我收到一封来自 ISP 的电子邮件,称我们的服务器参与了针对其中一台服务器的 DDOS 攻击——而且我们似乎正在运行“开放递归解析器”。
他们提供的 IP 地址用于我们的一台开发服务器,该服务器运行 WIndows Server 2012 R2。我做了一些谷歌搜索并按照这些说明(https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396)在 DNS 管理器中禁用递归。我的问题是:
关闭递归选项是否足以确保不再发生这种情况?
可以删除此服务器上的 DNS 服务器吗?我什至不知道它显然是默认安装的。我们对所有事情都使用外部 DNS 服务器。我希望总体上保持我们的攻击面最小。
如果我是你,我会从网络的角度来处理这个问题。设置防火墙以记录
53/udp and 53/tcp服务器上的任何流量。弄清楚什么在使用该服务。如果没有人知道为什么要安装 DNS,并且您禁用它,那么知道是否需要它的唯一方法就是检查发生了什么故障。
正如我在评论中看到的服务器仅用作网络服务器,请只允许向服务器打开所需的端口。这一举措将阻止未经授权使用该 DNS。
在小型 soho 防火墙上,许多人将公共服务器放在开放的 dmz 中,但使用高级防火墙,为服务器创建公共 vlan 并仅转发所需的端口(如 http/https 为您的情况)更明智。