2

PCI コンプライアンス チェックを受けており、外部ネームサーバー (すべて Windows Server 2008 R2) が Nessus プラグイン ID: 35450 (以下の言葉) にヒットしました。これは重大度の低いヒットですが、タイトルに DDoS が表示され、私はびっくりしました。

Plugin ID: 35450 Name: DNS Server Spoofed Request Amplification DDoS 概要: リモート DNS サーバーは、分散サービス拒否攻撃に使用される可能性があります。プラグイン出力: DNS クエリの長​​さは 17 バイトで、回答の長さは 449 バイトです。

私はこれを無駄にググった。何か案があれば回答お願いします。

私はテストする方法を見つけました(以下)が、軽減策のステップでは運がありません...

Linux の場合: dig . NS@
[例:掘る。NS @192.168.1.1]

または Web: http://isc1.sans.org/dnstest.html

4

1 に答える 1

1

dig . NSルート ネーム サーバーの現在のリストを返す代わりに、ルート ヒントのクエリに応答して "REFUSED" を発行するように DNS サーバーを構成する必要があります (例: )。

その特定の DNS ソフトウェアに精通していないため、その方法についてアドバイスすることはできません。

この Nessus テストは、ネットワーク セキュリティの脆弱性を意味するものではないことに注意してくださいこれにより、ネットワーク侵害を受けることはありません。

代わりに、人々がなりすましクエリをサーバーに送信し、その応答が他の誰かに対する DDoS の一部として使用される可能性があることを意味します。RFC 5358を参照してください。

于 2011-06-15T13:58:21.100 に答える