Windows 2012 R2 Authorative DNS Server возвращает корневые ссылки
У меня не авторизованный DNS-сервер, подключенный к домену для зоны, я отключил рекурсию DNS в настройках сервера. Когда я делаю запрос с dig @ns1.mydomain.tld . он возвращает корневые подсказки.
Я читал, что можно создать новую первичную зону с именем "." это будет действовать как корневая зона. Однако это все еще возвращает имя хоста моего ящика и некоторую неполную информацию о соа.
Насколько я понимаю, возвратные корневые ссылки могут быть использованы для атак с усилением DNS. Как лучше всего справиться с этим?
3 ответа
К сожалению, вы не можете отключить корневые ссылки с помощью DNS-сервера Windows. Это делает вашу машину уязвимой для злоупотреблений при атаках с отражением DNS, однако большинство злоумышленников ищут рекурсивные DNS-серверы.
В долгосрочной перспективе вы, вероятно, захотите перейти на другое программное обеспечение DNS-сервера, чтобы это исправить.
Вы можете попробовать удалить все корневые серверы подсказок на вкладке Root Hints, после чего сервер вернет сообщение о сбое для рекурсивных запросов.
Я знаю, что этот вопрос немного устарел, однако для тех, кто ищет хороший ответ на этот вопрос, есть отличная статья, в которой рассказывается, как это можно сделать:
https://websistent.com/authoritative-dns-in-windows-server-2008/
Я никоим образом не участвовал в написании этой статьи и полностью благодарен автору этой статьи (написано в "Блоге Джезина").