「再帰的リゾルバーを開く」攻撃からWindowsServer 2012R2を保護する方法
ISPから、サーバーがサーバーの1つに対するDDOS攻撃に参加したこと、および「オープン再帰リゾルバー」を実行しているように見えることを示す電子メールを受け取りました。
彼らが提供したIPアドレスは、WINDOWS Server 2012R2を実行している開発サーバーの1つです。グーグルを実行し、次の手順( https://technet.Microsoft.com/en-us/library/Cc771738.aspx?f=255&MSPPError=-2147217396 )に従って、DNSマネージャーで再帰を無効にしました。私の質問は次のとおりです。
これが二度と起こらないようにするには、再帰オプションをオフにするだけで十分ですか?
このサーバーのDNSサーバーを削除しても大丈夫ですか?どうやらデフォルトでインストールされているようだとは知りませんでした。私たちはすべてに外部DNSサーバーを使用しています。一般的に、攻撃対象領域を最小限に抑えたいと思います。
もし私があなたなら、ネットワークの観点からこれにアプローチします。サーバー上の53/udp and 53/tcpへのトラフィックをログに記録するようにファイアウォールを設定します。サービスを使用しているものを把握します。
DNSがインストールされた理由が誰にもわからず、DNSを無効にした場合、DNSが無効になっているかどうかを知る唯一の方法は、必要何が壊れたかを調べることです。
サーバーはWebサーバーとしてのみ使用されているというコメントで見たように、必要なポートのみがサーバーに対して開かれるようにしてください。その動きは、そのDNSの不正使用をブロックします。
小さなソーホーファイアウォールでは、多くの場合、パブリックサーバーをオープンDMZに配置しますが、高度なファイアウォールを使用する場合は、サーバーのパブリックVLANを作成し、必要なポートのみを転送する方が賢明です。たとえば、http/httpsなどです。