完全阻止特定域的 DNS 響應

情況： 伺服器（Win 2008R2）正被用於 DNS（放大）DDoS 攻擊。放大係數已降至 1：將 DNS 伺服器設置為非遞歸併刪除所有根提示 -> DNS 回复非權威域的伺服器故障 -> 傳入 DNS 請求大小 EQ 傳出 DNS 請求大小。

儘管如此，即使沒有放大，我們仍然不願意參與，即使只是作為一個簡單的偏轉器（因為很可能目標地址已被欺騙以將 DNS 響應流量引導到 DDoS 目標）。

**問題：**是否有，如果有，最簡單的方法是阻止特定域 DNS 請求的 DNS 響應？該問題背後的原因是，所有這些惡意 DNS 請求都是針對同一個域但來自不同 IP 的。所以IP屏蔽並不是真的那麼有效。

那麼如何過濾掉針對特定域的那些 DNS 請求以及在哪裡（DNS 伺服器可以處理這個還是必須在防火牆上完成？）？

您的伺服器是否有任何特殊原因必須回答外部查詢？

理想情況下，您將為您的公共解析器設置一個外部解析器（用於解析必須從外部訪問的所有資源：MX、Web 伺服器等），僅將 Windows DNS 伺服器用於您的內部網路並阻止所有傳入的 DNS 查詢周長。

然而，有一件事是您根本無法阻止的：只要您有一個回答外部查詢的 DNS 伺服器，即使它只用於您自己的域，它也可以用於 DNS 反彈攻擊。您可以對其進行配置以防止 DNS 放大，但不能防止簡單的退回。除非您自己受到 DDoS 攻擊，否則這應該沒什麼大不了的。

編輯：

在 small(ish) 結構中設置 dns 的典型方法如下：

• 您在網路邊界內使用內部 DNS 伺服器。該伺服器只能從內部網路和 VPN 的主機和網路訪問。
• 對於外部解析，您將內部伺服器配置為將查詢轉發到您的網關設備（通常是多用途 DLS 調製解調器路由器）或直接轉發到您的 ISP 的 DNS 伺服器。您必須允許此流量通過，但您可以非常嚴格地限制它。
• 如果您擁有公共域，則使用外部 DNS 伺服器來託管它（嗯，通常至少有兩台伺服器）。這些伺服器應配置為回答對它們具有權威性的區域的查詢，並且僅對這些查詢進行回答。（DNS 託管有很多優惠，幾乎所有域託管都提供這樣的優惠）。

引用自：https://serverfault.com/questions/513777