DNS вниз в Анонимной атаке
Вероятно, ложь, положительная базирующийся только на строке версии, возвращенной в ответе соединения. Это было, вероятно, уже исправлено в Вашей конкретной версии. Вы не упомянули, какой сканер Вы используете, но он, вероятно, на самом деле не пытался использовать переполнение буфера - он просто основывает то, что он видит на базе данных версий и уязвимостей.
** РЕДАКТИРОВАНИЕ: ЭТО НЕПРАВИЛЬНО - ИЗВИНИТЕ: Также - в прошлый раз я считал спецификации (приблизительно 3 года назад), соответствие PCI не означает, что необходимо пройти какие-то конкретные тесты инструмента сканирования уязвимости - оно только требует, чтобы Вы имели в распоряжении процедуры, чтобы сделать регулярное сканирование и решить проблемы и административное управление, чтобы гарантировать, что это происходит. **
Я просто рассмотрел последние документы, и сканирование совместимым ASV, кажется, теперь требуется. У меня может быть misremembered, или он, возможно, изменился, так или иначе, Вы застреваете с внешней компанией.
Вы на самом деле приводили аудит PCI к сбою, или это - просто сервис, который утверждает, что был "PCI Совместимый" сканер. Примечание стороны - Вы считали revelant разделы PCI? В противном случае Вы должны - дело не в этом плохо.
Независимо от того, что сканер говорит Вам это, он должен давать Вам ссылочный номер уязвимости от некоторой публично доступной базы данных уязвимости. Дайте этому чтение и затем проверьте, исправили ли пакету, который Вы установили, ту особую уязвимость или нет, и затем документ что факт и движение.
Если Вы платите внешней аудиторской фирме для подготовки Вас к аудиту PCI, и они не предоставляют Вам эту подробную информацию, необходимо попросить их - и если они не дадут им, выполнят nessus сами, он скажет Вам.
Открытое реле корректно - внешний сервис сканера предполагает, что имеет то же представление Вашей сети как остальная часть Интернета. При белом списке его этому позволяют передать и собирается предположить, что все остальные также. Если порт 25 обычно блокируется общественности, то необходимо оставить заблокированным в целях сканирования - это - часть безопасности.
Эту единую точку отказа можно устранить, используя двух поставщиков DNS.
Также возможно запустить собственный DNS-сервер на одном из ваших серверов.
GoDaddy позволяет выполнять перенос зон со своих серверов (для этого требуется DNS премиум-класса IIRC).
Получите второго поставщика DNS, который позволит вам запустить подчиненный сервер (или запустить его самостоятельно).
Настройте записи NS / Nserver так, чтобы они указывали на обоих провайдеров, и все готово.
(1) Способы остаться «незатронутыми», если серверы регистратора домена (НЕ только домен) сами подвергаются DDOS-атаке, если таковые имеются.
серверы регистратора имеют значение только в том случае, если вы используете их для DNS (или хостинга или других услуг, очевидно). После регистрации вашего домена записи попадают в корневой реестр, и вам не нужно, чтобы ваш регистратор был в сети, чтобы ваш домен работал. Если они являются вашим единственным провайдером DNS, вы можете рассмотреть возможность добавления более одного.
(2) «Как иметь более одного поставщика услуг DNS для домена?
(для этой части вам нужен онлайн-регистратор , чтобы через них можно было внести изменения) В учетной записи реестра домена добавьте несколько авторитетных DNS-серверов, размещенных у нескольких провайдеров. Это, вероятно, потребует НЕ использовать службу DNS регистратора, чтобы вы могли войти на сторонние серверы. (например, с помощью godaddy вы не можете использовать их «контроль домена» в дополнение к сторонним поставщикам, вы должны выбрать «мой домен размещен в другом месте», чтобы установить ваш DNS)
1) Не храните все яйца в одном. Корзина DNS. Если вы достаточно большой, чтобы думать о Anycast и CDN, почему вы используете одного провайдера, такого как GoDaddy? Разнообразьте поставщиков DNS.
2) Anycast. Посетите этот блог, чтобы узнать, как провайдер смягчил DDOS до 65 Гбит / с. http://blog.cloudflare.com/65gbps-ddos-no-problem