Windows-Server-2012-R2
如何保護 Windows Server 2012 R2 免受“開放遞歸解析器”攻擊
我收到一封來自 ISP 的電子郵件,稱我們的伺服器參與了針對其中一台伺服器的 DDOS 攻擊——而且我們似乎正在執行“開放遞歸解析器”。
他們提供的 IP 地址用於我們的一台開發伺服器,該伺服器執行 WIndows Server 2012 R2。我做了一些Google搜尋並按照這些說明(https://technet.microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396)在 DNS 管理器中禁用遞歸。我的問題是:
- 關閉遞歸選項是否足以確保不再發生這種情況?
- 可以刪除此伺服器上的 DNS 伺服器嗎?我什至不知道它顯然是預設安裝的。我們對所有事情都使用外部 DNS 伺服器。我希望總體上保持我們的攻擊面最小。
如果我是你,我會從網路的角度來處理這個問題。設置防火牆以記錄
53/udp and 53/tcp
伺服器上的任何流量。弄清楚什麼在使用該服務。如果沒有人知道為什麼要安裝 DNS,並且您禁用它,那麼知道是否需要它的唯一方法就是檢查發生了什麼故障。
正如我在評論中看到的伺服器僅用作網路伺服器,請只允許向伺服器打開所需的埠。這一舉措將阻止未經授權使用該 DNS。
在小型 soho 防火牆上,許多人將公共伺服器放在開放的 dmz 中,但使用高級防火牆,為伺服器創建公共 vlan 並僅轉發所需的埠(如 http/https 為您的情況)更明智。