Как защитить Windows Server 2012 R2 от “открытого рекурсивного сопоставителя” нападение
Я получил электронное письмо от ISP, заявив, что наш сервер участвовал в DDos-атаке против одного из их серверов - и что мы, кажется, выполняем "открытый рекурсивный сопоставитель".
IP-адрес, который они дали, для одного из наших серверов разработки, который выполняет Windows Server 2012 R2. Я сделал некоторый поиск с помощью Google и следовал этим инструкциям (https://technet.microsoft.com/en-us/library/Cc771738.aspx? f=255&MSPPError =-2147217396) для отключения рекурсии в менеджере по DNS. Мои вопросы:
Должен выключение опции рекурсии быть достаточно, чтобы удостовериться, что этого не происходит снова?
Это в порядке для удаления DNS-сервера на этом сервере? Я даже не знал, что это было, по-видимому, установлено по умолчанию. Мы используем внешние серверы DNS для всего. Я хотел бы сохранить нашу поверхность атаки минимальной в целом.
На вашем месте я бы подошел к этому с точки зрения сети. Настройте брандмауэр для регистрации любого трафика на 53 / udp и 53 / tcp на сервере. Выясните, что использует сервис.
Если никто не знает, почему был установлен DNS, и вы отключите его, единственный способ узнать, нужен ли вам , это будет проверить, что сломалось.
Как я видел в комментарии, что сервер используется только как веб-сервер, разрешите открывать только необходимый порт для сервер. Этот шаг заблокирует несанкционированное использование этого DNS.
На небольшом межсетевом экране soho многие помещают общедоступный сервер в открытый dmz, но с продвинутым межсетевым экраном более разумно сделать общедоступный vlan для сервера и пересылать только требуемый порт, например http / https в вашем случае.