如何保障自己的DNS服务器不被劫持以用来做非法攻击
时间 : 2015-12-31 16:58
来源 : 未知
太多太多的DNS服务器被恶意人士加以劫持,并用于实施DDoS攻击。在今天的文章中,易云高防服务器和你们将共同探讨如何确保自身免受此类恶意行为的影响。
检查所有DNS服务
针对计算机及设备用于接收连接的TCP或者UDP端口53进行扫描,从而检查所有运行有DNS服务的计算机及设备并对其进行安全配置。一般来讲,大家会发现其中存在着一些运行有计划外DNS服务器的装置及网络设备(例如无线路由器等)。
DNS响应速率限制
作为防止自有DNS服务器被用于DDoS攻击活动的最佳防御手段之一,我们应当对其进行响应速率限制(简称RRL)。RRL主要面向权威DNS服务器(即那些应当对一个或者多个域名进行响应的DNS服务器),且允许DNS管理员针对DNS响应流量作出有效速率限制。
尽管在默认情况下并未启用(但绝对应该被启用!),我们可以在BIND 9.9(及其后续版本)当中找到RRL,其同时也作为微软即将推出的Windows Server 2016 DNS服务的组成部分。
如果大家的DNS服务器并不支持RRL,则可以尝试利用其它备选方案实现同样的效果,包括使用防火墙速率过滤或者其它反DDoS服务来保护自己的DNS。
禁用向上转介响应
对于大多数DNS来讲,当某台非递归权威DNS服务器收到一条未经认证的域名查询时,该DNS服务器会直接将该查询客户重新定向至顶级域名DNS服务器,能够在文件托管‘root hints’当中按照名称及IP地址进行排列。
然而DNS放大攻击的出现也使得这种使用root hints的方式饱受诟病。易云网络一直建议大家禁用这一向上转介行为。微软公司计划在其Windows Server 2016当中默认禁用向上转介机制,而大家也可以通过删除该root hints文件(具体位置为c:windowssystem32DNScache.dns)的方式在其它Windows Server早期版本中禁用该功能。
上一篇:上一篇:七步骤快速排查出网站运行缓慢卡顿原因
下一篇:下一篇:Windows服务器中有哪些IIS漏洞 又如何修复
检查所有DNS服务
针对计算机及设备用于接收连接的TCP或者UDP端口53进行扫描,从而检查所有运行有DNS服务的计算机及设备并对其进行安全配置。一般来讲,大家会发现其中存在着一些运行有计划外DNS服务器的装置及网络设备(例如无线路由器等)。
作为防止自有DNS服务器被用于DDoS攻击活动的最佳防御手段之一,我们应当对其进行响应速率限制(简称RRL)。RRL主要面向权威DNS服务器(即那些应当对一个或者多个域名进行响应的DNS服务器),且允许DNS管理员针对DNS响应流量作出有效速率限制。
尽管在默认情况下并未启用(但绝对应该被启用!),我们可以在BIND 9.9(及其后续版本)当中找到RRL,其同时也作为微软即将推出的Windows Server 2016 DNS服务的组成部分。
如果大家的DNS服务器并不支持RRL,则可以尝试利用其它备选方案实现同样的效果,包括使用防火墙速率过滤或者其它反DDoS服务来保护自己的DNS。
禁用向上转介响应
对于大多数DNS来讲,当某台非递归权威DNS服务器收到一条未经认证的域名查询时,该DNS服务器会直接将该查询客户重新定向至顶级域名DNS服务器,能够在文件托管‘root hints’当中按照名称及IP地址进行排列。
然而DNS放大攻击的出现也使得这种使用root hints的方式饱受诟病。易云网络一直建议大家禁用这一向上转介行为。微软公司计划在其Windows Server 2016当中默认禁用向上转介机制,而大家也可以通过删除该root hints文件(具体位置为c:windowssystem32DNScache.dns)的方式在其它Windows Server早期版本中禁用该功能。
