Domain-Name-System

完全阻止特定域的 DNS 響應

  • March 6, 2016

情況: 伺服器(Win 2008R2)正被用於 DNS(放大)DDoS 攻擊。放大係數已降至 1:將 DNS 伺服器設置為非遞歸併刪除所有根提示 -> DNS 回复非權威域的伺服器故障 -> 傳入 DNS 請求大小 EQ 傳出 DNS 請求大小。

儘管如此,即使沒有放大,我們仍然不願意參與,即使只是作為一個簡單的偏轉器(因為很可能目標地址已被欺騙以將 DNS 響應流量引導到 DDoS 目標)。

**問題:**是否有,如果有,最簡單的方法是阻止特定域 DNS 請求的 DNS 響應?該問題背後的原因是,所有這些惡意 DNS 請求都是針對同一個域但來自不同 IP 的。所以IP屏蔽並不是真的那麼有效。

那麼如何過濾掉針對特定域的那些 DNS 請求以及在哪裡(DNS 伺服器可以處理這個還是必須在防火牆上完成?)?

您的伺服器是否有任何特殊原因必須回答外部查詢?

理想情況下,您將為您的公共解析器設置一個外部解析器(用於解析必須從外部訪問的所有資源:MX、Web 伺服器等),僅將 Windows DNS 伺服器用於您的內部網路並阻止所有傳入的 DNS 查詢周長。

然而,有一件事是您根本無法阻止的:只要您有一個回答外部查詢的 DNS 伺服器,即使它只用於您自己的域,它也可以用於 DNS 反彈攻擊。您可以對其進行配置以防止 DNS 放大,但不能防止簡單的退回。除非您自己受到 DDoS 攻擊,否則這應該沒什麼大不了的。

編輯:

在 small(ish) 結構中設置 dns 的典型方法如下:

  • 您在網路邊界內使用內部 DNS 伺服器。該伺服器只能從內部網路和 VPN 的主機和網路訪問。
  • 對於外部解析,您將內部伺服器配置為將查詢轉發到您的網關設備(通常是多用途 DLS 調製解調器路由器)或直接轉發到您的 ISP 的 DNS 伺服器。您必須允許此流量通過,但您可以非常嚴格地限制它。
  • 如果您擁有公共域,則使用外部 DNS 伺服器來託管它(嗯,通常至少有兩台伺服器)。這些伺服器應配置為回答對它們具有權威性的區域的查詢,並且僅對這些查詢進行回答。(DNS 託管有很多優惠,幾乎所有域託管都提供這樣的優惠)。

引用自:https://serverfault.com/questions/513777