信息安全 - 如何识别网络中的开放 DNS 解析器？ - 吾爱随笔录

如何识别网络中的开放 DNS 解析器？

信息安全 dns ddos

2021-08-26 03:30:47

本文重点介绍了如何使用开放式 DNS 解析器在 Internet 上创建 DDOS 攻击。如何确定我们的任何 DNS 服务器是否打开？如果我发现我们正在运行开放的 DNS 服务器，我将如何关闭它们以防止它们被滥用于 DDOS 攻击？

3个回答

通过您自己通过 NMAP 查询来识别 Open DNS 服务器：

xxxx = DNS 服务器 IP

nmap -sU -p 53 -sV -P0 --script "dns-recursion" xxxx

可能的输出是：

PORT STATE SERVICE VERSION
53/udp open domain ISC BIND "version"
*|_dns-recursion: 递归似乎已启用*

在线服务：

如果您更喜欢使用在线服务，openresolver 项目非常好，它还检查 /22 宽度的子网，所以检查一下 ---> http://www.openresolverproject.org

在使用在线工具发现 Open DNS 服务器后，最好进行仔细检查以获取有关递归的证明 ---> http://www.kloth.net/services/dig.php

示例输出，注意“ra”标志表示递归可用
：<<>> DiG 9.7.3 <<>> @xxxx domain.cn A
; （找到 1 个服务器）
；；全局选项：+cmd
;; 得到答案：
;; ->>HEADER<<- 操作码：QUERY，状态：NOERROR，id：xxx
;; 标志：qr rd ra；查询：1，答案：1，权限：5，附加：0

禁用递归
（来源 Knowledgelayer softlayer com）

在 Windows Server 2003 和 2008 中禁用递归

Access the DNS Manager from the Start menu:
    Click the Start button.
    Select Administrative Tools.
    Select DNS.
Right click on the desired DNS Server in the Console Tree.
Select the Proprerties tab.
Click the Advanced button in the Server Options section.
Select the Disable Recursion checkbox.
Click the OK button.

在 Linux 中禁用递归

Locate the BIND configuration file within the operating system. The BIND configuration file is usually located in one of the following paths:
    /etc/bind/named.conf
    /etc/named.conf
Open the named.conf file in your preferred editor.
Add the following details to the Options section:
allow-transfer {"none";};
allow-recursion {"none";};
recursion no;
Restart the device.

开放式 DNS 服务器是一个可以回答任何人的 DNS 请求的服务器。作为一般规则，您运行的 DNS 服务器应该只响应您希望它们响应的请求。

例如，在典型的组织中，您希望网络内的机器（例如笔记本电脑）能够解决任何问题，而网络外的机器只能解决面向公众的服务（例如 Web 服务器和入站邮件） . 当然，您的组织可能并不典型。

要确定您的 DNS 服务器是否正在响应您不希望它们响应的请求，请发出此类请求，看看会发生什么！使用网络外的机器，将 dig 的副本指向解析器，然后尝试查询内容。

要保护您的 DNS 服务器，请查阅您特定品牌的 DNS 服务器的文档，并配置它们以执行您想要的操作。

有一些网站会扫描 Internet 以查找开放的 DNS 解析器并发布它们的列表以帮助 ISP 检测和关闭解析器。这是一个，您可以使用它在您的网络中搜索开放解析器的 ip：

http://dns.measurement-factory.com/surveys/openresolvers.html

至于保护它们，这相当简单 - 只需将 dns 解析器限制为仅允许来自网络内部的查询。要么将 dns 配置为仅回复来自网络内部地址的查询，要么使用防火墙/数据包过滤规则来限制对端口 53 的访问。

Cymru 团队在这里有一个指南：http ://www.team-cymru.org/Services/Resolvers/instructions.html

只要确保您没有过滤掉您的权威域名服务器，互联网需要访问这些域名服务器才能正常工作！

其它你可能感兴趣的问题

上一篇将数据存储在 BLOB 中而不是文件系统中的安全/恶意软件影响下一篇虚拟机中的回溯 5 - 为什么要通过 NAT 桥接网络？