 我有运行的服务器清除了根提示,关闭了递归,并且在这些类型的攻击期间花费了大量时间使用wireshark研究数据包,我什至没有看到像你这样详细的响应。(我承认我对wireshark的了解刚好够让我有点危险) 您是否拥有或知道现场演示或实验室,我可以在其中看到这一点?您是否碰巧知道响应的大小,因为任何减少数据包大小都会是一种改进? 其他 dns 服务器软件响应的内容不回答 Microsoft DNS 服务器问题,因为最初的问题是关于 Server 2008。 Universal4 2016-03-31T02:10:55+08:002016-03-31T02:10:55+08:00 顺便说一句,还有查询阻止列表,但这也不会拒绝列表中的域查询。 有趣的是,因为我目前正在经历这种攻击,所以我再次尝试了其中一个建议。 我删除了 . 根区域并收到有关需要添加根提示的警告,但忽略了它。 我停止并重新启动了 dns 服务,并确保根提示仍然清晰。 响应数据包从 119 字节增加到 700 多字节,所以现在我将攻击放大了 10 倍。 因此,如果有人向我扔了一个 meg,我将发送 10 倍的带宽用于我对未发送请求的 ip 没有权威的查询。 我确实希望这个建议能奏效,我确信我之前曾尝试过,但我又一次尝试了,因为我碰巧遇到了现场攻击情况来尝试它。
好的 - 首先要做的事情是:为您的服务器设置防火墙,以便组织外部的人无法访问它,或者禁用递归:
(克里斯发布了一张方便的页面图片和您想要启用的选项)
现在就这样做。
现在您不再主动破坏互联网,您可以阅读有关 DNS 放大攻击、它们如何发生、它们为什么不好以及您可以采取的一些措施来防止成为其中的棋子。
您可能还想阅读这篇关于 DNSSEC 和 DNS 放大攻击的 Technet 文章,其中包括一些信息参考。
然后,您可以确定如何最好地防止您的服务器被用于此类攻击。
通常,您将通过仅回答已知主机组(您的内部机器)的递归查询来做到这一点,但也存在其他选项。
禁用递归可能无法阻止对公共服务器的攻击。
问题是查询大约有 94 个字节,而响应(声明它是 NXDOMAIN)最少有 119 个字节,因此攻击被略微放大并且几乎总是来自欺骗性 IP。
您还必须具有其中没有记录的点区 (.),以便将响应减少到 119 字节。
这些攻击中最常见的将要求 freeinfosys.com
以上都不能阻止攻击本身,但会减少它的影响。
当 dns 服务器是公共权威服务器时,它需要允许来自任何人、任何地点对其承载的区域的查询,因此您可以不受 p 和其他可用于私有或内部 dns 服务器的步骤的限制。
微软 2016 年附带的下一个版本的 dns 将具有 RRL,这将有很大帮助,可惜他们没有发布 Bind 多年来所拥有的这么多需要的功能。
当您运行权威 dns 服务器和 jerkwad 脚本小子或那些想要导致您的 dns 服务器额外流量的人可以并且将向您的 dns 服务器(来自欺骗性 ips)发送查询到您的服务器不具有权威性的域。
如果点 (.) 区域不存在,即使关闭了递归,服务器也会尝试回答该查询。
只有在创建点区域之前,您才能将响应减少到我所说的 119 字节。如果我记得,每当您开始用 SOA 以外的任何记录填充点区域时,响应数据包都会变大。
现在,如果你有一个活生生的例子,并且有证据证明做其他事情会 100% 阻止这种攻击,我会全神贯注,真的很想看到另一个答案。
我已经研究了很长时间,并且尝试了很多东西,根据我的研究,我上面详述的似乎是尽可能减少外向响应的最佳方法。
如果您还没有这样做,请阅读我列出的域以及 dns 攻击,因为它是此类攻击中请求最多的单个域名。
诚然,它通常与对递归服务器的攻击有关,但这类攻击确实发生在禁用递归的权威服务器上。
我有运行的服务器清除了根提示,关闭了递归,并且在这些类型的攻击期间花费了大量时间使用wireshark研究数据包,我什至没有看到像你这样详细的响应。(我承认我对wireshark的了解刚好够让我有点危险)
您是否拥有或知道现场演示或实验室,我可以在其中看到这一点?您是否碰巧知道响应的大小,因为任何减少数据包大小都会是一种改进?
其他 dns 服务器软件响应的内容不回答 Microsoft DNS 服务器问题,因为最初的问题是关于 Server 2008。
顺便说一句,还有查询阻止列表,但这也不会拒绝列表中的域查询。
有趣的是,因为我目前正在经历这种攻击,所以我再次尝试了其中一个建议。
我删除了 . 根区域并收到有关需要添加根提示的警告,但忽略了它。
我停止并重新启动了 dns 服务,并确保根提示仍然清晰。
响应数据包从 119 字节增加到 700 多字节,所以现在我将攻击放大了 10 倍。
因此,如果有人向我扔了一个 meg,我将发送 10 倍的带宽用于我对未发送请求的 ip 没有权威的查询。
我确实希望这个建议能奏效,我确信我之前曾尝试过,但我又一次尝试了,因为我碰巧遇到了现场攻击情况来尝试它。