如何保護 Windows Server 2012 R2 免受“開放遞歸解析器”攻擊

我收到一封來自 ISP 的電子郵件，稱我們的伺服器參與了針對其中一台伺服器的 DDOS 攻擊——而且我們似乎正在執行“開放遞歸解析器”。

他們提供的 IP 地址用於我們的一台開發伺服器，該伺服器執行 WIndows Server 2012 R2。我做了一些Google搜尋並按照這些說明（https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396）在 DNS 管理器中禁用遞歸。我的問題是：

1. 關閉遞歸選項是否足以確保不再發生這種情況？
2. 可以刪除此伺服器上的 DNS 伺服器嗎？我什至不知道它顯然是預設安裝的。我們對所有事情都使用外部 DNS 伺服器。我希望總體上保持我們的攻擊面最小。

如果我是你，我會從網路的角度來處理這個問題。設置防火牆以記錄53/udp and 53/tcp伺服器上的任何流量。弄清楚什麼在使用該服務。

如果沒有人知道為什麼要安裝 DNS，並且您禁用它，那麼知道是否需要它的唯一方法就是檢查發生了什麼故障。

正如我在評論中看到的伺服器僅用作網路伺服器，請只允許向伺服器打開所需的埠。這一舉措將阻止未經授權使用該 DNS。

在小型 soho 防火牆上，許多人將公共伺服器放在開放的 dmz 中，但使用高級防火牆，為伺服器創建公共 vlan 並僅轉發所需的埠（如 http/https 為您的情況）更明智。

引用自：https://serverfault.com/questions/711699